Auditoria Informática, Un Enfoque Práctico - Mario Piattini

AUDITORIA
INFORMTICA
(Jn enfoque prctico
2 E D I C I N A M P L I A D A Y R E V I S A D A
M a r i o G . P i a t t i n i
E m i l i o de l P e s o
A l i ' a o m e g a ^ ^ R a - M a
www.FreeLibros.me
Auditora Informtica
Un enfoque prctico
2.a edicin ampliada y revisada
Coordinadores
Mario Gerardo Piattini Velthuis
Universidad de Casilla-La Mancha
Emilio del Peso Navarro
IEE Informticos Europeos Experto
www.FreeLibros.me
Auditoria Inbumiliea I n cn!<yx ptittKo. 2 oJhio f linlj > ioiwIi
Mano Geraido f*t.ituni Velthuit >Umilio Jet Peto Navarro
ISBN K4-7X97-M4-X. Jki.Wi rifinal puMieada RAMA Idilon.il,
MADRID. F.pjAa Donhui icwvjJoi O RA-MA tidiloiial
MARCAS COMERCIALES: RAMA ha ment*y> a lo largo de ok libro dMinguu
la mite. re*iUadade Ri l4lTiIW>CKliptivO*. tiyuien3>< el olilo de m.owwul.i'
Hoc uiiIi/j <1labtKaMe. in mlencia de mlnivpr U auro y ilo < hcnelii io del
propinarlo de Ij ntnu
0 *1 AI.FAOMKGA GRUFO F.DITOR, S.A. 4 C.V.
Pnifoeat I I.IV.Col. Del Valle. 0M00 Mitico. D.F
Micmhiu de UCkuu Naootul de li ladutliia F-dilori.il Mentana
Repuro No. JJIT
InieiiKi lifipy/aw.airomecxonu>
F-mail nMnl WiKumtiaîwLni
ISBN: 970-15-07)1.!
IVrwIw retcrvado.
t>u iN j o piopxdjd imelivluildciu auloi > lo dcre lande fuN* a io en lenirua
opjV'Ij h.m tido legalmente tramferidot al edito* PioftiNda tu teptodactKta pii
ivil o (ot*l pea cualfaaer mnk in permito poi eterno dei profittino de lo derc-
<ho del eopyitfht
NOTA IMPORTANTE
L (ormaeKjn contcnxla en etla obr a tiene a Iin etclutivameMe didfcllco y. poi lo
unto, no e-vU pievi no tu afrovethamicMo j mvel pnrfettoaal indatirul l i v .*-
iAHmci tcvnii.it y piorijnu laeluidot. lua udo elafaradi eon (un euidado p*
el juioi > reproducidoi bojo etinciat norma de eonirol AI.I AOMWiA CRI PO
EDITOR. S A. ile C.V. ieri juriduaineaee repoowblc poi ctrotet u orninone;
daftot y ivi)kk<>|ue e pudician allibali al n o de Li infomacidn comprendida en
ette libro, ni p U uiliracita imkbidi <uc pu*ei j dirtele
Imprrxi:
Geme Suoi EdUoriiI
Bojcci. DC. Coloratola
www.FreeLibros.me
PREFACIO
Dtele los inicio de la humanidad las distintas cultura), han dado una importancia
enorme a los lemas de contabilidad, y por u nto tambin han necestalo de medios que
permitieran verificar vas registros, es decir, de la auditora. De hect se piensa que la
a vencin de la escritura surgi como respuesta a la necesidad dt auditar. Flesher
<1993): por lo que la de auditor seria una de las profesiones ms antigua*.
Pero es realmente a partir de finales de 1800 cuando la audiDra financiera se
extiende por el Reino Unido y Norteamrica, y se sientan las base* de las prcticas que
conocemos en la actualidad.
A partir de 1950. la informtica ve conviene en una herramienta muy importante
ca las labores de auditoria financiera. >a que permite llevar a cabo Je forma rpida y
precita, operaciones que manualmente consumiran demasiados recjrsos Empieza la
denominada auditora con el computador", que no puede consi Jerar\e verdadera
auditora informtica, sino que utiliza el computador como herramienta del auditor
financiero.
Sin embargo, al convertirse los sistemas de informacin de la impresa cada ve;
ais dependientes de los computadores, surge la necesidad de verificar que los
tatemas informticos funcionan correctamente, empezndote a finales de los aAos
sesenta a descubrirse varios casos de fraude cometidos con ayuda del computador <pie
hacen inviable seguir conformndose con la auditoria "alrededor el computador
Surge asi la necesidad de una nueva especialidad dentro de la auditcra. cuyo objetivo
es precisamente verificar el funcionamiento correcto, eficaz y eficiente de la
informtica, en definitiva, la auditora del computador .
En la actualidad nadie duda que la informacin se ha convertido en uno de los
activos principales de las empresa*, que representa su principal ventaja estratgica
www.FreeLibros.me
XL AUXTtlAIM<)MATICVU\t>MHJI I HtSCIKO
Las empresas invienen enormes cantidad de dinero y tiempo en la creacin de
sistema* do informacin que les o r e/t an la mayor productividad y calidad posibles
Es por eso que los temas relativos a la auditoria informtica cobran cada ve/ mis
relevancia tanto a nivel internacional como nacional.
De esa importancia creciente de la informacin nace la necesidad de que esc bien
jurdico sea protegido por el derecho y aparezca regulado en el ordenamiento jurdico.
La entrada en vigor de la Ix y Orgnica 15/1999 de 13 de diciembre de Proteccin
de Datos de Carcter Personal; la Ley Orgnica I(VI995 de 23 de noviembre que
aprueba el nuevo Cdigo Penal, y por ltimo el Texto Refundido de la Ley de Ij
Propiedad Intelectual aprobado por el Real Decreto Legislativo 1/19% de 12 de abril
as como una serie de normas especficas del sector establecen un marco jurdico de k
que se viene denominando Nuevas Tecnologas de la Informacin.
El establecimiento de ese marco jurdico incide de forma impon ante en la
Auditoria Informtica. Pues si antes comprobbamos que era imposible realizar una
Auditoria de Cuentas si no se auditaba lo que comentan esas "cajas negras que son
los sistemas de informacin y que contienen todos los datos ecoomicos de las
organizaciones, ahora vemos que difcilmente se puede realizar una Auditoria
Informtica si no tenemos en cuenta el marco jurdico en que se sitan esos sistemas
informticos.
Colaboran en el libro veintiocho autores, entre los que se encuentran profesores
de universidad y profesionales de reconocido prestigio en el mundo de la auditora
informtica, reuniendo algunos de ellos las dos cualidades, lo que aporta un gran valor
afodtdo a la obra al ofrecer perspectivas y experiencias muy variadas sobre
prcticamente todos los aspectos relacionados con la auditora informtica.
Los objetivos que nos hemos propuesto en esta obra son los siguientes:
Presentar de forma clara y precisa los conceptos fundamentales bre control
interno y auditora informtica.
Ofrecer un tratamiento sistemtico de las tcnicas y mtodos del auditor
informtico.
Dar a conocer los aspectos organizativos, jurdicos y deontolgcos asociados
a b auditoria informtica.
Exponer en profundidad las principales reas de la auditora informtica:
fsica, seguridad, desarrollo, mantenimiento, explotacin, ofimtica. calidad,
redes, direccin, etc.
Suministrar una visin global de la auditoria informtica en diversos sectores:
banca, sector areo, pblico. PYMES. etc.
www.FreeLibros.me
HKI>MK> XLI
Proporcionar pautas y experiencias que ayuden al profesional informtico en
las tareas de auditoria.
En esta segunda edicin del libro se han actualizado y corregido vahos captulos,
incorporando otros nuevos, con el fin de ofrecer una panormica actual y completa de
este campo.
CONTENIDO
La obra est dividida en tres partes claramente diferenciadas:
Parte I: Introduccin
En esta primera parte, que con va de siete captulos, se exxmen diversos
ooceptos fundamentales de la auditoria informtica. En el primer capiulo se describe
la utilizacin de la informtica como herramienta del auditor financelo. mientras que
ca el segundo captulo ya empieza la auditoria informtica propiamente dicha,
analizndose su relacin con el control interno, dedicndose el capiulo siguiente a
exponer las principales metodologas de control interno, seguridad y auditoria
formca.
El captulo 4 trata de uno de los aspectos fundamentales de la auditoria y de cuya
calidad depende realmente el xito de la misma: el informe de auditora Otro aspecto
esencial es la organizacin del departamento de auditoria informtica que te analiza
en el captulo siguiente.
Esta porte finaliza con dos captulos que se dedican a explorar sendos aspectos a
los que no se les suele dedicar la extensin necesaria en los libros exigentes: el marco
jurdico y la deontologa del auditor informtico, pero que nosotros estimamos
imprescindibles en la formacin de cualquier profesional que trabaje e i esta rea.
Parte II: Principales reas de la auditora informtica
Los captulos que configuran esta porte central del libro se dedicin a analizar las
Avenas reas a las que se aplica la auditora informtica. As. se empieza en el
captulo 8 con la auditoria fsica, mientras que el captulo siguiente se dedica a la
aaditora de la ofimtica. que cada da tiene un mayor peso en las empresas c
s&titciones; y el captulo 10 a la auditora de la direccin.
Los captulos I I al 13 se dedican a exponer las consideraciotes de auditoria
informtica sobre tres reas bastante relacionadas: explotacie. desarrollo y
mantenimiento; que se complementan con el contenido de los dos cajitulos siguientes
que abordan las bases de dalos y la tcnica de sistemas respectivament:.
www.FreeLibros.me
Xl.ll AI'OtTUm IMOWMATK'A: UN ENTOQC'fc WtCTKO
Dos aspectos que cada da cobran mis importancia dentro de la aplicacin de las
Tecnologas de la Informacin a las empresas, la calidad y la seguridad, son objeto de
los captulos I6>- 17.
El capitulo 18 se dedica por completo a analizar la auditoria de redes, uno de los
componente* ms importantes en un sistema de informacin, que est experimentando
un cambio espectacular en la ltima dcada.
El captulo siguiente se dedica a exponer los principales demento* que deben
examinante a la hora de auditar las aplicaciones informtica', mimtras que el captulo
2(1 profundiza en estos aspectos para las auditorias de los sistemas E1S/DSS y las
aplicaciones de simulacin.
Esta parte finaliza con un captulo dedicado a la auditora de los entornos
informticos desde el punto de vista jurdico, totalmente actualizado para esta segunda
edicin.
Parte III: Auditora informtica en diversos sectores
No queramos dejar fuera de esta obra algunas consideraciones sobre la
aplicacin de la auditoria informtica a diversos sectores econmicos que sirviera para
aglutinar de forma prctica los conceptos expuestos en ln parte anterior.
Siguiendo esta filosofa, dedicamos el capitulo 22 a la auditoria informtica en el
sector bancario. mientras que el captulo 23 analiza la auditoria informtica en el
sector transportes, especficamente el areo. Los captulos 24 y 25 tratan sobre la
auditora informtica en dos sectores muy importantes m nuestro pas: la
Administracin Pblica y las PYMES.
Parte IV: Otras cuestiones relacionadas con la auditora
informtica
En esta segunda edicin del libro se han incorporado dos nuevos captulos que
complementan a los anteriores tratando importantes cuestiones relacionadas con la
auditora informtica. El captulo 26 aborda la relacin entre el peritaje y la auditora
informtica, mientras que el captulo 27 analiza el contrato de auditoria.
El libro finaliza con una amplia bibliografa que ha servido de referencia y que.
en parte, tambin se ofrece como lecturas recomendadas en cada uno de lo* captulos.
Tambin hemos incluido en cada captulo unas preguntas de repaso que pueden
indicar al lector el grado de asimilacin que ha alcanzado sobre la materia.
Por ltimo se incluyen los acrnimos utilizados en el texto.
www.FreeLibros.me
ORIENTACIN A LOS LECTORES
Aunque un conocimiento en profundidad de l u tcnica* y hcTamiemas de la
auditoria informtica puede estar reservado a lo profesionales de la materia, nuestro
propsito al editar esta obra ha sido dirigirnos a una audiencia muchc mis amplia que
comprende:
Participantes en seminarios o cunos monogrficos sobre auditoria
informtica, bien sean de introduccin o mis avanzados.
Profesionales informticos y economistas que estn trabajando en el rea de
auditoria, ya sea financiera o informtica, y que deseen amplia y perfeccionar
sus conocimientos.
Directivos que sean responsables de la gestin del departamento de sistemas
de informacin, su desarrollo o explotacin.
Profesionales del Derecho que se encuentren trabajarxfo en el campo
informtico.
Estudiantes universitarios de la asignatura Auditoria hformtica. que
afortunadamente se va incorporando actualmente en los planes de estudio de
un mayor nmero de universidades.
Consultores informticos y usuarios avanzados que tengan iiters en adquirir
algunos conocimientos sobre auditoria informtica.
Debido a la diversidad de la audiencia, el estudio de esta obra puede realizarse de
maneras muy distinta*, dependiendo de la finalidad y conocrmmlos previos del
lector, ya sea auditor o auditado.
Cada porte y cada captulo pueden consultarse de manera autnma sin tener que
Kguir el orden que se ha establecido.
AGRADECIMIENTOS
Querramos expresar nuestro agradecimiento, en primer lugar, a los autores que
colaboran en esta obra y que son sus verdaderos artfices. Si* conocimientos,
experiencias y autoridad en el campo de la auditora informtica constituyen, sin lugar
a dudas, una garanta de la calidad de su contenido.
Queremos agradecer a Rafael Rodrguez de Cora, antiguo presidente de la OAI
(Organizacin de Auditoria Informtica), el haber aceptado escribir el prlogo a la
primera edicin de esta obra, y a Marina TosiniVo presidenta actual de la OAI por el
prlogo a esta segunda edicin, pues al igual que el resto de los rompaAeros de la
www.FreeLibros.me
XIJV AXTOU INFORMTICA UXK>FOQfEPRCTICO__________________________
OAI. ha sido durante varios aflos una fuente constante de aprendizaje y de intercambio
de nicas, manteniendo encendida la llama de la auditora informtica en nuestro pas.
Asimismo agradecemos a Miguel Recio Gayo su inestimable ayuda en la revisin
de la obra.
Desde estas pginas queremos tambin agradecer a los lectores de la primera
edicin del libro por mis sugerencias y felicitaciones, ya que ellos han hecho posible la
realizacin de esta segunda edicin.
Mario Piattini quiere dejar testimonio de su reconocimiento a los distintos
profesores que tuvo, ya hace varios aflos. en el Mster de Auditora Informtica
dirigido por Carlos Manuel Fernndez, organizado por la empresa CENE1. Ellos
despertaron su inters por un rea cada da ms relevante dentro de la Informtica.
Emilio del Peso quiere expresar particularmente su agradecimiento a todos
aquellos que han confiado en l siendo el que menos sabe en esta materia: a su familia
que siempre, de una forma u otra, colabora en todo aquello que hace, y especialmente
a sus hijas Nuria y Mara del Mar. que han colaborado en la transcripcin y correccin
de esta obra.
Por ltimo, nos resta dar las gracias a Ana M. Reyes por sus valiosas sugerencias
que. como en otras muchas ocasiones, han contribuido a mejorar considerablemente
este libro, as como a la empresa Albadalejo. S.L, que se encarg de la composicin
del mismo, y a la editorial Ra-Ma. especialmente a los Luis Ramrez, por su apoyo y
confianza.
Mario Piainni
Emilio del Peto
MaJri. OttefcrtXDO
www.FreeLibros.me
PRLOGO A LA PRIMERA KDICIN
Tengo el gran placer de presentar Auditoria Informtica: Un t npqur prctico, de
lo Editores Emilio del Peso y Mario Piattini. Me parece un libro extraordinariamente
oportuno p a n la situacin en que vivimos, desde el punto de visu tecnolgico, de los
negocios, y de la auditoria y seguridad informtica, ya que aporta un enfoque
egrado y completo.
Estamos inmersos en un profundo cambio de todo tipo que nos l evar al prximo
agio XXI. La empresa y organizaciones dependen de los rdenes econmicos,
industriales, y sociales en los que se encuentran inmersas por lo que. si las tendencias
tecnolgicas y los entornos econmicos e industrales cambian. Jeben adaptarse
rpidamente a las nuevas circunstancias para sobrevivir. Una de l i s tendencia
actuales ms significativas es la que se dirige desde una Sociedad lidu s t ri al hacia la
llamada Sociedad de Informacin.
Este cambio es muy rpido, est afectando al mundo entero, y su comprensin es
fundamental para las organizaciones de lodo tipo, particularmente en el contexto de
ktt Sistemas y Tecnologas de Informacin. Aunque lo avances tecnolgicos de los
lUtimo veinte aflos han sido constantes y espectaculares, en los ltimos cinco artos se
Ki producido una verdadera revolucin tecnolgica de gran calado impacto para la
propia industria informtica, as como de consecuencias importantes pora el resto de
los sectores.
Cada ve* un mayor nmero de organizaciones considera que la informacin y la
tecnologa asociada a ella representan sus activos mis imprtame. De igual modo que
se exige para lo otros activos de la empresa, los requerimientos de calidad, controles,
seguridad c informacin, son indispensables. La gerencia debe estaUecer un sistema
de control interno adecuado. Tal sistema debe soportar debidamente lo procesos del
negocio.
www.FreeLibros.me
XXX AfOtTOlA INFORMTICA UN BflOQUIl WtACTKO m m
Hacindose eco de estas tendencias. U propia Organizacin ISACA (Information
Systems Audit and Control Avsociation). a travs de su Fundacin, public en
diciembre de 1995 el CoNT (Control Objectives for Information and Relates!
Technology). como consecuencia de cuatro aAos de intensa investigacin y del trabajo
de un gran equipo de expertos internacionales.
El marco del CobiT es la definicin de estndares y conducta profesional para la
gestin y el control de los Sistemas de Informacin, en todos sus aspectos, y
unificando diferentes estindarev mtodos de evaluacin y controles anteriores.
Adicionalmente, esta metodologa apoda un factor diferencial enormemente
importante: la orientacin hacia el negocio. Est disertado no slo para ser utilizado
por usuarios y auditores, sino tambin como una extensa gua para gestionar los
procesos de negocios.
Sin embargo, en trminos generales, podemos decir que a pesar de los grandes
adelantos tecnolgicos, la situacin actual de los Sistemas de Informacin en las
Empresas y Organizaciones espaolas se caracteriza frecuentemente por una falla de
asimilacin de las nuevas tecnologas, por una mfrautilizacin de los equipos
informticos, por un descontento generalizado de los usuarios, por una obsolescencia
de las aplicaciones informticas actuales, por una falta de planificacin de los
Sistemas de Informacin, y por soluciones planteadas parcialmente que. al no estar
integradas, producen islotes de mecanizacin y de procesos manuales difciles de
controlar y caros de mantener. En definitiva, por una falta de estndares y
metodologas, y por una falta de formacin y cultura generalizada, sobre todo en los
aspectos de control y de segundad informtica.
I-a Auditora Informtica ha aportado soluciones, en el pasado, para estos
problemas; pero se ha realizado frecuentemente, hasta ahora, slo en grandes empresas
y. en la mayora de los casos, como un complemento a la Auditora Financiera.
Por diversas razones y por el mayor impacto que estn adquiriendo las
Tecnologas de Informacin en la empresa, esta disciplina est siendo cada vez ms
importante y su aplicacin puede llevarse a cabo tambin en la PYME. La Auditora
Informtica plantea unos mtodos y procedimientos de control de los Sistemas de
Informacin que son vlidos para cualquier tamaAo de empresa.
Aqu es donde creo que este libro de Auditoria Informtica: Un enfoque prctico
es de una gran utilidad al presentar un compendio exhaustivo de los temas de ms
actualidad por los autores ms cualificado del sector.
Puede servir de base, por un lado, para llevar a cabo la cultura y formacin sobre
Auditora Informtica, a la que me refera anteriormente, desde un punto de vista
tcnico: por otro lado, toca otros temas de inters actual y prctico, desde el punto de
vista del negocio y de la empresa, relativos a la organizacin, a la deontologa. al
marco jurdico, a la responsabilidad del empresario, y a la aplicacin prctica de la
Auditora Informtica en diversos sectores empresariales.
www.FreeLibros.me
pkOmxvo a i a pwvij(a uxciQs xxxi
Es de destacar, y de agradecer, el subttulo de Un enfoque prctico. La mayora
de Us publicaciones de Auditora Informtica se han escrito en otra idiomas o han
sido traducidas en Sudamrica. y eran manejadas y utilizadas por especialistas, pero
no han calado suficientemente en el pblico en general". Mucha de ellas se han
orientado hacia especialistas de Auditora Informtica para realizar >u trabajo, lo que
est tambin ampliamente descrito en l. pero entiendo que este libro adems, tal
como est planteado, supone ese acercamiento de la Auditora a los rmpresarios. a los
usuarios y a esc pblico en general.
La competencia global ya est aqu. Las empresas y organizaciones se deben
reestructurar hacia operaciones cada vez mis competitivas y. cono consecuencia,
deben aprovechar los avances de las tecnologas de los Sistemas de Informacin para
mejorar su situacin competitiva.
Hoy da hablamos de reingeniera de negocios y de procesos, d: calidad total, de
procesos distribuidos, de organizaciones planas, de EIS/DSS. etc., o m o cambios que
generan un impacto en la manera en que operan las organizaciones privadas y
pblicas. Estos cambios estn teniendo y continuarn teniendo implicaciones
profundas para la gestin y para las estructuras de control en las crganizaciones del
mundo entero.
Entre las implicaciones de las tecnologas de informacin sobre la gestin
empresarial no quiero desaprovechar la oportunidad para comentar el gran impacto, en
I empresas y organizaciones, que tendr el efecto del cambio al euro y del problema
del ao 2000 en las aplicaciones actuales.
Esto ser un ejemplo dramtico de que la previsin, el control, la seguridad, y la
reduccin de costes, implicados en los Sistemas de Informacin mecanizados. pueden
convertirse en una estrategia fundamental de las organizaciones. La automatizacin de
Us funciones y procesos de la organizacin, por su propia naturaleza, genera una
mayor dependencia de mecanismos de control en los computadores y redes desde el
purco de vista del hardware y del software.
En este marco, de cambio acelerado, si los responsables van a estar a la altura de
las circunstancias, es necesario que se pongan al da en cuanto a tecnologa y entorno
de la Auditora Informtica. Este libro, compilado por Emilio dtl Peso y Mario
Piattini. puede ser fundamental para ello.
Desde las Organizaciones como la OAI. que nos dedicamos a difundir y a
promooonar esta actividad, deseamos fervientemente que el libro tenga la divulgacin
que se merece y que efectivamente llegue a crear una "escuela" e s p i l a , que se echa
de menos en nuestro enlomo, para mcntalizar a la Sociedad de la inportancia de ex
disciplina.
por Rafael hoJrigue; de Cora
PrruJoUf * U Oipoiuote de Kuitcti Inforatfuc*
de b 1SACA
www.FreeLibros.me
PRLOGO A LA SEGUNDA LUICIN
L/i importante es mirar nuevamente
i r ni e mio en cuenta lai obras ya existentes.
teniendo en cuenta sus leyes,
su.t cdigos semnticos
e mterrelackmet.
Equipo Crnica
Al releer este libro. Auditoria Informtica: un enfoque prctico, entend que
ihi a re stillar una labor mu) ardua poder aiVadir algn concepto de i n t e r i a los
Kledot ya en las pginas siguientes Por esta ra/n. me be permitido un primer
atrevimiento: esbozar algunas reflexiones propias sobre la Auditora de Sistemas de
Informacin. asi como comntanos obre el K'ntcnido de esta obra.
hi segundo atrevimiento es. en esta presentacin, hablar de "Auditora de
Stocmas de Informacin" en ve/ de "auditora informtica". La primera denominacin
m i sustituyendo de alguna manera a la segunda. I j expresin Auditora de Sistemas
de Informacin, que se esl consolidando en todo el mundo, corresponde a la realidad
y previsin actual del avance de la tecnologas. Actualmente el acento est en la
informacin. siendo el elemento tcnico un componente variado, diverso y cambiante,
al servicio de la informacin. Este cambio tambin ha sido adoptado hace varios aos
por la Information Systems Audit and Control Associai ion (ISACAh reflejndolo en
d nombre para la asociacin.
Volviendo la vista atrs, y tratando de explicarme, tambin a m misma, qu
alente tiene ser un profesional de la Auditora de Sistemas de Informacin, descubro
que la principal atraccin est en su aspecto "creativo". De ahf la eleccin, como
prlogo, de una frase de un equipo de creadores que resume para m una concepcin
aplicable a la actividad de la que hablamos: aprensler de las obras de otros, con una
www.FreeLibros.me
XXXIV AlTOIINFORMATICA I M NKXE t PKS( IK O
mirada nueva y actualizada, icncr en cuerna los fundamentos h<*cos para el desarrollo
de la profesin, establecer un lenguaje comn de comunicacin e integrad* de todas
las disciplinas o actividades que estn relacionadas, y al mismo tiempo, investigar en
nuevas direcciones. lista, es tal vez la ra/n mis importante que me ha hecho
permanecer en esta profesin.
l a opcin para esta permanencia engloba otro factor: la creciente consciencia
del cometido social que puede desempear esta profesin. I j tecnologa c a cada dia
ms presente en nuestras vidas, desde la domstica y privada kasta la profesional, y
frente a este imparable impulso tecnolgico, la sociedad necesita tener una opinin
objetiva c independiente sobre el margen de confianza que pued* tener en los sistemas
de informacin.
Por lo tanto, sigo convencida de lo acertado de la decision cuando acept en el
aik> 1977 cons'cftirmc en un auditor informtico. Para mf. en ese momento en
EspaAa era una profesin incipiente, aunque, en otros pases tuviese ya mayora de
edad. Desde aquel entonces la Auditora de Sistemas de Informacin ha
experimentado en EspaAa. una notable expansin, hasta el punto de convertirse en un
elemento clave con relacin a fiabilidad de los servicios, usos y prestaciones de los
sistemas informticos y nuevas tecnologas.
Publicaciones como la presente son de vital importancia para la difusin de la
actividad y utilidad de la Auditora de Sistemas de Informacin, y adems permiten,
especialmente para aquellos que se inician en esta actividad, apeyarse en el camino ya
recorrido por otros profesionales como punto de referencia.
La actividad profesional se basa en unas "buenas prcticas'' consensuadas por
los profesionales a travs de sus asociaciones profesionales. Los auditores de sistemas
de informacin deben ser los verdaderos protagonistas de establecer los fundamentos
del ejercicio de su profesin de una forma coherente, meditada y atendiendo a kit
avance* de la tecnologa, as como a las necesidades de la sociedad a la cual se deben.
ste es uno de los objetivos de la Organizacin de Auditora liiormtica. capitulo de
la ISACA. que en Espaa, de forma pionera, fue fundada <n el arto 1987. Una
asociacin de este tipo, con la participacin activa de sus integrantes, debera intentar
mejorar, desarrollar, consolidar y armonizar la profesin, logrando el afianzamiento de
las metodologas de Auditora de Sistemas de Informacin.
Se trata de establecer unas bases slidas que tienen qu: ver. principalmente,
con el objetivo de la Auditora de Sistemas de Informacin, el conocimiento de los
elementos auditados y la capacidad para detectar riesgos. La Auditora de Sistemas de
Informacin, u l como se entiende en el mbito internacional, en los colectivos de
profesionales, no tiene como propsito esencial saber si un de te-minado control, tanto
predeterminado como adecuado, se ha implantado simplemente, sino saber qu control
o controles existen con la misma finalidad, qu objetivo y fin timen, cmo se realizan
www.FreeLibros.me
y la eficacia tienen cu cuanto al cumplimiento. y qu nesgas existen an para los
sistemas de informacin, o bien qu perjuicios pueden causar indirectamente.
A partir de aqu, dada la diversidad de la tecnologa y sus usm e implantacin,
se puede decir que no existe una verdad absoluta y taxativa sobre qu se considera
buenos mecanismos de control, ya que sto* son siempre el producto de una situacin
determinada, as como de su especificidad- Por eso los auditores de Sistemas de
Informacin, a travs de sus experiencias, colaboran para mejorar, consolidar y
armonizar l i s prcticas de esta profesin.
La mejora se obtendr con una actitud innovadora y creativa de los
profesionales que las comparten y contrastan para tratar de consolidar y armonizar un
referente comn tanto pora los integrantes del colectivo como para I usuarios de sus
servicios.
En los ltimos tiempos, la legislacin relacionada con las tecnologas de la
informacin y con el tratamiento de datos personales, alude a las auditoras sin darles
un apellido determinado, ni una definicin concreta Se entiende, dado el elemento
auditado y los resultados que se le pide a esa auditora, que debera tratarse de una
Auditora de Sistemas de informacin. Tampoco esta actividad estf definida en los
diccionarios, incluyendo el de la Lengua Espaola l-a ms cerca-ia es la auditora
contable, o la de auditor, que no cooperan al esclarecimiento de la pofesin. sino que
al contrario, es posible que confundan an ms. Sin embargo, se desprende de todas
ellas, a mi entender, la idea de la independencia u objetividad del auditor, as como la
necesidad de un trabajo profesional claramente definido.
A modo de ilustracin sobre kxs principios de la actividac. se incluyen dos
manifestaciones de la ISACA: Los objetivos de la Auditora de Sistemas de
Informacin deben brinda a la Direccin de una seguridad razonablr que los controles
se cumplen, fundamentar los riesgos resultantes donde existan debilidades
significativas de control y aconsejar a La Direccin sobre accione* correctivas: as
como "la realizacin de una Auditora de Sistemas de Informacin implica la
evaluacin y emisin de una opinin objetiva e independiente, y de recomendaciones
sobre la fiabilidad de un sistema de informacin".
La Auditora de Sistemas de Informacin, dada su relacin intrnseca con las
tecnologas de la informacin, con las entidades y organizaciones que utilizan estas
tecnologas, y con Ion usuarios en general, mantiene necesariameate mtenclaciones
con otras disciplinas o actividades profesionales, con las que comparten proyectos
aunque, con distintas metas, reas de actuacin y responsabilidades.
De hecho, la profesin se ha nutndo y se nutre de experto provenientes de
distintas disciplinas afines. Los requisitos esenciales para realzar este tipo de
actividad son: conocimientos slidos de auditora, as como conocmiento* tcnicos y
entrenamiento permanente en las nuevas tecnologas. Esta situacin, dados los avances
o AMA_______________________________________ WtlXXX A LA SECUNDA UXCKX XXXV
www.FreeLibros.me
XXXVI M DIIOHIMSHlMSIVIK'.t I S I M i y i l*A. TII <
de la tecnologa. est llevando a lo auditores de sistem de informacin a
especializarte en determinadas reas o entorno tecnolgico. La realidad seAala que
lo equipos de Auditora de Sistemas de Informacin de las entidades de dimensin
importante estn formados por profesionales multidisciplinares.
El presente libro Auditoria Informtica: un tnfoq t c prctico, incluye
acertadamente este aspecto de las inte relaciones, desde la utilizacin de la informtica
o herramientas tecnolgicas, en concreto con respecto a lo auditores financieros, al
impacto de la creciente legislacin coc relacin a la utilizacin de las tecnologas.
Oportunamente, se analizan aquello elemento comunc para distintos tipos de
auditora, como son lo* principios de un informe de auditora, y los aspectos ticos que
debe observar un auditor, Es de agradecer la clarificacin obre j n sistema de control
memo y la realizacin de una Auditora de Sistemas de Informicin. El ejercicio de
ambos actividades tiene puntos en comn, incluso en situackoe* determinadas se
utilizan la mismas herramientas tcnicas. Sin embargo, existen diferencias especficas
que se indican en los captulos correspondientes. El control interno de los sistemas de
informacin es una responsabilidad primaria de us responsables. Adems aporta
aspectos prcticos tanto de la organizacin de la funcin de Aucitora de Sistemas de
Informacin, como de la realizacin de peritajes informiieo*.
Coincidiendo con las definiciones de la ISACA referidas en esta presentacin,
la Auditora de Sistema de Informacin abarca la revisin y eviluacin de todos los
aspectos (o alguna seccin/rea) de los sistemas automatizado de procesamiento de
informacin, incluyendo procedimientos relacionados no automticos, y las
interrelacioncs entre ellos. De ah que. eficazmente, se hayan previsto tratamientos
separados de distintas reas objeto de la Auditora de Sistemas de Informacin, desde
la seguridad fsica y ofimtica. hasta lo aspectos de tipo legal, la calidad, y b
seguridad, considerando tambiln los aspectos de gestin le los sistemas de
informacin, la adecuacin de la actividad a entornos medios, lat reas de desarrollo,
sistemas concretos y tecnologas especficas.
Es importante destacar que este enfoque prctico abarca isimsmo el ejercicio
de esta actividad en determinados sectores de actividad, que pueden imprimir en la
realizacin del trabajo del auditor una cierta particularzacin. ya que lo riesgos de
los sistemas de informacin, en muchos casos, varan y dependen de la actividad
empresarial.
Los profesionales que han hecho posible este libro, esti haciendo un aporte
cualitativo a este "camino que se hace al andar", contribuyendo i que la Auditora de
Sistemas de Informacin se entienda en cuantos a sus objetivos, y que al mismo
tiempo cumpla con u funcin ocia! de dar confianza en los sistemas de informacin
a sus responsables y a la sociedad en general que recibe sus servicio.
Quiero personalmente agradecer a Mario Piattini y Emilio del Peso, por
haberme honrado con la peticin de hacer esta presentacin. Cono parte del colectivo
www.FreeLibros.me
profesional de auditores de sistemas de informacin. agradezco umwn el esfuerzo
dedicado pora llevar a buen trmino estas publicaciones, y mi difuvn y. asimismo
hago extensivo mi reconocimiento a los distintos autores por mi contribucin.
Marina Tourito
Ccrtified Information Systems Auditor
Presidenta de la Organizacin de Auditoria Informtica
i_____________________________________ HHfrjUOO A l-A SKA'KDA MUCKVM XXXVII
www.FreeLibros.me
CONTENIDO
A u l o m ___________________________________________________________ XXI
Prlogo a la primera edicin....... ..... .................................................................................... - ......................... XXIX
Prlogo a la secunda edicin........................... .....................................- .............. XXXIII
Pr cfado......... - ........................................................................................ .................. XXXIX
PARTE I. INTRODUCCIN.................. .................................... I
CAPTULO I. I.A INFORMTICA COMO HERRAMIENTA DEL
AUDITOR FINANCIERO (Monto Hernndez Garca) ........... ................ 3
1.1 Definicin del enlomo------ ------ -------------- ........ 3
1.2 Auditora. Concept o........ . ------------------------------------------------------ 4
1.3 Clases de auditora____________________________________ ________ 4
1.4 Procedimientos................. _.................................... ............................... . 5
1.5 Variacin del o b j e t o ......................................... ~......... ................................. 1
1.6 Consultara. Concepto......... ........................................................................ 9
1.7 Ventajas de la Informtica como herramienta de la Aoditcra
financiera__ __________ ___________ --------------------------------- _ 12
1.7.1 Grado de informan/acido__________ _____ ____________ 12
1.7.2 Mejora de Ui tcnica habituales.......................... -------- 12
I . 7 J Evolucin-------------------------------------------------------------------- 19
1.7.4 Grado de utilizacin------- -------------- ............... - .................. 20
1.8 Conclusiones_____ ____________________________________________ 22
1.9 Cuestiones de reposo ______ ____ _____ ___________________ 22
CAPTULO 2. CONTROL INTERNO Y AUDITORA
INFORMTICA (Gloria Snchez Val riberas)..................... ......................... 25
2.1 Introduccin__________________________________________________ 25
www.FreeLibros.me
CAPTULO 5. ORGANIZACIN DF.I. DEPARTAMENTO DE
AUDITORA INFORMTICA (Rafael Ruano Diez)-------------------------- 107
5.1 Antecedentes........................ --------- ...................------- ....... . 107
5.2 Ct ae s y tipos de Auditoria Informtica-------------............. ----- ------ 109
5.3 Funcin de Auditora Informtica ............................ ....................... 110
5.3.1 Definicin........... ............................................. ...................------ 110
5.3.2 Perfiles profesionales de la funcin de Auditora Informtica 111
5.3.3 Funciones a desarrollar por la funcin de Auditora
Informtica...-------- -----..........------------------- .......--------- ------ 112
5.4 Organizacin de la funcin de Auditora Informtica............... ....... 115
5.5 Cuestiones de repaso............ ................................ - .............. 117
CAPTULO 6. EL MARCO JURDICO DE I-A AUDITORA
INFORMTICA (Emilio d t l Peso Navarro)------------------------------ ------- 119
6.1 Introduccin.......... ............. - -................. 119
6.2 La proteccin de datos de carcter personal....--------- ..................------- 121
6.3 La proteccin jurdica de los programas de computador------------------- 124
6.4 Las bates de datos y la multimedia............................ .............. ....... .......... 128
6.5 Los delitos informticos._______ ------------------------------------------................------------------- --------------------------- 131
6.6 Los contratos informtico*............. .......... ....... ............................. - 136
6.7 El intercarabto electrnico de dato_______ ___ .......................... 141
6.8 La transferencia electrnica de fondo-------------- ------------------- 142
6l9 La contratacin electrnica.------------- ------------ -------------------- 144
6.10 K1 documento electrnico------------------------------------------------------------ 147
6.11 Lecturas recomendadas--------------------------------------------------- ----------- 148
6.12 Cuestiones de repaso............ ......... ....... - ............. ....... 149
CAPTUIX) 7. DEONTOLOGA DEL AUDITOR INFORMTICO Y
CDIGOS TICOS (Jorge Pez MaM)............ ...................... ...................... 151
7.1 Introduccin__________________________________________________ 151
7.2 Principio* deontolgicos aplicables a los auditores informticos............ 156
7.2.1 Principio de beneficio del auditado.............................................. 156
7.2.2 Principio de calidad.................. ................ .............. ............. 158
7.2.3 Principio de capacidad---------- -------------------- --------------- 158
7.2.4 Principio de cautela..............____________________________________ . ................................. ................................ 159
7.2-5 Principio de comportamiento profesional-------------- - ......... 160
7.2.6 Principio de concentracin en el trabajo........ .................. 160
7.2.7 Principio de confianza.................................................................. . 161
7.2.8 Principio de criterio propio...... --------- -------- ------- 162
7.2.9 Principio de discrecin...........................................- ...................... 162
7.2.10 Principio de economa.................................... ............................... 163
7.2.11 Principio de formacin continuada ...................... ....... ... 163
www.FreeLibros.me
vi Ai pnowU isKrttvtncA: t y enfoque pkactkx
2.2 Las funciones le control interno > auditora informticos .............. 27
2.2.1 Control Interno Informtico .................................................. 27
2.2.2 Auditora Informtica ............ . . . . . . . ----------------------------.......... 28
2.2.3 Control interno y auditora informticos: campos anl>gos.... 29
2.3 Sistema de Control Interno Informtico ..................... ........................- 30
2.3.1 Definicin y tipos de controles internos...................................... 30
2.3.2 Implantacin de un stema Se controles internos
informticos__________________________________________ 32
2.4 Conclusiones--------------------------- --------- --------------- ------------ -------- 42
2.5 Lecturas recomendada*--------------------------------------------------------------- 43
2.6 Cuestiones de repaso----. . . . --------------- --------- ............. - .......-------- 43
CAPTULO 3. METODOLOGAS DE CONTROL INTERNO.
SEGURIDAD Y AUDITORA INFORMTICA
(Jos Mara Gonzlez Zubieta)......... .................................................................................. ............................. .................................................................. 45
3.1 Introduccin a las metodologas......... ........ .............. ................................... 45
3.2 Metodologas de evaluacin Je rinat i*------------------ ----------------------- 49
3.2.1 Conceptos fundamentales............... ............ - ---------------------- 49
3.2.2 Tipos de metodologas --------- ------------- 51
3.2.3 Metodologas ms comunes----- --------------- . . . . ------------------ 52
3.3 l-as metodologa* de Auditora Informtica. . ----------------------- ---------- 63
3.4 El plan auditor informtico----------------------------- ---------------- ------ 65
3.5 Control interno informtico. Sus mtodos y procedimientos. I j s
herramientas de control__ . . . . . . . . . . . . . . . . . . . . . . . . . . . . ------- . . . . . . . . . . . . 67
3.5.1 La funcin Je control. . . . . . . ......... ....... .......................... . 67
3.5.2 Metodologas de clasificacin de la informacin y de
obtencin le los procedimientos le control.......................... 70
3.5.3 Las herramientas <k control........... ...................................... ...... 75
3.6 Conclusione*___ ---------------------------------------- . . . . . . . . . . . . . ----- 82
3.7 Ejemplo de metodologa le auditora de una aplicacin. . . . . . . . . . . 82
3.8 Lecturas recomendadas---- ---------------------------------------------- 91
3.9 Cuestiones le r e p a s o . . . . . . . . . ------- ------------ .......................--------- 91
CAPTULO 4. EL INFORME DE AUDITORA
(Jos/ de la Pea Snchez).............. ............ . . . ------------------------------ . . . . . . . . . . 93
4.1 Introduccin. . . . . . . . --------------------. . . . . . ---------------------- 93
4.2 Las n o m o s --------- ----------- ------ . . . . . --------------- ------- --------------- 95
4.3 La evidencia ___ . . . . . . . ------------ ----------------------. . . . . . --------- 97
4.4 I.as irregularidades------------------------- . . . . . . . --------------- ------- -- 98
4.5 l-a documentacin . . . . . . . . -------- ----------------------------------------. . . ------------------- 98
4.6 El informe----- -------------------------------------------- --------------------------- 99
4.7 Conclusiones____ ____. . . . . . . . . . . . . . . . . . . . . . . ------------ 104
4 8 Lecturas recomendadas. . . . ------------------------. . . . . . . . . ---------------------- 105
4.9 Cuestiones de repaso------------------------------- ------ ------ . . . . . . . . . . . . . . . 106
www.FreeLibros.me
X AUOfTOUlA INFORMATICA: US EXFOQtT. PKCTKT)_____________________________cm>
7.112 Principio de fortalecirroeoto y respeto de U pro/esio..... ........ 164
7.2.13 Principio de independencia__........_____________ _ I6S
7.2.14 Principio de informacin suficiente----- ------- .... ________ 166
7 2.15 Principio de integridad m o n i --------------------------------------- ------------- 167
7.2.16 Principio de legalidad-------------------------------------- --------- 167
7.2.17 Pnncipio de libre competencia------- ----- --------------------------- 168
7.2.18 Principio de no discriminacin---------- ----- ------------ ........ 168
7.2.19 Principio de no injerencia. ----------------- ------------------------- 169
7.2.20 Principio de precisin.-___ ______________ ______ ....... 169
7 2-21 Principio de publicidad adecuada.________________________ 169
7.2.22 Principio de responsabilidad _--------------------------------- -------- 170
7.2.23 Principio de secreto profesional-------------- -------------------- _ _ 170
7.2.24 Principio de servicio pblico---------- --------------- --------------. . . 172
7.2.25 Principio de veracidad ____ . ----------------------------------- 173
7.3 Conclusiones__________________________________________________ 174
7.4 Lecturas recomendadas............ ...................................................... ..... 177
7.5 Cuestiones de repaso.... .................. ................ ................ ............177
P A R T E n . P R I N C I P A L E S R E A S D E I .A A U D I T O R A
I N F O R M T I C A ................. ........................ ............................................ ........... ... 179
CAPTULO 8. LA AUDITORA FSICA (Gabriel Desmonte Basilio)....... 181
8.1 Introduccin__________ _________________________ ___________ ___ 181
8.2 I-a segundad fsica......... ................................................................. .......... 182
8.2.1 Ante*______________________________________ _____ _______ 182
8.2.2 Durante________ _________________________________________ 183
8.2.3 Despus______________________________________________ __ 184
8.3 reas de la seguridad fsica............................................................................ 185
8.4 Definicin de Auditora Fsica____ _____ ___ ____________ ....... 187
8.5 Fuentes de la Auditora Fsica---------- ---------------------- --------------- ------ 188
8.6 Objetivos de la Auditora Fsica .......... ................................................. ... 189
8.7 Tcnicas y herramientas del auditor................................ ..... ............. 189
8.8 Responsabilidades de los auditores........... .........._........ ......... ...... 190
8.9 Fases de la Auditora Ffca_______________________________ - ____ 191
8.10 Desarrollo de las fases de la Auditora Fsica......... ............... ... ................. . 192
8.11 Lecturas recomendadas_________________________________________ _ 195
8.12 Cuestiooe de repaso..._______________________ ............_________ 195
CAPTULO 9. AUDITORA DE LA OFIMTICA
(Manuel Gmez Vaz)............................. ......... ..... ........... 197
9.1 Introduccin......._______________ ..........
9.2 Controles de auditora.............................. ...
9.2.1 Kconoma. eficacia y eficiencia..
197
198
199
www.FreeLibros.me
COXTtNIDO XI
9.2-2 Seguridad------------------------ ---------------------- ------------- ------- 204
9.2.3 Normativa vigente.............................. ............................................ 207
9.3 Conclusiones-__-------------------------------------------------------------------- 208
9.4 Lecturas recomendadas----- ----------------- ----------------- - ............ 209
9.5 Cuestiones de repaso__________________________________________ 210
CAPTULO 10. AUDITORA DE LA DIRECCIN
(Juan Miguel Ramos Escobosa>............................................ ......... ............... 211
10.1 Introduccin------------------- -----------------...................------------------------ 211
102 Planificar_____________________________________________________ 212
10.2.1 Plan estratgico de Sistemas de Informacin.......... . 212
10.2.2 Otros planes relacionado*..... ------------------------------------- - 214
10.3 Organizar y coordinar..-.-.------- ------------ ...... ................ 215
10.3.1 Comit de Informtica............-------------------- ------------------- 215
10.3.2 Posicin del Departamento de Informtica en la empresa........ 217
10.3.3 Descripcin de funciones y responsabilidades del
Departamento de Informtica. Segregacin de funciones....... 2 18
10.3.4 Estndares de funcionamiento y procedimientos Descripcin
de los puestos de trabajo--------------------------- ------- -------- ....... 220
10.3.5 Gestin de recunsos humano: seleccin, evaluacin del
desempeo, formacin, promocin, finalizacin-------------- 221
10.3.6 Comurocacio_____________...........----------- ------------ . . . 223
10.3.7 Gestin econmica------------------------------ -------- ---------- 223
10.3.8 Segaros.-------------------------------- -------------- ---------- --------- 225
10.4 Controlar______________ ~ --------------------------------------------------------- 226
10.4.1 Control y seguimiento----------------------------------------------------- 226
10.4.2 Cumplimiento de la normativa legal----------------------------------- ------------- 227
10.5 Resumen---------------------------------------------------------------------------------- 227
10.6 Lecturas recomendadas 228
10.7 Cuestiones de repaso --------------------------------------------- ---- 228
CAPTULO I I . AUDITORA DE I.A EXPLOTACIN
(Eloy Pea Ramos) ---------------------------...---------- 31
11. 1 Introduccin.........................-------------------------- --------- ------- 231
11.2 Sistemas de Informacin ---------------- - 232
11J Carta de encargo....------------------------------------------------------- ---------- 234
11.4 Planificacin---------------------------------- --------- --------------------------------- 234
11.4.1 Planificacin estratgica.-------------------------------------------------- 234
11.4.2 Planificacin Administrativa................................... ........ 246
11.4.3 Planificacin Tcnica..-.-...----------- ---------------------------------- 246
11.5 Realizacin del trabajo (procedimientos)..... ----- - 247
11.5.1 Objetivo general________________________ ----------- ------ 247
11.5.2 Objetivos especficos________________________ 247
www.FreeLibros.me
xa auduorM imormAttca. x knhxjce PRAcnco
11.6 Informes........................................................................... ..................
11.6.1 Tipos de informes_________........................ ..............
11.6.2 Recomendaciones.............................................................
11.6.3 Normas para elaborar los informes....... .......................
11.7 La documentacin de la auditora y su organizacin..................
11.7.1 Papeles de trabajo.............................................................
11.7.2 Archivos........................................................ ...................
11.8 Conclusiones.......................................................................
11.9 Lecturas recomendadas..... ........................ .....................................
11.10 Cuestiones de repaso____ ....---------------------------------------------
CAPTULO 12. AUDITORA DEL DESARROLIX)
(Jos^ Antonio Rodtro RotUro)................................ - .......... ..........
12.1 Introduccin.................................... .............. ......................... ..........
12.2 Importancia de la auditora del desarrollo...................................
12.3 Planteamiento y metodologa ----------------- --------------------........
12.4 Auditora de la organizacin y gestin del rea de desarrollo.,.
12.5 Auditora de proyectos de desarrollo de S.l..................................
12.5.1
12.5.2
12.5.3 Auditora de la fase de diseAo...
12.5.4 Auditora de la fase de construccin...
12.5.5 Auditora de la fase de implantacin...
12.6 Conclusiones .
12.7 Lecturas recomendadas ...
12.8 Cuestiones de repaso..,
CAPTULO 13. AUDITORA DEL MANTENIMIENTO
(Juan Carlos Granja Alvarez)................ ........... .................. ...... ............ ..........
13.1 Introduccin a la Auditora Informtica del mantenimiento del vftwarc.
13.2 Listas de comprobacin en Auditora Informtica del Mantenimiento..
13.3 Modeli/acin en la etapa de mantenimiento................. ..... _________
13.4 Modelo de estimacin en el mantenimiento.................. ....................- ....
13.4.1 Elementos de la mantenibilidad.............. ..................................
13.4.2 Mtricas de mantenibilidad..........................................................
13.4.3 Funciones de mantenibilidad........................................................
13.4.4 Mtodo de implementacin..........................................................
13.5 Caso de estudio......... ........................................................................-
13.8 Cuestiones de re
www.FreeLibros.me
CAPTULO 14. AUDITORA DE BASES DE DATOS
(Mario G. Piaitini Velthuii)..................................................
14.1 Introduccin..........___________................ ------------------------------ ...................-------------------- 311
14.2 Metodologa* pora U auditora de b u n d e dalos........ ............... ....... 311
14.2.1 Metodologa tradicional........................ .......................................... .................. 312
14.2.2 Metodologa de evaluacin de riesgos--------------- -------------- 3 12
14.3 Objetivos de control en el ciclo de vida de una h a de datos ............. 314
14 J . 1 Estudio previo y plan de trabajo.................................................. 314
14.3.2 Concepcin de la base de datos y seleccin del equipo ... 318
14.3.3 Diselo y carga..----------- ------------- .................................... - 319
14.3.4 Explotacin y mantenimiento------------------- .......... . 320
14.3.5 Revisin post-implantacin.......................................................... 321
14.3.6 Otros procesos auxiliares .............------------- ...................... 322
14.4 Auditora y control interno en un entorno de bases de dalos................... 322
14.4.1 Sistema de Gestin de Bases de Dalos (SGBD)....................... 323
14.4.2 Software de auditoria .......................... ..................................... 324
14.4.3 Sistema de monilori/.acin y ajuste (luni/tg) .......................... 324
14.4.4 Sistema Operativo (SO).. . - . ---------- ..........---------------- 324
14.4.5 Monitor de Transacciones-............................... - ..... - ................... 324
14.4.6 Protocolos y Sistemas Distribuidos............................................. 325
14.4.7 Paquete de seguridad......................... .................................... ...... 325
14.4.8 Diccionarios de datos...................... ...................... ....................... 326
14.4.9 Herramientas CASE (Computer Aided Syuem/Software
Engineering). IPSE (IntegrateJ Project Support Environmenis) 326
14.4.10 Lenguajes de Cuarta Generacin (L4G) independientes......... 326
14.4.11 Facilidades de u n a r i o ------------ -------------------- 327
14.4.12 Herramienta* de 'minera de dalos*........................................... 328
14.4.13 Aplicaciones__---------------------------- ------------------ ------------- 328
14.5 Tcnicas para el control de bases de dalos en un enlomo complejo....... 329
14.5.1 Matrices de control-------- ----------------------- ----------------------- 329
14.5.2 Anlisis de los caminos de acceso------------------------------------ 330
14.6 Conclusiones_________________________________________________ 330
14.7 Lecturas recomendadas ------ 332
14.8 Cuestiones de r ep a s o--------------------------------------------------- ---------- 332
CAPTULO 15. AUDITORA DE TCNICA DE SISTEMAS
(Julio A. Novoa Bermejo)------------------------......------------............................ 335
15.1 mbito de tcnica de sistemas ....... ....... ....................................... 335
15.2 Definicin de la funcin... .. .---------------- ...............--------- ..... 337
15.3 El nivel de servicio------------------------------------ --------------------------- ---- 337
15.4 Los procedimientos-----------------....-----------------------.............-------------- 339
15.4.1 Instalacin y puesta en servicio............ ...................................... 339
15.4.2 Mantenimiento y soporte........................... ................. ............ 340
www.FreeLibros.me
XIV AUOtTOKlA INFORMTICA- UN ESTOQUE HtACTKO___________________________ omw
15.4.3 Requisitos pora oros componentes... ............................ 340
15.4.4 Resolucin de incidencias........... ................. ............... 341
15.4.5 Seguridad y control-------------------------------- --------------------342
15.4.6 Informacin sobre b actividad...................................................... 343
153 Los controles... ......................................... .................. ........... ............................. - 343
15.6 Auditora de la fuocia............................................................................ 351
15.7 Consideraciones sobre la tecnologa y su evolucin--------------- --------- 356
15.8 Algunas referencias............... ------- ....................... ............. ............. 358
15.9 Lecturas recomendadas---- ------------------------------------- ------------ ------- 359
15.10 Cuestiones de repaso___ ...-------------- ----- - . -------------- ....---------------- 359
CAPTULO 16. AUDITORA DF. IJV CALIDAD
( JoU Ims IMetro Man re a ) ............. ............................................................... . 361
16.1 Prembulo......... ............ ...... ................... ............. ................ --------------------- 361
16.2 Definiciones previas......................................... ............................................. 362
16.3 Introduccin.......... ............... ............. .................... ------ - 363
16.3.1 Revisin ___ ..................____ .................. ..... ............................... 364
16.3.2 Elemento software............. ........................................ ......................... 364
16.3.3 Auditora---------------------------------------------------------------------- 364
16.3.4 Concepto de evaluacin segn la EHA........................................ 365
16.3.5 Concepto de Auditora segn la EEA......................... ............... . 365
16.4 Caractersticas de la calidad segn ISO 9126................................ ............ 365
16.4.1 Caractersticas ................ ............................................- ............................... 365
16.4.2 Modelo ISO Extendido------- -------- ------- --------------------------- 367
16.5 Objetivos de las Auditoras de Calidad........................................ ............. 370
16.6 Procesas de Calidad..-................. ................................................................. 371
16.7 El proceso de Auditora del Software............- ............................................ 375
16.8 Auditara de Sistemas de Calidad de Software.......................................... 381
16.9 Proceso de aseguramiento de la calidad descrito por ISO 12207...... 381
16.9.1 Impkmentacin del proceso----------------.............---------------- 383
16.9.2 Aseguramiento del producto ................................................. ........ 384
16.9.3 Aseguramiento del proceso..........- ...... - ............... ................... .. 384
16.9.4 Aseguramiento de la calidad de los sistemas................ ............ 385
16.10 Proceso de Auditora descrito por ISO 12207.............................. ...... 385
16.10.1 Implcmcniacin del proceso........... ............ ........................... 385
16.10.2 Auditora-------------------------------- ------------------ ............. .. 386
16.11 Conclusiones----------------------------------------------------------------------------- 386
16.12 Lecturas recomendadas................................................................................. 387
16.13 Cuestiones de repaso....... ............ .............................................. ...... 387
CAPTULO 17. AUDITORA DE LA SEGURIDAD
(Miguel ngel Ramos Gonzlez)......... ....... ........................................................ ............................. 389
17.1 Introduccin .......................... ...... ................ ............. .......------ 389
www.FreeLibros.me
cowwfapo xv
17 2 Areas que puede cubnr la auditoria d i la segundad.. ....------------ 393
I 7 J Evaluacin de riesgos----------------------------------------------------------- ----- 395
174 Fase* de la auditora de seguridad_______________....._________ _____ 399
17.5 Auditora de la segundad (toca- . .. ------------------------------------------------ 400
17.6 Auditoria de la segundad lgica.................................................. ................ 02
17.7 Auditoria de la segundad y el desarrollo de aplicaciones......................... -*04
17.8 Auditoria de la segundad en el rea de produccin--- -----------........... 404
17.9 Auditoria de la segundad de los dalos---------------------------- ----------- -*05
17.10 Auditoria de la segundad en comumcaciones y rede-----------407
17.11 Auditoria de la continuidad de las operaciones-------- ........----------- . 409
17.12 Fuentes de la auditoria___________________ ---------------------- 4 11
17.13 El perfil dd auditor-...--------------------------------------------- ------------- 411
17.14 Tcnicas, mtodos y herramientas----- ------ ---------------- ------------------- 413
17.15 Consideraciones respecto al i nf am e--------------------------- 414
17.16 Contratacin de auditora externa............................................ ................. 4 16
17.17 Relacin de Auditoria con Administracin de Seguridad.......................... 4 17
17.18 Conclusiones___________________________________ _____________ 419
17.19 Lecturas recomendadas____................------ ------------------------------- 421
17.20 Cuestiones de r epaso------------------------------------------------------------------ 422
CAPTULO 18. AUDITORA DE REDES
(Jos Ignacio Boito Prtz-HoUmda).................................................................. 423
18.1 Terminologa de redes. Modelo OS1 --------------------- - 423
18.2 Vulnerabilidades en redes................................ .................. ..........----------- 426
18.3 Protocolos de alto nivel-------------------------------------------------------------------- ----------------- 428
18.4 Redes abiertas (TCP/IP)----------------------- --------------------------------------- 430
18.5 Auditando la gerencia de comunicaciones------------------------------ ......... 434
18.6 Auditando la red fsica---------------------------------...................---------- 437
18.7 Auditando la red lgica ...............----- . . . --------------- 440
18.8 Lecturas recomendadas--------------------------------------------------------------- 443
18.9 Cuestiones de repaso______ _ ----------------- - -------------------------- 444
CAPTULO 19. AUDITORA DE APLICACIONES
(Jos Mario Madurga O u t y t ) ------ ------------ ...-------- -------- -------------- - . 445
19.1 Introduccin------ _...----------- --------------------------- ----------------- 445
19 2 Problemtica de la auditoria de una aplicacin informtica...... ............ 446
19.3 Herramientas de uso ms comn en la auditoria de una apbcacsn......... 450
19.3.1 Entrevistas__________________________________________ 450
19.3.2 Encuestas_____________________________________________ 451
19.3.3 Observacin del trabajo realizado por los usuarios.................... 452
19.3.4 Pruebas de conformidad.............................. .......................... ....... 452
19.3.5 Pruebas substantivas o de validacin---------------------------------------------- ---------------------- --------------------------- 453
19.3.6 Uso del computador .........------------ .................................. 454
www.FreeLibros.me
XVI AUPITOKA ISKXIMATK'Aj UN EifOQUf. HtACTlCO___________________________ ci*M
19.4 Etapas de la auditora de una aplicacin informtica................................. 456
19.4.1 Recogida de informacin y documentacin sobre la
19.4.2 Determinacin de los objetivos y alcance de la auditora........ 458
19.4.3 Planificacin de U auditoria...................... ......................... ......... 461
19.4.4 Trabajo de campo, informe e implantacin de mejoras............ 462
19.5 Conclusiones .................... ............ ............................................ - .................... 463
19.6 Lectura* recomendadas ................................... ............................................ 464
19.7 Cuestiones de r epaso......................... ....................-------------- -------------- 464
CAPTULO 20. AUDITORA INFORMATICA DE EIS/DSS
Y APLICACIONES DE SIMULACIN (Manuel Palao Garca-Suelto) 467
20.1 Propsito y enfoque............................ ...... .......................... ....................... 467
20.2 Desarrollo de la* definiciones operativa* de los conceptos clave ____ 468
20.2.1 Auditora Informtica........ - ----- ------------ ----------------- ---- 468
20.2.2 SID[/.?KSAD(DSS|-------------------------- -------- ------------------- 469
20.2.3 Aplicaciones de Simulacin-------------- ----------------------------- 472
20.3 Singularidades de la AI de los SID(75|. SADJDSSJ y Simulacin------ 474
20.3.1 Al de los SID] 7 5 ] ......- .............. ................................... .............. 475
20.3.2 Al de k SAD[Ztt$] y Simulacin ............................................. 480
20.4 Conclusiones _________________________________________________ 481
20.5 Lecturas recomendadas ................. ................................................... ------------------- 481
20.6 Cuestiones de repaso__..................... .........................------- ------- 481
CAPTULO 21. AUDITORA JURDICA DE ENTORNOS
INFORMTICOS Uosep Jtn-er i Podr)------------------------- ----------------- 483
21.1 Introduccin.............................. ..... ............ ....... ................... ............... 483
21.2 Auditora del entorno................................._____ _________ ............ 485
21.3 Auditora de las personas _________________________ 488
21.4 Auditora de la informacin..... 492
21.5 Auditora de los archivos_..................................... ---- ----------........... 493
21.5.1 Niveles de proteccin de los archivos........................... .............. 493
21.5.2 Mecanismos de seguridad del archivo------------------------------ - 495
2 1.5.3 Formacin de la figura del responsable del archivo.................. 495
21.6 Conclusiones________ ................................___ .................................... 503
21.7 Lecturas recomendadas............................................. ............... 5(H
21.8 Cuestiones de repaso------ ---------------------------------------------------------------- 504
www.FreeLibros.me
PARTE III. AUDITORA INFORMTICA EN DIVERSOS
SECTORES_________________________________________ 507
CAPTULO 22. AUDITORA INFORMTICA EN EI. SECTOR
BANCARIO (Pilar Amador Corara) ________________________________ 509
22.1 Caractersticas generales de la Auditora Informtica en las entidad
financieras________ _______ __________...................................--------- 509
22.1.1 Necesidad y beneficios de la auditora informtica en la
banca___________________________________ ...................... S09
22.1.2 Tipologa de las actividades a aud i t ar ................. ............ ........... 511
22.1.3 Objetivos de la auditora y preparacin del pUn de trabajo.... 514
22.2 Auditora Informtica de una aplicacin bancana tpica---------- . . . . . . . 5 15
22 2 I ("rtenos para la planificacin anual de los trabajos................... 516
22-2.2 Establecimiento del mbito de la auditora. . . . . . . . . . . . . . . . . . . . 517
22.2.3 Procedimientos de auditora a emplear------------------------------- 519
22.2.4 Consideraciones a tener en cuenta durante la realizacin
de la auditoria....................................... ......................................... 521
22.3 Auditora informtica de la proteccin de datos personales..... .. 523
223.1 La importancia y el valor de la informacin en el sector
bancario............................................................................................ 523
223.2 Actividades de auditora en relacin con la ptoccccio de dates
personales......................................................... ............................... 525
22.4 Cuestiones de repaso------------------------------------------------------------------ 530
CAPTULO 23. AUDITORA INFORMTICA EN EL SECTOR
AREO (Aurelio Hermoso Baos) ................................................................ .. 533
23.1 Introduce &>__________________________________________________ 533
23.2 Sistema de reservas Amadeos ------------------- ---------------------------------- 534
233 Facturacin entre compartas areas---------------------------------------------- 535
23.4 Cdigo de conducta para CRS. ...... ............................................................. 536
233 Procesos informticos..................................................................................... 538
23.6 Auditora Informtica............... .................................................................... 540
23.7 Conclusiones-------------------------------------------------------------------- ------- 548
23.8 Lecturas recomendadas ......................................548
23.9 Cuestiones de repwo------------------------------------------------------------------ 549
CAPTULO 24. AUDITORA INFORMTICA EN LA
ADMINISTRACIN <Vfaor Izquierdo Ixnola) ---- ----------------------------- 551
24.1 Introduccin..... ....................................................... . ------------------------- 551
24.2 Las TIC en la LRJ-PAC_______________________________________ 552
243 La informatizacin de registros______ . . . . . . . . . . . . . . . . . . . . . ---------------- 554
www.FreeLibros.me
XVIII AUDfTOOlA IXKXtMTK'A fX ENFOQUE PKCTKT)
24.4 Las previsiones del Real Decreto 263/1996. Je 16 de febrero, por el
que se regula la utilizacin de 1 tcnicas EIT por la Administracin
General del Estado.......- ............................. ................................................... 555
24.5 Identificacin de los requisitos de seguridad, normalizacin y
conservacin en el texto del Real Decreto 263/1996................................. 556
24.5.1 Garantas de seguridad de sopones, medios y aplicaciones.... 556
24.5.2 Emisin de documentos: procedimientos para garantizar la
validez de los medios: integridad, conservacin, identidad
del autor y autenticidad de la voluntad........................................ 557
24.5.3 Validez de las copias: garanta de su autenticidad, integridad
y conservacin .............................................................................. 558
24.5.4 Garanta de realizacin de las comunicaciones......................... 558
24.5.5 Validez de comunicaciones y notificaciones a k
ciudadanos: constancia de transmisin y recepcin,
estampacin de fechas y contenido ntegro, identificacin
fidedigna de remitente y destinatario........ ........................... .... S59
24.5.6 Comunicaciones por medios preferentes del usuario:
comunicacin de la forma y cdigo de accesos a sus sistemas
de comunicacin ____ ________ __________ ____________ _ 559
24.5.7 Validez de fechas de notificacin para cmputo de plazos;
anotacin en los registros generales o auxiliares a que hace
referencia el artculo 38 de la LRJ-PAC _____ ____________ 560
24.5.8 Conservacin de documentos: medidas de seguridad que
garanticen la identidad c integridad de la informacin
necesaria pora reproducirlos......................................................... 561
24.5.9 Acceso a documentos almacenados: disposiciones del artculo
37 de la Ley 30/1992. y. en su caso, de la Ley Orgnica
5/1992. Norma* de desarrollo.................... ...... ....................... 561
24.5.10 Almacenamiento de documentos; medidas de seguridad que
garanticen su integridad, autenticidad, calidad, proteccin y
conservacin.......____________ .................._______ ______ 562
24.6 Conclusiones sobre el papel de la Auditora Informtica en la
Administracin Electrnica............ .............................................................. 563
24.7 Cuestiones de repaso ______________________ ....___ _________ ........ 565
CAPITULO 25. AUDITORA INFORMTICA EN LAS PYMFS
(Carlos M. Fernndez Snchez)....... ................... - ....... ................ .................. . 567
25.1 Prembulo___________________________________________________ 567
25.1.1 Las PYMES y las tecnologas de la Informacin....................... 567
25.1.2 Metodologa de la Auditora Informtica.......................... ...... . 568
25.2 Introduccin........................................................... ............... ................. . 568
25.2.1 En qu consiste la gua de autoevaluacin?............................... 568
25.2.2 A quin va dirigida? .......________ _____________ ____ ___ _ 569
25.2.3 Conocimientos necesarios.............................................................. 569
www.FreeLibros.me
CONTTXIPO XIX
25.2.4 Entornos de aplicacin.................... ..... ....... - ............... 570
25.2.5 Metodologa utilizada .......------ -------------------------------------- 570
25.3 Utilizacin de la gua...................................................................................... 571
25.3.1 Fases de la airtoevahiacio..................................- ...........- .......... 571
25.3.2 Valoracin de resultado*---------------------------------- ............. 573
25.4 Mincomputadores e informtica distribuida. Riesgo en la eficacia le
serv icio informtico...................................... ................................. ................ 574
255 Cooclusiones___________________________ ___ __________________ 581
25.6 Lecturas recomendadas ---- ------ -------- -------------- . . . 582
25.7 Cuestiones de repa s o----------------------------------------------------------------- 583
PARTE IV. OTRAS CUESTIONES RELACIONADAS
CON LA AUDITORA INFORMTICA_______________ 585
CAPTUIX) 26. PF.RITAR VERSUS AUDITAR
(Jtss R h t r o Laguna)----- ------------------------------ --------- -------------------- 587
261 I n t r o d u c c i n ------- --------------------- -------- ...........----------- 587
26.2 Consuhorrs. Auditores > Pernos --------------------------------------------- ----------------------------------------------- 588
26.3 Definicin conceptual de Perito---- -------------------------------------- 590
27.3.1 Equivalencia con la denominacin de Experto".-------- .. 592
27 J . 2 Acerca de la adquisicin de txpert ist~....... . 593
26.4 Pento \ t n u s "Especialista**--- --------------------- ----------------- ... 594
27.3.1 Quin puede ver "Pcnto IT __________ .. 594
27 J . 2 Formacin de "Pcntos IT Profesionales"---------------------------- 597
2 7 J J Conclusin------------------------------------------------------------------- 598
26 5 Diferenciacin entre Informes. Dictmenes y Peritaciones.-.-...----- 598
27.3.1 Acerca del trmino "Informe** . .------- 599
27 J . 2 Acerca del trmino "Dictamen" 600
27.3.3 Definiciones del COIT---------------------------------------------------- 601
27.3.4 Tanfas diferenciadas de Honorarios de Ingenieros en
Trabajos a p a r t i c u l a r e s ----------------- 603
26 6 Peritaciones extrajudicules y arbitraje.................. - 604
26.7 El Dictamen de Pcntos como Medio de pr u eb a .... ------ 606
27.3.1 Objeto de la "prueba pericial** ---------------- 607
27.3.2 El "Dictamen de Peritos" en la vigente LEC ........ 608
27.3 J El "Dictamen de Peritos" en la LEC. de enero de 2000 -------- 609
27.3.4 Comentarios fioales..------------------------------------- 611
26.8 Cooclustooe* _____ --------------- 611
26.9 Lecturas recomendadas.....------------------------------------612
2610 Cuestiones de repaso 6 13
www.FreeLibros.me
XX AUMTO!* DffOMmiCA: Mt ENTOHIt HUCIKX)
CAPTULO 27. EL CONTRATO DE AUDITORA
(Isabel fat-ara Fernndez de Marcos)......................... ..................................... 6 15
27.1 Introduccita 6IS
27.2 Una breve referencia a la naturales jurdica del contrato de auditora.. 620
27.3 Partes de un contrato de auditora. El perfil del auditor informtico..... 621
27.3.1 La entidad auditada____________________________________ 621
27.3.2 El auditor infonnMco........................ ....................................... . 622
27.3.3 Terceras penoaas._________ ___________________________ 626
27.4 Objeto del contrato de auditora informtica______________________ 628
27.4.1 Proteccin de dato de carcter personal....... .............................. 629
27.4.2 La proteccin jurdica del software------------------------ ------ ---- 630
27.4.3 1.a proteccin jurdica de la b#*es de dalos................................ 631
27.4.4 Contratacin electrnica................................................................. 632
27.4.5 La contratacin uiomiitica._____ _____________ ______ _ 634
27.4.6 Tramcrcrcu electrnica de fondos______________________ 635
27.4.7 El delito informtico..........................._______________ ____ 636
27.5 Causa-------------------------------------------------------------------------------------- 637
27.6 El informe de auditora--------------------------------------------------------------- 637
27.7 Conclusiones_________________________________________________ 638
27.8 Lectura. recomendadas..... ........................................................................... 641
27.9 Cuestiones de repaso.........._____ ____ _________ _______________ 6!
ACRNLMOS_____________________________________________________ 643
BIBLIOGRAFA___________________________________________________ 649
NDICE.___________________________________________ ___ _________ _ 655
www.FreeLibros.me
CAP T UL O 1
LA INFORMTICA
COMO HERRAMIENTA
DEL AUDITOR FINANCIERO
Alonso Hernndez Garca
1.1. DEFINICIN DEL ENTORNO
Definid y no discutiris. Y aun sin la pretensin de que lo que se exponga en este
captulo sea indiscutible. parece muy conveniente delimitar el campo en que nos
desenvolvemos.
Dentro de una especialidad tan reciente y expansiva como la llamada auditora
informtica, cabe perfectamente la confusin conceptual tanto entre los diferentes
aspectos, reas o enfoques en s mismos como por la debida a la vertiginosa evolucin
que experimenta la especialidad.
Pero como ya pretende cxplicitar el ttulo del captulo, vamos a tratar de auditora
financiera, Parece indicarse que en cierta medida nos desgajamos del contenido
general del libro y nos desviamos hacia las auditoras financieras.
No es exactamente as. Si desmenuzamos el contenido de la auditora y su
evolucin podemos observar que el concepto permanece inamovible y son su objeto y
finalidad lo que puede variar.
Tambin parece procedente hacer una alusin especfica a la consultara como
especialidad profesional, ya que se hace preciso delimitar sus respectivos campos que
en ocasiones se confunden y superponen.
www.FreeLibros.me
1.2. AUDITORA. CONCEPTO
Conceptualmente U auditoria, toda y cualquier auditoria, es la actividad
consistente en la emisin de una opinin profesional sobre si el objeto sometido a
anilius presenta adecuadamente la realidad que pretende reflejar y/o cumple Ut
condiciones que le han sido prescritas.
Podemos descomponer este concepto en los elementos fundamentales que i
continuacin se especifican:
I) contenido: una opinin
2) condicin: profesional
3) justificacin: sustentada en determinados procedimientos
4) objeto: una determinada informacin obtenida en un cierto
soporte
5> finalidad: determinar si presenta adecuadamente la realidad o sta
responde a las expectativas que le son atribuidas, es
decir, su fiabilidad
En lodo caso es una funcin que se acomete a posterion. en relacin era
actividades ya realizadas, sobre las que hay que emitir una opinin
1.3. CLASES DE AUDITORA
Los elementos 4 y 5 distinguen de qu clase o tipo de auditoria se trata. El objeto
sometido a estudio, sea cual sea su soporte, por una parte, y la finalidad con que k
realiza el estudio, definen el tipo de auditora de que se traa. A titulo ilustrativo
podramos enumerar entre otras:
Financiera Opinin Cuentas anuales
| Presentan realidad
Informtica Opinin Sistemas de aplicacin, re- i Operatividad eficiente y]
cursos informticos, planes i segn normas establec-1
de contingencia etc. I das
Gestin Opinin Direccin
| Eficacia, eficiencia, eco-]
| nomicidad
Cumpli Opinin Normas establecidas I Las operaciones se ale-.
miento cuan a estas normas |
www.FreeLibros.me
caHu i i la informtica t o s w rkasiii.nta imi. Ainno k vanciiro s
1.4. PROCEDIMIENTOS
La opinin profesional, elemento esencial de la auditoria, se fundamenta y
justifica por medio de unos procedimientos especficos tendentes a proporcionar una
seguridad razonable de lo que se afirma.
Como es natural, cada una de las clases o tipos de auditoria pcuee sus propios
procedimientos para alcanzar el fin previsto aun cuando puedan <n muchos casos
coincidir. El alcance de la auditoria, concepto de vital importancia, nos viene dado por
k>s procedimientos, l a amplitud y profundidad de los procedimiento* que se apliquen
nos definen su alcance.
En las auditorias altamente reglamentadas corno la financiera es preceptivo
"aplicar las Normas Tcnicas y decidir los procedimientos de audiurfa". Cualquier
limitacin... que impida la aplicacin de lo dispuesto en las Normas Tcnicas debe ser
considerada en el Informe de auditoria como una reserva al alcance".
Se pretende garantizar que se toman en consideracin todos los aspectos, reas,
elementos, operaciones, circunstancias, etc. que sean significativas.
Para ello se establecen unas normas y procedimientos que en cuanto a la
ejecucin de la auditoria se resumen en que:
- El trabajo se planificar apropiadamente y se supervisar adetiadamentc.
- Se estudiar y evaluar el sistema de control interno.
- Se obtendr evidencia suficiente y adecuada.
Como corolario ve establece que la evidencia obtenida deber recogerse en los
papeles de trabajo del auditor como justificacin y soporte del tralxjo efectuado y la
opinion expresada.
Estas tres normas se deducen claramente de la situacin real actual de los riesgos
que ha de afrontar el auditor.
Inicialmente. cuando el objeto de la auditora, los documcrios financieros a
auditar, eran relativamente cortos y contenan ms bien escasas operaciones, los
procedimientos llamados de arriba a abajo, que parten de los documentos financieros y
auditan hacia abajo, hacia la evidencia de auditoria subyacente, que le verificaba en su
integridad, tradicionalmente conocido por censura de cuentas o en tase a las cuentas,
era adecuado, suficiente y viable.
www.FreeLibros.me
Sin embargo, cuanto lleg U llamada revolucin cuantitativa, que (rajo conujs
la creacin de sociedades con importantes medios, que las operaciones tt
nuliiplscaran enormemente y que la gestin y propiedad se diferenciaran cada v a tak
claramente, el mtodo tradicional resoll laborioso, tedioso, largo, ineficaz y
ecoomic menle inviaMe.
No era posible verificar la totalidad de las muy cuantiosas operaciones y. por
unto, haba que reducir el campo de accin del auditor a p arle de la numera
informacin.
Tambin, como no manifiesta Dale S. Plesher. a partir de los primeros artos dd
siglo XX. la banca se convirti en el principal usuario de las auditoras de cara 4
seguimiento de sus crditos, y no estaba interesada en la exactitud administrativa de
las cuentas sino "en la calidad y representad v nlad de los balances".
Este nuevo planteamiento, sin embargo, traa implcito un riesgo evidente, al te
verificarse la totalidad de los movimientos.
Los controles establecidos por la entidad auditada pudieran permitir que k
produjeran irregularidades, potencialmente significativas, casuales o voluntarias.
Al no someterse a revisin lodas y cada una de las operaciones, cabe b
posibilidad de que escape a la atencin del auditor alguna de aquellas irregularidades
til auditor tiene el cometido irrenunciabJe de mantener el riesgo de que efl
ocurra dentro de lmites tolerables.
Este aserto podra representarse de forma aritmtica como:
R(c)*R(d-S(e).
R(c) * al riesgo en el proceso o riesgo de control.
R(d) * nesgo de deteccin.
S(e = constante o parmetro admisible en que se desea mantener el riesgo de
auditoria.
Es inmediato el hecho de que el riesgo de control y el riesgo de deteccin dentro
de la ecuacin planteada son inversamente proporcionales. Si artadimos que el rcigo
de control es ajeno al auditor, pues depende de las normas establecidas por la entidad
en mi sistema, es evidente que para definir el riesgo de deteccin que est dispuesto a
admitir, ha de evaluarse primero el riesgo de control existente.
t aiwtoMa inmjkmAt k a un Bi wqtt fKAcnco_____________________________ o m i
www.FreeLibros.me
MW> CAPfniLO I: LA LNFOHMATKA COMO HmKAMtt.VTA DtL Al IXTOR HVANCIMIO T
De ah( se justifica la imposicin de las Normas Tcnicas que establecen que la
rcvin del sistema tiene pof objeto el que sirva como base para las pruebas de
cumplimiento y para la evaluacin del sislcma.
En esta lnea las Normas de Auditora en su apaado 2.4.34. explicitan que el
riesgo final del auditor es una combinacin de dos riesgos separados.
- El primero de stos est i constituido por aquellos errores de importancia que
ocurran en el proceso contable, del cual se obtienen las cuentas anuales.
- El segundo riesgo es de que cualquier error de importancia que pueda existir
sea o no detectado por el examen del auditor.
El auditor confa en:
- el control interno establecido por la entidad auditada para reducir el primer
riesgo y
- en sus pruebas de detalle y en sus otros procedimiento* para disminuir el
segundo.
Basados en estos conceptos podemos esquematizar los procedimientos de
auditora financiera establecidos por las Normas en relacin con la ejecucin de la
auditora, de la siguiente forma:
1.5. VARIACIN DEL OBJETO
Por aadidura es innegable, (y aqu si reclamaramos la condicin de indiscutible
para el aserto), que con mayor o menor profundidad la gestin de las entidades ha
experimentado un cambio sustancial y boy. salvo casos dignos del Guinnesx, se utiliza
la TI (Tecnologa de la Informacin) en todo proceso contable.
Se ha introducido un nuevo elemento cualitativo en el objeto de la auditora, el
oso de la informtica como factor consustancial a la gestin, con la introduccin de la
www.FreeLibros.me
.uoinwUixfoKMfirA t'Ni.NHHj t ii n A r im i
Tecnologa de La Informacin (TI) en lo sistema*. muy probablemente basada en lis
ventaja* que aporta la informali acin con respecto al trababa manual, entre la* que,
segn C. Martin, se podran distinguir
C o n s o l a d
Coso de explotacin Alto Bajo
Costo de operacin Alto
Bajo
Rendimiento continuado Disminuye Constante
Consistencia Poca Excelente
Capacidad de clculo Buena Pobre
Reaccin ante lo inesperado Buena Pobre
Sentido comn Excelente Pobre
Lenguaje Bueno Pobre
F.ste nuevo elemento, la Tecnologa de la Informacin, puede estar y de hecho
tiende a estar en todos los niveles del sistema.
liste mero hecho impone un nuevo condicionante al auditor ha de trabajar ame y
con elementos de Tecnologa de la Informacin. Dado que segn las propia* Normas
Tcnicas de auditora que regulan su actuacin el auditor ha de tener en cuenta todos
los elementos de la entidad incluso los informticos, el cumplir con esta funcin no
es una decisin graciable del auditor sino una obligacin definida por la Norma. Sera
mis que coherente que una firma de auditora que por la razn que fuere no quiere o
no puede cumplir con este requisito se viera obligada a introducir una limitacin al
alcance de su trabajo. Es evidente que no habra aplicado todos los procedimientos
precisos.
En un excelente trabajo acometido por The Canadian Institute of Chartered Ac
countant*. una institucin de reconocido prestigio internacional, se plantea la cuestin
de cules son actualmente los libros" o soporte de los documentos financiero* objeto
de la labor del auditor en un entorno informatizado, y concluye que dicho* libros estn
materializados en lo* archivos electrnicos, es decir los archivos creados y mantenidos
en forma electrnica por las aplicaciones contable*.
El objeto es distinto. Est en un soporte diferente. El auditor financiero we
alterado el objeto de *u actividad en el sentido de que se ha introducido la TI. ahora
est en soporte magntico y este cambio trac consecuencias de gran calado en cuanto a
procedimientos de auditora financiera.
Ha de cambiar su* procedimiento* en funcin de la* nueva* circunstancias y. por
tanto, de la expan*in de su alcance. La auditora financiera sigue siendo auditora y
financiera con la diferencia de que en su objeto, el mismo de siempre, es decir en la
informacin financiera, se ha introducido la TI.
www.FreeLibros.me
d l o .
los retvos electrnico* y proceder * tu anlisis de fon Mttbin
La situacin se hace ms dramtica por el hecho cada vez mi extendido de que
d soporte documental de lo apuntes electrnicos no exista en absolito. FJ rastro de
auditoria tradicional ha desaparecido como, por ejemplo, en el F.DI o H-T.
Afortunadamente la propia TI que incide en los procedimientos que el auditor ha
de aplicar proporciona paralelamente medios de ejecutarlos de fomu eficiente y
directa. Las CAATS (Tcnicas de Auditora asistidas por computador) ponen a
disposicin del auditor una amplia variedad de herramientas que no slo viabilizan los
nuevos procedimientos sino que mejoran sensiblemente su aplicadlo y amplan la
gama disponible.
Por tanto, deducimos claramente que la introduccin de la TI en los sistemas de
informacin afecta a los auditores de una forma dual:
- cambia el soporte del objeto de su actividad
- posibilita la utilizacin de medios informatizados (CAATs) pera la realizacin
de sus procedimientos
1.6. CONSULTORA. CONCEPTO
Y es en esta fase de la exposicin cuando parece pertinente aftadr utu referencia
la consuhora. Conviene distinguir su concepto del de auditora pora precisar nuestro
enlomo con mis exactitud.
La consuhora consiste en "dar atesoramiento o consejo sobre lo que se ha de
hacer o cmo llevar adecuadamente una determinada actividad para obtener los fines
deseados".
Las diferencias se hacen evidentes. Los elementos de la conwltoria podran
www.FreeLibros.me
10 AUDITORIA INFORMATICA: UX BNTOQW. LCTICO____________________________ cmw>
la actividad o cuestin sometida a comid e ra ci n __i
| establecer la manera de llevarla a rabo adecua-l
[dmente |
Es una funcin a priori con el fin de determinar cmo llevar i cabo una funcin o
actividad de forma que obtenga los resultados pretendidos. I j auditora verifica a
pouenori si estas condiciones, una ve/ realizada esta funcin o actividad, ve cumplen
y lo* re litados pretendidos se obtienen realmente.
A titulo enunciativo podramos relacionar los siguientes tipos o clases de
consultorio:
Financiera Asesorarme nto Planes de cuentas. Di se Yae implantacin
Procedimientos adminis
trativos
Informtica
Ascsoramicnto Aplicaciones, Desacollo.
i Planes de Contingencia Di sert>e implantacin.
Especialmente el elemento / distingue claramente la auditor'a de la consultara.
Dependiendo de que su contenido sea opinar sobre unos resultados v*. dar
asesorarmento o consejo en relacin con una actividad a desarrollar, se tratar de
auditora o consultara. Esta distincin nos resultar importan cuando queramos
delimitar las funciones.
Se observa, sin embargo, que las definiciones de la auditara informtica tienden
a englobar el concepto de consultara. I-i auditora financiera, con siglos de
experiencia. se encuentra perfectamente definida: pero la* defniciones. reseflas o
referencias a la auditora informtica son variadas, lo que es lgico en una
especialidad tan reciente.
Dentro del abanico de definiciones, podemos citar
A) t)esde definiciones como la de a . J. I bomas en el sentido Je que "la auditora
informtica, que es una parte integrante de la auditoria, se estudia por separado para
tratar problemas especficos y para aprovechar los recursos de personal. 1.a auditora
informtica debe realizarse dentro del marco de la auditora general. El cometido de la
auditora informtica se puede dividir en:
- Un estudio del sistema y un anlisis de los controles organizativos y
operativos del departamento de informtica.
- Una investigacin y anlisis de los sistemas de aplicarin que se estn
desarrollando o que ya estn implantados.
4) objeto:
15) finalidad:
www.FreeLibros.me
- La realizacin de auditora* de dato* reales y de resultados de lo* sistemas que
se estn utilizando.
- La realizacin de auditoras de eficiencia y eficacia.
B) Incluyendo la de un destacado miembro de la OAI. Miguel ngel Ramos, que
define, segn sus manifestaciones simplificadamente. en su tesis doctoral la auditora
informtica como "la revisin de la propia informtica y de su entorno" y desglosa sin
carcter exhaustivo que las actividades a que da lugar esta definicin pueden ser:
- Anlisis de riesgos.
- Planes de contingencia.
- Desarrollo de aplicaciones.
- Asesor-amiento en paquetes de segundad.
- Revisin de controles y cumplimiento de los mismos, as como de las normas
legales aplicables.
- Evaluacin de la gestin de los recursos informticos.
C) A la de I. J. Ada que por su parte la define como "Un conjunto de
procedimientos y tcnicas pora evaluar y controlar total o parcialmente un Sistema
Informtico, con el fin de proteger mis activos y recursos, verificar si sus actividades
se desarrollan eficientemente y de acuerdo con la normativa informtica y general
existente en cada empresa y para conseguir la eficacia exigida en el marco de la
organizacin correspondiente".
De ellas se desprende que tienden a abarcar conceptos tanto de auditora como de
oonsultora. En la linea de anlisis que hemos trazado la primera distincin a realizar
sera la diferenciacin entre auditora y consultorio. No son trminos equivalentes y es
preciso distinguirlos.
Nuestro enfoque pretende centrarse en la auditora segn el concepto que ya
hemos dejado expltcitado. Y dentro de ella la financiera de acuerdo con su objeto y
finalidad que incluye el soporte informtico.
www.FreeLibros.me
AL IXTOttlA INKWtMATIC A INhNHXJO PIIAtUCO
1.7. VENTAJAS DE LA INFORMTICA COMO HERRAMIENTA
DE LA AUDITORA FINANCIERA
1.7.1. Grado de informatizacin
t u U doble vertiente relativa a la introduccin e influencia de la TI en el objeto
por una parte y en los procedimiento por otra de la auditoria financiera hemos de
referimos en primer lugar al grado o intensidad de tu utilizacin.
En cuanto al objeto puede considerarse desde el uso de un simple PC con un par
de aplicaciones bsicas como pueden ser la contabilidad y un procesador de texto, a
un sistema complejo, distribuido, utilizando base de datos en cliente servidor,
integrado y comunicado con otros sistemas con los que interacta directamente como
en el EDI. Rmccc evidente que las tres Normas para la ejecucin de la auditoria
adquieren una complejidad y amplitud diferente*. Mientras ms desarrollado es el
sistema, ms problemtico resulta su enfoque por parte del auditor. Si bien lo riesgos
de un pcqueAo PC pueden ser sustantivos, la complejidad de los mismos en un gran
siuema es decisiva.
Entre los procedimientos (tcnicas) que las tres Normas de ejecucin de la
auditoria establecen como medios de los que debe valerte el auditor en la ejecucin de
su trabajo destacan la inspeccin, observacin, averiguacin, confirmacin, clculo y
anlisis. De estas seis al menos cuatro se ejecutan de forma ms eficiente con medios
informticos:
Inspeccin: como la comparacin de datos en dos archivos o cuentas distintas,
conciliaciones.
Clculo: de amortizaciones, provisiones, ratos. etc.
Anlisis: regresiones o datos que cumplan determinadas condiciones.
Confirmacin: clculo estadstico, seleccin y emisin de muestras, cumpli
miento. etc.
1.7.2. Mejora de las tcnicas habituales
No resulta difcil justificar que las posibilidades del auditor utilizando medios
electrnicos se amplia enormemente con respecto a trabajos manuales sobre listados
en papel. El incremento en velocidad, eficiencia y seguridad es evidente.
Para todo ello el auditor puede valerse sustancialmente de las diseas
herramientas informticas que tiene a su disposicin y que podramos catalogar de la
siguiente forma:
www.FreeLibros.me
CAPtll I.U I IA rSUMIMMK'A COMOHmKAVmVTA IW1 Al IMIHI UNASX'IUtO l>
General 1Tratamicnto de textos
1Hotixharting
_____________ 1Utilidades________________________
Tratamiento <fc textos
Hojas de clctlo
Acceso directo
Especfico
Generadores de papeles de trabajo
Administracin
ACL
Simulacin paralela
Revirn .iiul tu.i
1Especializados Integradores Sistemas expertos
1Test c h e c k ______________J
IV forma somera podramos reseftar los objetivo que se cubren con la utilizacin
de las diversas herramientas enumeradas:
- Tratamiento de textos, utilizado generalmente en la prctica como una
mquina de escribir superautoinatizada para circulare, memorandos,
memoria, etc.
Con una mayor especial izacin permite automatizar operaciones, generar
documentos, relacionar diverso* documentos, ctc.
- Hoja de edculo, utilizada para efectuar clculos, automatizar resultados de
diferentes documentos numricos y en algunos casos obtencin de ratio*. etc..
as como generar actualizaciones automticas, importar archivos de otras
aplicaciones, y producir grficos disponiendo de una amplia gima de frmulas
financieras, econmicas, etc.
- Generador de ppele t de trabajo, fundados esencialmente en el tratamiento de
textos de donde se obtienen plantillas, formatos, etc.; peimite edicin y
actualizacin. Clasifica los documentos por reas, sectores, personal
involucrado, ctc.
- Flowcharting-. produce diagramas representativos de funciones realizadas o a
realizar, flujo de documentos, ctc.
- Utilidades: existe una amplia gama que cubre desde comunicaciones,
visualizadores de archivos, bsquedas o incluso rcctificadorcsdc archivos.
El OCR es una asignatura pendiente.
- Administradores-, efectan el seguimiento administrativo de las auditoras.
Horas empleadas, reas, control presupuestario, etc.
www.FreeLibros.me
- Accf.w directo: todas fas aplicaciones a que nos hemos referido hasta el
momento y las posteriores se refieren a dato* o "archivos" especficos de las
misma* que el auditor ha tecleado en las aplicaciones o ha copiado de otras ya
existentes. La gran sentaja del acceso directo es que adopta como archito a
leer o analizar los de la firma auditada, generalmente los que contienen la
contabilidad de la misma. Sea cual sea la aplicacin de contabilidad que luya
utilizado la firma auditada, las aplicaciones de acceso directo, como su
nombre indica, adoptan como archivos propios los realizados por esas
aplicaciones. De esta forma se materializa directamente la aseveracin de que
los libros del auditor son los archivos informticos del auditado.
Tomando como hilo conductor la estructura de ACL (vase figura I . I ). una de las
aplicaciones ms destacadas de este estilo y posiblemente la ms extendida
mundialmente. tomaremos como esquema bsico, que vemos en la pgina siguiente.
Lo* archivos de datos son exactamente los existentes en el auditado, es decir tos
archivos fsicos de la firma auditada, de la forma y con la codificacin con que hayan
sido grabados. Estos datos no cambian. ACL crea para su tratamiento el "documento
que contiene la informacin necesaria en cuanto a definiciones del formato del archivo
de datos, botches. ndices, vistas y espacio de trabajo.
La definicin del formato contiene ta estructura y contenido del archivo de datos.
Incluye informacin como nombre de los campos, codificacin de los datos, mrgenes
donde comienzan y donde terminan. Con esta informacin ACI. es capaz, de leer e
interpretar el archivo de datos original a auditar.
14 Al'PtTORl*IMOHMIK'A: UN KNHXXIEPttCTICO cium
www.FreeLibros.me
CAPTULO 1.I-A INFORMATICA COMO HmKA.MH.VTA I
Figura / . / . Estructura de ACL
Partiendo de esta situacin ACL puede manipular los dalos del archivo
prcticamente de cualquier forma o manera:
- Ordenar
- Crondogizar
- Kxiraer segn condiciones
- Estadsticas
- Muestras
- Clasificar
Slo existen dos limitaciones a los anlisis, clculos, verificaciones, etc. que
puede hacer ACL:
- Que el dado deseado est en el archivo. (Por ejemplo, no se podra
croooJogi/jr si en el archivo no figuraran las fechas.)
- La imaginacin del auditor, que combina los diferentes mandatos para obtener
la informacin final que desea. Creando incluso nuevos campos computados,
producto del tratamiento de uno o varios de los ya exis(enes.
- Contar
- Agregar
- Totalizar
- Estratificar
- Comparar
www.FreeLibros.me
It AtHMTORU CsKmMTKA 1~XENKXJtt. Plmeo
Es de destacar la posibilidad de seleccionar la informacir que cumpla una o
varias condiciones. Estos filtros resultan de incalculable valor cuardo se audita.
Si aAadimos que la respuesta a cualquier solicitud, sea curf sea el tamao del
archivo de dalos, se realiza en segundos y en cualquier caso c pocos minutos, la >
importancia de esta aplicacin queda perfectamente clara.
A titulo mer^neme enunciativo y como punto de ponida para el auditor ,
interesado, de los 101 clculos y anlisis que se practican en las reas ms habituales. |
seleccionamos dos a titulo de ejemplo:
Ejemplo I: COMPROBACIN DE BALANCE
Se indica la relacin de mandato* que permite realizar esta op:racin.
OPEN Contabilidad Abre el archivo "Contabilidad".
STRATIFY ON Cuenta
ACCUMULATE Debe Haber Saldo
Genera, para cada cuenu del plan, su total
al debe, al haber, y el saldo.
Ejemplo 2: CONCILIACIN ENTRE COMPRAS V PROVEEDORES
Se indica la relacin de mandatos que permite realizar esta operacin.
OPEN Contabilidad Abre el archivo "'Contabilidad".
SORT ON Impone TO Compras IF ! Produce el archivo Compras" con aquello*
Cuenta="604" AND DIUD asiento* de la contabilidad cuya cuenta sea
la 604 y al debe, ordenado por el importe.
SORT ON Impone TO Proveedores Produce el archivo "Pioveedore.*" con IF
Cuenta"400r AND DH-"H" aquellos
asientos de la contabilidad cuya cuenta sea
la 400 y al haber, ordenlo por el impone.
OPEN Compras
Abre el recin creado archivo Compras".
OPEN Proveedores SECONDARY Abre el recin creado archivo!
"Proveedores" como archivo secundario. i
JOIN Fecha Asiento Importe WITH Produce el archivo "Coaciliacin Compras-1
Impone Asiento Fccha TO "Conci- Proveedores" con el rebultado de conciliar
Ilacin Compras-Proveedores" Compras" con "Proveedores, utilizando
PKEY Impone SKEY Impone el impone como campo jue los relaciona.
PRIMARY SECONDARY
www.FreeLibros.me
!
CAPfTVLO 1:1A INKHtVlATlCA COMO HMHUMtENTA DU. AUIMTCm FIN AM1IKO 11
Revisin anall ka
Normalmente se utiliza la hoja de clculo para obtener, de los da que
habitualmente se le introducen (Balance. Cuentas de Prdidas y Ganancias, etc.), los
ios. proporciones o funciones que proporcionan una nueva visin comparativa de mi
contenido.
Sistemas expertos
Las aplicaciones mis avanzadas en cualquier campo son las conocidas como
sistemas expertos relativos a la tambin llamada inteligencia artificial. Se trata de usar
el compotador pora que proporcione resultados o conclusiones producto del
procesamiento de unos datos especficos en base a unos conocimientos preexistentes
en el mismo.
liste sistema ya se ha utilizado en diversos campos, por ejemplo la medicina, pora
dir diagnstico* o tratamientos en hase a los datos del paciente que se introducen en la
aplicacin.
En el campo de la auditoria su utilizacin mis evidente es en el anlisis y
evihJKin del control interno. No ha sido hasta el momento una aplicacin que se
haya prodigado, posiblemente por la dificultad de completar una base de
conocimientos adecuada que slo los expertos pueden proporcionar. Se dice, como es
costumbre, que las grandes empresas ya han desarrollado sistemas expertos que
aplican en mayor o menor medida. Sin embargo, que se sepa, no se ha dado mucha
(wblkidad al respecto.
Los fundamentos de un sistema experto, aplicando la misma filosofa establecida
por las Normas Tcnicas, consiste en crear uno cuestionarios cuya respuesta sea " s '
o no" para evitar matices opinables, divididos por reas de actividad y que se paita de
la base de que una totalidad de respuestas positivas implica un sistema excelente.
Menos de un determinado nivel implicara un control dbil o muy dbil.
Ha de incorporar las pruebas de cumplimiento correspondientes cuya cuanta se
designe por medios estadsticos y que sirvan sus respuestas como retroalimeniacin
para una clasificacin definitiva del sistema.
F.sia clasificacin a su vez proporciona un tamao de muestra para las pruebas
Mantisas a realizar as como una definicin de las mismas.
Destacan entre sus ventajas, siempre bajo la supervisin del auditor: la
objetividad del sistema, la utilizacin de frmulas estadsticas, la cuantificacin y
especificacin de pruebas de cumplimiento y sustantivas adecuadas, la actualizacin
www.FreeLibros.me
I AllHHJftlA INKMMATICA: UN E>TOQt~E fHACTIOO____________________________ oA>
de la base <le conocimiento con los nuevos sistemas analizados y el soporte legal que
implica en caso de litigio.
K 5 )
Q L s s s l K ^
Figura 1.2. Ejemplo de aplicacin de sistema experto a la auditora
TcM Check
F.sta prctica, cada vez en menor uso. consiste en introducir en la aplicacin que
el auditado utilice un conjunto de valores cuyo resultado se conoce. Estos valores se
comparan con los que eventualmente proporcione la aplicacin.
Inteeradorcs
Es decir, aquellas aplicaciones que interrelacionan todas las dems para crear un
enlomo nico que utiliza la totalidad de la informacin obtenida a travs de tas
diferentes herramientas creando un "sistema de auditora".
Varias de las aplicaciones mencionadas proporcionan medios de programacin o.
sin ser tan ambiciosos. la posibilidad de crear batches" de funcionamiento
automtico. Estos batches o conjuntos de instrucciones pueden operar conjuntamente
brindando la posibilidad de realizar operaciones complejas de forma directa y cmoda.
Si tomamos en consideracin el proceso completo de auditora financiera -desde
las normas y procedimientos establecidos para antes del propio inicio de la auditora
como la propuesta, contrato, clculo de costes hasta el informe y recomendaciones
finales pasando naturalmente por los procedimientos de ejecucin de la auditora,
incluyendo el sistema experto, el acceso directo a archivos informticos, las pruebas
analticas y adicionales o puntuales que el auditor debe llevar a cabo, y las integramos
www.FreeLibros.me
o n m CAPtTVLO I IA INFORMATICA COMO HEBRAMtl STA Dtl- AtPtTOR USANCIEKO 19
en un sistema que automatice tanto las actualizaciones pertinentes en base a los
cambios introducidos como la emisin y ordenacin de papeles de trabajo
justificativos de los procedimientos aplicados-, tendremos un sistema o metodologa
de integracin que sita en un solo entonto las diverjas fases, docuntentos. resultados,
actualizaciones, etc. de una auditora. A todo este proceso ex a lo que denominaramos
un integrado? que aun cuando no abunda, se viene percibiendo su necesidad.
Figura I. . Proctuy completo de la auditora financiera
1.7.3. Evolucin
El propio (.'anadian Instituto of Chartercd Accountants. que se ha preocupado
muy especialmente por esta problemtica, define un camino hacia la plena institucin
de un sistema de auditora informatizado. En un planteamiento al que llanta la
Hiptesis de Evolucin ha distinguido diferentes etapas o niveles que a continuacin
transcribimos literalmente por su representatividad c importancia:
Las firmas de auditora mi s avanzadas han cubieno las dos primeras etapas y
actualmente algunas intentan adentrarse en la tercera. Las otras slo consisten en
"buenos deseos para el futuro, pero que si las seguimos sucintamente ventos que nos
conducen a que la auditora se convierte en una herramienta para la construccin de
realidades polticas y econmicas" donde la auditora y consultara se entrelazan.
www.FreeLibros.me
Hiptesis de oollicin
Alcance A _______ Alcance B ____ Alcance C
Aumento de la Creacin de Mejora de la calidad
compctitividad riqueza de vida
Nivel 5
Nuevos conceptos y
paradigmas basados
en la TI
Nivel 4
Gestin estratgica
basada en la TI
Nivel 3
Nuevos producto*
dependientes de la
Nivel 2
Aumento de la
calidad
Nivel I
Reduccin de
costos
5
B5
1 5
Kl valor aadido se La auditoria adopta La auditora se
convierte en el I "el carcter de un j c o n v i en e n una
| objetivo de toda servicio de h e o ^ ^ n a para la
Iauditora
consultora y j s ^ ^ H i n d e
anlisis continuado'
____________________________
J M s polticas
A4
84 A
w
l.os auditores
La integracin fMcjor comprensin
adoptan un nuevo tas he rr amienu^V 1de todas las partes
concepto de su
I auditoria poj^KTla
implicadas de los
propia actividad cliiicriw'ia^Hr | beneficios de una
l ______ _
I audito
j auditora
[3 B3 M r C3
I j s herramientas
>D c i ^ H l o de una Se acaba el
del auditor se
^ f l o g n i n a d c cxpcctation gap
| equiparan en
Vgp-'-- '
sofisticacin al
Jlr rramisnta
sistema de los i Tudkoffe
| dientes c o m o l f
EFT
J____
82
|C2
A m p l i 3 j 4He la I Aumento Menos argumentos
."i o tv | cuantitativo y en cuanto al papel
cualitativo de los del auditor
j f S F
I*U-.cubrmiciUt
Bl
c i
' Reduccin de horas Incremento en la Reduccin de
de auditora
| recuperacin de trabajo
I
I costos administrativo
Figura 1.4. hit ensillad del efecto de la e volar i
1.7.4. Grado de utilizacin
Asalta de inmediato la idea de por qu. visto lo expuesto, el grado de utilizacin
estas poMbilidudes por los auditores es bajo y en muchos casos incipiente.
www.FreeLibros.me
i s i I . , I l l M i * r n ; l : , 1. .Mi) 10 KKAS1HM A !>! AH)HK HNANt URO . I
Se lun efectuado diver ludios y parece desprenden que algunas de las
rezones pueden ser:
Costo econmico
Falta de convencimiento en cuanto a la disminucin de costos. No se ve con
claridad que la inversin necesaria se vea compensada por la eficiencia que se alean.
Parece innegable que los costos tanto del hardware como del software han
disminuido extraordinariamente en los ltimos artos y que la eventual inversin en un
sistema para inormatizacin de la auditora no es en absoluto significativo. Cualquier
somero estudio demuestra que su rentabilidad porcentual es siempre sumamente
elevada.
Complejidad tcnica
Cierto temor reverencial a una nueva tcnica que mirada desde el exterior parece
sumamente compleja y algo mgico que de por s ahuyenta. Esta idea puede traer
como corolarios otras consideraciones negativas como que se cree que:
Se depende de los tcnicos.
No se puede revisar el trabajo de los tcnicos
Problemas de comunicacin entre el tcnico y el auditor.
Costo de k tcnicos.
La introduccin y ampliacin de las posibilidades del PC que con sistemas
operativos sumamente fciles de usar pueden realizar trabajos hasta hace pocos aos
reservados a las grandes instalaciones, simplifica enormemente y pone al alcance de
cualquier auditor medianamente familiarizado con la informtica una importantsima
gama de labores. Todas las que hemos venido exponiendo.
Falta de entrenamiento y experiencia
Es innegable que la utilizacin de tas tcnicas de auditoria asistidas por
computador requieren un mnimo de entrenamiento y conocimiento. La gran
diferencia es que estos mnimos son perfectamente asequibles como ya hemos descrito
y consiguen que el auditor retenga el control del proceso de auditora
Segn Klen. el auditor ha de estar en posesin como mnimo de las siguientes
cualidades:
www.FreeLibros.me
22 AlTXTORtA INFORMTICA UN KNTOQCE PKCTKO
- Ser experto auditor (financiero).
- Knlender el diseAo y modo de operar del S.l.
- Tener conocimientos bsico* de tcnicas y lenguajes de programacin.
- Estar familiarizado con los sistemas operativos.
- Serle factible poder identificar problemas con los formatos y estructuras de
base de datos.
- Ser capaz de tender un puente con el profesional de la TL
- Saber cundo pedir apoyo de un especialista.
No cabe duda de que en el entramado multidisciplinar que constituye el acervo de
conocimientos de un auditor, este aspecto viene a ampliar su "programa". Es un
nueva faceta que viene a enriquecer su perfil. Si nos atenemos a las estadsticas
disponibles en EE.UU.. el auditor viene adquiriendo estos nuevo-, conocimientos en un
70% de los casos por medio de entrenamiento en la propia empresa. en un 22% en
seminarios y conferencias al efecto y en el 8% en el entorno acadmico. Mientras la
Academia no desarrolle ms sus servicios no cabe duda de que la pequefta y mediara
empresa de auditora se enfrenta al nuevo reto de resolver su reciclaje.
Otras incluyendo la preocupacin del cliente en cuanto a la seguridad de dalos.
1.8. CONCLUSIONES
El objeto de la auditora financiera ha cambiado. Incorpora la TL Esto trae
consigo el cambio de los "libros" a analizar e igualmente la necesidad de aplicar
nuevos procedimientos que utilizan herramientas informticas.
En la prctica, al auditor se le presenta una disyuntiva: o se adapta a la nueva
situacin abordando el carro de la evolucin hacia metas sumamente halagelas, para
lo que ha de adoptar una actitud receptiva hacia las nuevas tecnologas, o
indefectiblemente ser una vctima de la evolucin que no quiso >no supo afrontar.
1.9. CUESTIONES DE REPASO
1. Cules son los elementos fundamentales del concepto de auditora?
2. Cuntas clases diferentes de auditora existen?
3. Qu sector ex uno de los principales usuarios de las auditoras?
4. ,-Qu ventaias aporta el computador rcsoccto al trabaio manual?
www.FreeLibros.me
CArtTVtO I LA INtORMTICA COMO HtXKAMIfXTA Df1.AtDtTO IINAXCIIKO i
5. Qu significan Ut sigl u CAAT?
6. Fj i qu afecta a los auditores la introduccin de Ixi TI en los sillonas de
informacin?
7. Qu diferencias hay entre auditoria y consultorio?
8. Cules son las ventajas de la informtica como herramienta de la auditoria
financiera?
9. Qu pueden aportar los sistemas expertos a la auditoria informtica?
10. Cules son las razones de la baja utilizacin de las TI como herramienta de
la auditora financiera?
www.FreeLibros.me
C AP T UL O 2
CONTROL INTERNO
Y AUDITORA INFORM TICA
Gloria Snchez Valriberas
2.1. INTRODUCCIN
Tradkionalmcntc en materia 1c control interno se adoptaba un enfoque bastante
restringido limitado a k * controle" contables internos. En Unto se relacionaba con la
informacin financiera, el control interno era un tema que internaba principalmente al
personal financiero de la organizacin y. por supuesto, al auditor externo. El concepto
de control interno de mucha gente no inclua muchas de las actividades operativas
claves destinadas a prevenir lo* riesgos efectivos y potenciales a los que se enfrentan
las organizaciones. Al producirse la quiebn. de numerosas cajas de ahorro y otras
organizaciones result evidente que no habla suficiente conciencia de la necesidad de
kis controles para evitar que los problemas surgieran y crecieran.
Durante el ultimo decenio la prensa ha informado sobre muchos escndalos
relativos a errores en el otorgamiento de crditos con la garanta de inmuebles
inexistentes o extremadamente sobrevalorados. la manipulacin de informacin
founcicra, operaciones burstiles realizadas con informacin privilegiada, y muchos
otros conocidos fallos de los controles que han afectado a empresas de diferentes
sectores. En Espato se han dado pasos importantes como consecuencia de nuestra
incorporacin y adaptacin a Europa.
Adems de la mayor atencin que prestan las autoridades al problema, se
observan importantes cambios en las empresas. Dichos cambios someten a una gran
www.FreeLibros.me
16 AlIMTOKlAIVFOKMATlCA UNIMOQUEFKCTKO
tensin a lo controles meemos existente*. La mayora de las organizaciones han
acometido vanas iniciativas en tal sentido, tales como:
La reestructuracin de los procesos empresariales (BP3 -Busiine.it Process
Re-engineering).
I j gestin de la calidad total (TQ.M -Total Quality Management).
El rcdimensionamicnto por reduccin y/o por aumento del tamaflo hasta el
nivel correcto.
La contratacin externa (outsourcmg).
La descentralizacin.
El mundo en general est cambiando cada vez mi s rpidarwnte, sometiendo a las
empresas a la accin de muchas fuerzas extemas tales como la creciente necesidad de
acceder a los mercados mundiales, la consolidacin industrial. U intensificacin de la
competencia, y las nuevas tecnologas.
Las tendencias externas que influyen sobre las empresas son. entre otras, las
siguientes:
La glohalizacir).
La diversiftcacin de actividades.
l- i eliminacin de ramas de negocio no rentables o antiguis.
La introduccin de nuevos productos como respuesta a la competencia.
Las fusiones y la formacin de alianzas estratgicas.
Ante la rapidez de los cambios, los directivos toman conciencia de que para evitar
fallos de control significativos deben reevaluar y recstnictuiar sus sistemas de
controles internos. Deben actuar de manera proactiva antes de que surjan los
problemas, tomando medidas audaces para su propia tranquilidad, as como para
garantizar a los consejos de administracin, accionistas, comits y pblico que los
controles internos de La empresa estn adecuadamente disertados para hacer frente a
lo* retos del futuro y asegurar la integridad en el momento actual.
Un centro de informtica de una empresa del sector terciario suele tener una
importancia crucial por soportar los sistemas de informacin Jel negocio, por el
volumen de recursos y presupuestos que maneja, etc. Por lo tanto, aumenta la
complejidad de las necesidades de control y auditora, surgiendo en las
organizaciones, como medidas organizativas, las figuras de control interno y auditoria
informticos.
I-a auditora ha cambiado notablemente en los ltimos atas con el enorme
impacto que han venido obrando las tcnicas informticas en la fxma de procesar la
informacin para la gerencia. La necesidad de adquirir y mantener conocimientos
actualizados de los sistemas informticos se vuelve cada vez ms xuciante. si bien los
www.FreeLibros.me
CArtTVLO 2.COMKOt. IXTOtNO Y AUDOORU tNHJWMTKA 27
aspecto* bsicos de U profesin no han variado. Los. auditores informticos aportan
conocimientos especializados, as como mi familiaridad con la tecnologa informtica.
Se siguen tratando las mismas cuestiones de control en la auditora, pero los
especialistas en auditora informtica de sistemas basados en computadores prestan
ana ayuda valiosa a la Organizacin y a los otros auditores en todo lo relativo a los
controles sobre dichos sistemas.
En muchas organizaciones, el auditor ha dejado de centrarse en la evaluacin y la
comprobacin de los resultados de procesos, desplazando su atencin a la evaluacin
de riesgos y la comprobacin de controles. Muchos de k controles se incorporan en
programas informticos o se realizan por parte de la funcin informtica de la
organizacin, representado por el Control Interno Informtico. El enfoque centrado en
cootroies normalmente exige conocimientos informticos a nivel de la tecnologa
utilizada en el rea o la organizacin que se examina.
2.2. LAS FUNCIONES DE CONTROL INTERNO Y AUDITORA
INFORMTICOS
2.2.1. Control Interno Informtico
El Control Interno Informtico controla diariamente que todas las actividades de
sistemas de informacin sean realizadas cumpliendo los procedimientos, estndares y
no normas fijados por la Direccin de la Organizacin y/o la Direccin de Informtica,
as como los requerimientos legales.
La misin del Control Interno Informtico es asegurarse de que las medidas que
se obtienen de los mecanismos implantados por cada responsable sean correctas y
vlidas.
Control Interno Informtico suele ser un rgano s iaf f de la Direccin del
Departamento de Informtica y est dotado de las personas y medios materiales
| n i ) u i M u i k n d los cometidos que w le encomienden.
Como principales objetivos podemos indicar los siguientes:
Controlar que todas las actividades se realizan cumpliendo los procedimientos
y normas fijados, evaluar su bondad y asegurarse del cumplimiento de las
normas legales.
Asesorar sobre el conocimiento de las normas.
www.FreeLibros.me
AtDmXtU INtOK SIMICA l'S DK>QIT. rttACTlCO
Colaborar y apoyar el trabajo de Auditoria Informtica, asf con de I
auditoras externas al Grupo.
Definir, implantar y ejecutar mecanismos y controles para comprobar el logro
de los grados adecuados del servicio informtica, lo cual no debe considerarse
como que la implantacin de los mecanismos de medida y la responsabilidad
del logro de esos ni se les se ubique exclusivamente en la funcin de Control
Interno, sino que cada responsable de objetivos y recursos es responsable de
esos niveles, asf como de la implantacin de los medios de medida adecuados.
Realizar en los diferentes sistemas (centrales, departamentales, redes locales.
PCs. etc.) y entornos informticos (produccin, desarrollo o pruebas) el control de las
diferentes actividades operativas sobre:
El cumplimiento de procedimiento, normas y controles dictados. Merece
resaltarse la vigilancia sobre el control de cambios y versiones del softvt-are.
Controles sobre la produccin diaria.
Controles sobre la calidad y eficiencia del desarrollo y mantenimiento del
softvk'art y del servicio informtica.
Controles en las redes de comunicac iones.
Controle* sobre el softHvirr de base.
Controles en los sistemas mkroinfoirmticos.
I-i seguridad informtica (su responsabilidad puede estar asignada a control
intento o bien puede asignrsele la responsabilidad de control dual de la
misma cuando est encargada a otro rgano):
- Usuarios, responsables y perfiles de uso de archivos y bases de dalos.
- Normas de seguridad.
- Control de informacin clasificada.
- Control dual de la seguridad informtica.
Ucencias y relaciones contractuales con terceros.
Asesorar y transmitir cultura sobre el riesgo informtico.
2.2.2. Auditora Informtica
La Auditoria Informtica es el proceso de recoger, agrupar y evaluar evidencias
para determinar si un sistema informatizado salvaguarda los activos, mantiene la
integridad de los dalos, lleva a cabo eficazmente los fines de la organizacin y utiliza
www.FreeLibros.me
CAPmio fnwx interno y auditoria imowmtica t*
eficientemente los recursos. De este modo la auditora informtica sustenta y
confirma la consecucin de los objetivos tradicionales de la auditora:
Objetivos de proteccin de activos e integridad de datos.
Objetivos de gestin que abarcan, no solamente los de proteccin de activos,
sino tambin los de eficacia y eficiencia.
El auditor evala y comprueba en determinados momento* del tiempo los
controles y procedimientos informativos ms complejos, desarrollando y aplicando
tcnica* mecanizadas de auditora, incluyendo el uso del software. En muchos casos,
ya no es posible verificar manualmente los procedimientos informatizados que
resumen, calculan y clasifican datos, por k) que *e deber emplear software de
auditora y otras tcnicas asistidas por computador.
El auditor es responsable de revisar e informar a la Direccin de la Organizacin
sobre el diseo y el funcionamiento de los controles implantados y sobre la fiabilidad
de la informacin suministrada.
Se pueden establecer tres grupos de funciones a realizar por un auditor
informtico:
Participar en las revisiones durante y despus del diseo, realizacin,
implantacin y explotacin de aplicaciones informativas, as como en las fases
anlogas de realizacin de cambios importantes.
Revisar y juzgar los controles implantados en los sistemas informativos para
verificar su adecuacin a las rdenes e instrucciones de la Direccin,
requisitos legales, proteccin de confidencialidad y cobertura ante errores y
fraudes.
Revisar y juzgar el nivel de eficacia, utilidad, fiabilidad y seguridad de los
equipse informacin.
2.2.3. Control interno y auditoria informticos: campos
anlogos
La evolucin de ambas funciones ha sido espectacular durante la ultima dcada.
Muchos controles internos fueron una vez auditores. De hecho, muchos de los
artuales responsables de Control Interno Informtico recibieron formacin en
seguridad informtica tras su paso por la formacin en auditora. Numerosos auditores
se pasan al campo de Control Interno Informtico debido a la similitud de los
objetivos profesionales de control y auditora, campos anlogos que propician una
transicin natural.
www.FreeLibros.me
10 Al WTtmU SXXmATX A l~X fcNWXyr PHACTKO____________________________ c.tM
Aunque amba* figuras tienen objetivos comunes. existen diferencia* qec
conviene matizar:
SIMILITUDES j Personal interno
< Conocimientos especializados en Tecnologa de la Informacin 1
Verificacin del cumplimiento de controle* interno*, normativa
y procedimiento* establecido* por la Direccin de Informtica y I
______ __________I __ la Direccin General para los sistema* de informacin 1
DIFERENCIAS IAnlisi* de los controle* en el | Anlisis de un momento 1
I dia a dia informtico determinado i
1 Informa a la Direccin del ' Informa a la Direccin Gene-1
I Departamento de informtica [
Slo personal interno
ral de la Organizacin
Personal interno y/o extemo
| El alcance de sus funcione* es Tiene cobertura sobre lodo*
nicamente vbre el Departa
mento de Informtica
lo* componente* de lo*
sistema* de informacin de I
__________1 la Organizacin
2.3. SISTEMA DE CONTROL INTERNO INFORMTICO
2.3.1. Definicin y tipos de controles internos
Se puede definir el control interno como "cualquier actividad o accin realizada
manual y/o automticamente para prevenir, corregir errores o irregularidades que
puedan afectar al funcionamiento de un sistema para conseguir sus objetivo*".
Lo* controles cuando se discAen. desarrollen e implanten han de ser al menos
completos, simples, fiables, revisable*. adecuado* y rentables. Respecto a esto ltimo
habr que analizar el coste-riesgo de su implantacin.
Lo* controles miemos que *c utilizan en el entorno informtico continan
evolucionando hoy en dia a medida que los sistema* informtico* se vuelven
complejos. Lo* progresos que *e producen en la tecnologa de sopones fsico* y de
software) han modificado de manera significativa los procedimientos que *
empleaban tradicionalmenle pora controlar los procesos de aplicaciones y para
gestionar los sistemas de informacin.
Para asegurar la integridad, disponibilidad y eficacia de kxs sistema* se requieren
complejo* mecanismos de control, la mayora de los cuales son automticos. Resulta
interesante observar. *m embargo, que hasta en los sistemas servidor/cliente
avanzado*, aunque algunos controles son completamente automtico*, otros son
www.FreeLibros.me
Km____________________ CAPfTVXO2 CONTKOl XWJWO Y AUPtTOrtlADaOttStATlCA II
completamente manuales. y mucho* dependen de una combinacin de elemento* de
software y de procedimiento.
Histricamente, lo* objetivo* de lo* controles informtico* se lun clasificado en
lis guente* categoras:
Controles preventivos-, para tratar de evitar el hecho, coma un software de
seguridad que impida los acceso no autorizados al sistema
Controles detectivov. cuando fallan los preventivo* piara tratar de conocer
cuanto ante* el evento. Por ejemplo, el registro de intent de acceso no
autorizados, el registro de la actividad diaria para detectar errores u omisiones.
<*c.
Controles torredivoi: facilitan la vuelta a la normalidad cuando se han
producido incidencias. Por ejemplo, la recuperacin de un uchivo daAado a
partir de las copias de seguridad.
Como el concepto de controles se origin en la profesin de auditora, resulta
importante conocer la relacin que existe entre los mtodos de control, los objetivo*
de control y los objetivo* de auditora. Se trata de un tema difcil por el hecho de que.
histricamente, cada mtodo de control ha estado a*ociado unvocamente con un
objetivo de control (por ejemplo, la seguridad de archivos de dalos se consegua
sencillamente manteniendo la sala de computadores cerrada con llave!.
Sin embargo, a medida que los sistema* informtico se tian vuelto ms
complejo*, los controles informticos han evolucionado hasta convenirse en procesos
integrados en los que se atenan las diferencia* entre las categoras tradicionales de
cootroies informticos.
Por ejemplo, en los actuales sistemas informticos puede resultar difcil ver la
diferencia entre seguridad de los programas, de los datos y objetives de control del
software del sistema. porque el mismo grupo de mtodo* de control satisface casi
Hulmwu lo* tres objetivo de control.
La relacin que existe entre los mtodos de control y los objetivos de control
puede demostrarse mediante el siguiente ejemplo, en el que un miimo conjunto de
mtodo* de control se utiliza para satisfacer objetivos de control tanto de
mantenimiento como de seguridad de los programas:
Objetivo de Control de mantenimiento: asegurar que las modificaciones de los
procedimientos programados estn adecuadamente disecadas, probadas,
aprobadas e implantada*.
www.FreeLibros.me
Objetivo Je Control de seguridad de programas: garantizar que no se poeden
efectuar cambios no autorizados en los procedimientos programados.
H AUtXTOTMA INFORMTICA L'N ENHOQUE CT1CO____________________________ c
2.3.2. Implantacin de un sistema de controles internos
informticos
Los controles pueden implantarse a vahos niveles diferentes. La evaluacin de
los controles de la Tecnologa de la Informacin exige analizar diversos elemente
interdependientes. Por ello es importante llegar a conocer bien la configuracin del
sistema, con el objeto de identificar lo* elementos, productos y herramientas qae
existen para saber dnde pueden implantarse los controles, as como para identifica:
posibles riesgos.
Para llegar a conocer la configuracin del sistema es necesario documentar k>s
detalles de la red. as como los distintos niveles de control y elementos relacionados:
Entorno de red. esquema de la red. descripcin de la configuracin hardware
de comunicaciones, descripcin del software que se utiliza como acceso a las
telecomunicaciones, control de red. situacin general de los computadores de
entornos de base que soportan aplicaciones crticas y consideraciones relativas
a la seguridad de la red.
Configuracin del computador base: configuracin del soporte fsico, entorno
del sistema operativo, software con particiones, entornos (pruebas y real),
bibliotecas de programas y conjunto de datos.
Entorno de aplicaciones: procesos de transacciones, sistemas de gestin de
bases de datos y entornos de procesos distribuidos.
Productos y herramientas: software para desarrollo de programas, software de
gestin de bibliotecas y para operaciones automticas.
Seguridad del computador base: identificar y verificar usuarios, control de ac
ceso, registro e informacin, integridad del sistema, controles de supervisin,
etc.
Para la implantacin de un sistema de controles internos informticos habr que
definir:
Gestin de sistemas de informacin: polticas, pautas y normas tcnicas que
sirvan de base para el diseo y la implantacin de los sistemas de informacin y de los
controles correspondientes.
www.FreeLibros.me
c mu CAWitO! CONTIMX. IVTMtNO Y At'DfTOOl BTtMSlAnCA 1)
- Administracin de sistemas: controle* sobre la actividad de los centros de
datos y otras funcione* de apoyo al sistema, incluyendo la administracin de
las redes.
- Seguridad: incluye las tres dase de controles fundamentales implantados en
el software del sistema, integridad del sistema, confidencialidad (control de
acceso) y disponibilidad.
- Gestin del cambio: separacin de las pruebas y la produccin a nivel de
software y controles de procedimientos pora la migracin de programas
software aprohados y probados.
La implantacin de una poltica y cultura sobre la seguridad requiere que sea
italiuda por fases y est respaldada por la Direccin. Cada funcin juega un papel
nportante en las distintas etapas:
Direccin de Negocio o Direccin de Sistemas de Informacin (S.I.): Han de
defieir la poltica y/o directrices para los sistemas de informacin en base a las
exigencias del negocio, que podrn ser internas o externas.
trrcctn J* Informtica-. Ha le definir I nornia* * fimriniumimln iVI
momo informtico y de cada una de las funciones de Informtica mediante la
creacin y publicacin de procedimientos, estndares, metodologa y normas,
aplicables a todas las reas de Informtica as como a los usuarios, que establezcan el
Bureo de funcionamiento.
Control Interno Informtico: Ha de definir kx* diferentes controles peridicos a
realizar en cada una de las funciones informticas, de acuerdo al noel de riesgo de
cada una de ellas, y ser disertados conforme a lo- objetivos de negocio y dentro del
marco legal aplicable. stos se plasmarn en los oportunos procedimientos de control
Memo y podrn ser preventivos o de deteccin. Realizar peridicamente la revisin
de los controles establecidos de Control Interno Informtico informando de las
www.FreeLibros.me
M AI'IMIIIHU INHIKMAIKA C'N KNKXjCE PRACTICO
desviaciones a la Direccin le Informtica y sugiriendo cuantos cambios ere
convenientes en los controles, asi como transmitir* constantemente a toda la
organizacin de Informtica la cultura y polticas del riesgo informtico.
DtRWXTN POLTICAS
V
DIRECTRICES
[ foi/ncA \
<______>
i
ESTNOARKS
1-ROC.TXHMIE.VTOi
NORMAS Y
METOOOIXXSS
| CVLTVtU ]
I
coMnconACts
Y SEGUIMKNTO
* Dft CONTROLES
1
r
IMPLANTAR
NtOCCZMMIECTOS
De CONTROL.
Auditor insrmo/t xtt mo informtico: Ha de revisar la* diferentes controles
internos definidos en cada una de las funciones informticas y el cumplimiento de
normativa interna y externa, de acuerdo al nivel de riesgo, conforme a los objetivos
definidos por la Direccin de Negocio y la Direccin de Informtica. Informar a la
Alta Direccin de los hechos observados y al detectarse deficiencias o ausencias de
controles recomendarn acciones que minimicen los riesgos qtx pueden originarse.
l-a creacin de un sistema de control informtico es un responsabilidad de la
Gerencia y un punto dextacable de la poltica en el entorno informtico.
A continuacin se indican algunos controles internos (no lodos los que deberan
definirse) para sistemas de informacin, agrupados por secciones funcionales, y que
serian los que Control Interno Informtico y Auditora Informtica deberan verificar
para determinar su cumplimiento y validez:
I. Controles generales organizativos
Polticas: debern servir de base para la planificacin, control y evaluacin por
la Direccin de las actividades del Departamento de Informtica.
www.FreeLibros.me
CArtrut o ; txivmot intvhno y aichtohia imohmatica >5
Planificacin:
- Plan Estratgico dr Informacin, realizado por lo rganos de la Alta
Direccin de la Empresa donde se definen los procesos corporativo y se
considera el uso de la diversa. tecnologas de informacin as como las
amenazas y oportunidades de su uso o de su ausencia.
- Plan Informtico, realizado por el Depanamento de Informtica, determina
los caminos precisos pura cubrir las necesidades de la Empresa
plasmndolas en proyectos informticos.
- Plan Central de Seguridad (fsica y lgica), que garantice la
confidencialidad, integridad y disponibilidad de la informacin.
- Plan de emergencia ante desastres, que garantice la disponibilidad de los
sistemas ante eventos.
Estndares: que regulen la adquisicin de recursos, el diserto, desarrollo y
modificacin y explotacin de sistemas.
Procedimientos: que describan la forma y las responsabilidades de ejecutoria
pora regular las relaciones entre el Departamento Je Informtica y los
departamentos usuarios.
Organizar el Departamento de Informtica en un nivel suficientemente
superior de estructura organizativa como para asegurar su independencia de
los departamentos usuarios.
Descripcin de las funciones y responsabilidades dentro del Departamento con
una clara separacin de las mismas.
Polticas de personal: seleccin, plan de formacin, plan de vacaciones y
evaluacin y promocin.
Asegurar que la Direccin revisa lodos los informes de control y resuelve las
excepciones que ocurran.
Asegurar que existe una pollica de clasificacin de la informacin para saber
dentro de la Organizacin qu personas estn autorizadas y a qu informacin.
Designar oficialmente la figura de Control Interno Informtico y de Auditoria
Informtica (estas dos figuras se nombrarn internamente en base al tamato
del Departamento de Informtica).
www.FreeLibros.me
2. Controles de desarrollo. adquisicin y mantenimiento de sistemas de
informacin
Para que permitan alca ruar la eficacia del sistema, economa y eficiencia,
integridad de los dalos, proteccin de los recursos y cumplimiento con las leyes y
regulaciones.
Metodologa del ciclo de vida del desarrollo de sistemas: su empleo podr
garantizar a la alta Direccin que se alcanzarn los objetivos definidos para el
sistema. stos son algunos controles que deben existir en la metodologa:
- La alta Direccin debe publicar una normativa sobre el uso de metodologa
de ciclo de vida del desarrollo de sistemas y revisar sta peridicamente.
- La metodologa debe establecer los papeles y responsabilidades de las
distintas reas del Departamento de Informtica y de los usuarios, as como
la composicin y responsabilidades del equipo del proyecto.
- Las especificaciones del nuevo sistema deben ser definidas por tos usuarios
y quedar escritas y aprobadas antes de que comience el proceso de
desarrollo.
- Debe establecerse un estudio tecnolgico de viabilidad en el cual se
formulen formas alternativas de alcanzar los objetivos del proyecto
acompaadas de un anlisis coste-beneficio -de cada alternativa-.
- Cuando se seleccione una alternativa debe realizarse el plan director del
proyecto. En dicho plan deber existir una metodologa de control de
costes.
- Procedimientos para la definicin y documentacin de especificaciones de:
diserto, de entrada, de salida, de archivos, de procesos, de programas, de
controles de segundad, de pistas de auditora, etc.
- Plan de validacin, verificacin y pruebas.
- Estndares de prueba de programas, de prueba de sistemas.
- Plan de conversin: prueba de aceptacin final.
- Los procedimientos de adquisicin de software debern seguir las polticas
de adquisicin de la Organizacin y dichos productos debieran ser
probados y revisados antes de pagar por ellos y ponerlos en uso.
- La contratacin de programas de servicios de programacin a medida ha de
estar justificada mediante una peticin escrita de un director de proyecto.
- Debern prepararse manuales de operacin y mantenimiento como parte de
todo proyecto de desarrollo o modificacin de sistemas de informacin, as
como manuales de usuario.
AMXTOHU INKXtMAWCA-17 h-MOQUE PH-<CTlCO olAH
Explotacin y mantenimiento: el establecimiento de controles asegurar que
los datos se tratan de forma congruente y exacta y que el contenido de
www.FreeLibros.me
CAffTVIO i COSnOL IVTT.RNO Y Al'DTTORlA IMORMATKA 7
sistemas slo w i modificado mediante autorizacin adecuada. foto* m
algunos de los controles que se deben implantar:
- Procedimientos de control de explotacin.
- Sistema de contabilidad para asignar a usuarios los costes asociados con la
explotacin de un sistema de informacin.
- Procedimientos para realizar un seguimiento y control de los cambios de
un sistema de informacin.
3. Controle de explotacin de sistemas de informacin
Planificacin y Gestin de recursos: definir el presupuesto operativo del
Departamento. Plan de adquisicin de equipos y gestin de la capacidad de los
equipos.
Controles para usar, de manera efectiva los recursos en computadores:
- Calendario de carga de trabajo.
- - Programacin de personal.
- Mantenimiento preventivo del material.
- Gestin de problemas y cambios.
- Procedimientos de facturacin a usuario.
- Sistema de gestin de la biblioteca de soportes.
Procedimientos de seleccin del software del sistema, de instalacin, de
mantenimiento, de seguridad y control de cambios.
Seguridad fsica y lgica:
Definir un grupo de seguridad de la informacin, siendo una de sus funciones
la administracin y gestin del software de seguridad, revisar peridicamente
los informes de violaciones y actividad de segundad para identificar y resolver
incidentes.
- Controles fsicos pora asegurar que el acceso a las instalaciones del
Departamento de Informtica queda restringido a las personas autorizadas.
- Las personas extemas a la Organizacin debern ser acompaadas por un
miembro de la plantilla cuando tengan que entrar en las instalaciones.
- Instalacin de medidas de proteccin contra el fuego.
- Formacin y concienciacin en procedimientos de seguridad y evacuacin del
edificio.
- Control de acceso restringido a los computadores mediante la asignacin de
un identificados de usuario con palabra clave personal e intransferible.
www.FreeLibros.me
8 Al'lXTORU IXH3BMATK' tN KNKIQIIE PECnCO
- Normas que regulen el acceso a los recursos nformtic js.
- Existencia de un plan de contingencias para el respaldo de recursos de
computado* crticos y para la recuperacin de los servicias del Departamento
Informtico despus de una interrupcin imprevista de ios mismos.
4. Controles en aplicaciones
Cada aplicacin debe llevar controles incorporados pan garantizar la entrada,
actualizacin, validez y mantenimiento completos y exactos de los datos. Las
cuestiones ms imponanies en el control de los dalos son:
Control de entrada de datos: procedimientos de cotverein y de entrad*,
validacin y correccin de dalos.
Controles de tratamientos de datos para asegurar q x no se dan de aki.
modifican o borran dalos no autorizados para garanti:ar la integridad de lo*
mismos mediante procesos no autorizados.
Controle* de salidas de dalos: sobre el cuadre y reconciliacin de salidas,
procedimientos de distribucin de salidas, de gestin de errores en las salid.
5. Controles especficos de de r l a s tecnologas
Controles en Sistemas de Gestin de Bates de Dalos:
- El software de gestin de bases de datos para prever el acceso a. b
estructuracin de. y el control sobre los dalos comparlos, deber instalarse jr
mantenerse de modo tal que asegure la integridad del software, las bases de
dalos y las instrucciones de control que definen el enlomo
- Que csin definidas las icspunsabilisiado sobre la plan ftcacin. organizacin
dotacin y control de los activos de dalos, es decir, un administrador de datos.
- Que existen procedimientos para la descripcin y k cambios de datos as
como para el mantenimiento del diccionario de dalos.
- Controles sobre el acceso a datos y de concurrencia.
- Controles para minimizar fallos, recuperar el entorno de las bases de datos
hasta el ponto de la cada y minimizar el tiempo necesario para U
recuperacin.
- Controles para asegurar la integridad de los dalos: programas de utilidad pan
comprobar los enlaces fTsicos -punteros- asociados a los datos, registros de
www.FreeLibros.me
control para mantener los balances transitnos de transacciones pora su
posterior cuadre con totales generados por el usuario o por otros sistemas.
Controles en informtica distribuida y redes:
Planes adecuados de implantacin, conversin y pruebas de aceptacin para la
red.
Existencia de un grupo de control de red.
Controles pora asegurar la compatibilidad de conjunto de datos entre
aplicaciones cuando la red es distribuida.
Procedimientos que definan las medidas y controles de seguridad a ser usados
en la red de informtica en conexin con la distribucin del contenido de bases
de dato entre los departamentos que usan la red.
Que se identifican todos los conjuntos de dalos sensible de la red y que se
han determinado las especificaciones para su seguridad.
Existencia de inventario de todos los activo de la red.
Procedimientos de respaldo del hardware y del software de la red.
Existencia de mantenimiento preventivo de todos los activos.
Que existen controles que verifican que todos los mensajes de salida se
validan de forma rutinaria para asegurar que contienen direcciones de destino
vlidas.
Controles de seguridad lgica: control de acceso a la red. establec miento de
perfiles de usuario.
Procedimientos de cifrado de informacin sensible que se transmite a travs
de la red.
Procedimientos automticos para resolver cierres del sistema.
Monitori/acin para medir la eficiencia de la red.
Disertar el trazado fsico y las medidas de segundad de las lineas de
comunicacin local dentro de la organizacin.
Detectar la correcta o mala recepcin de mensajes.
Identificar los mensajes por una clave individual de usuario, por terminal, y
|M el iiiiiciu <lc XOKACU del mcnjc.
Revisar los contratos de mantenimiento y el tiempo medio de servicio
acordados con el proveedor con objeto de obtener una cifra de control
consume.
Determinar si el equipo muhiplexor/concentrador/proccsador frontal remoto
tiene lgica redundante y poder de respaldo con realimcntacin automtica
para el caso de que falle.
Asegurarse de que haya procedimientos de recuperacin y reinicio.
Asegurarse de que existan pistas de auditora que puedan usarse en la
reconstruccin de los archivos de datos y de las transacciones de los diversos
,____________________ CAWnUjQ ?-COOTMOt. IXTHtNO Y AlPCTOKlA INIOM ATICA
www.FreeLibros.me
terminales. Debe cxiMir la capacidad de rastrear los Calos entre la terminal y
el usuario.
- Considerar circuitos de conmutacin que usen tulas alternativas pin
diferentes paquetes de informacin provenientes del misino mensaje; esto
ofrece una forma de seguridad en caso de que alguien itfercepte los mensajes
Controles sobre computadores personales y redes de rea local:
- Polticas de adquisicin y utilizacin.
- Normativas y procedimientos de desarrollo y adquisicin de software de
aplicaciones.
- Procedimientos de control del software contratado bajo licencia.
- Controles de acceso a redes, mediante palabra clave, a ravs de computadores
personales.
- Revisiones peridicas del uso de los computadores penonalcs.
- Polticas que contemplen la seleccin, adquisicin e instalacin de redes de
rea local.
Procedimientos de seguridad fsica y lgica.
- Departamento que realice la gestin y soporte tcnico de la red. Controles
para evitar modificar la configuracin de una red. Recoger informadle
detallada sobre los Minis existentes: Arquitectura (CFU's. Discos. Memori*.
Streamers, Terminales, etc.). Conectividad (LAN. mini lo kost, etc.), software
(sistema operativo, utilidades, lenguaje, aplicaciones. etc.). Servicios
soportados.
- Inventario actualizado de todas las aplicaciones de la Kritidad.
- Poltica referente a la organizacin y utilizacin de los discos duros de 1
equipos, as como para la nomenclatura de los archivos que contienen, y
verificar que contiene al menos: obligatoriedad de etiquetar el disco duro con
el nmero de serie del equipo, creacin de un subdirectorio por usuario en d
que se almacenarn todos sus archivos privados, as como creacin de un
subdirectorio pblico que contendr todas las aplicaciones de uso comn pan
los distintos usuarios.
- Implantar herramientas de gestin de la red con el fin de valorar su
rendimiento, planificacin y control.
- Procedimientos de control de los filt-trantfer que se red izan y de controles de
acceso para los equipos con posibilidades de comuni.'acin. Polticas que
obliguen a la desconexin de los equipos de l i s lneas de comunicacin
cuando no se est haciendo uso de ellas.
- Adoptar los procedimientos de control y gestin adecalos para la integridad,
privacidad, confidencialidad y seguridad de la informacin contenida en redes
de rea local.
AKUTOatA INIOHMTICA UN ESTOQUE HtmCO____________________________o mu
www.FreeLibros.me
Cuando exista conexin PC-Host. comprobar que opera bap lo controles
necesario* para evitar la carga/extraccin de dato de forma noautorizada.
Contrato* de mantenimiento (tanto preventivo como correctivoo defectivo).
Cuando en Las accione de mantenimiento c requiera la accin de tercero o la
salida de los equipo de lo lmite de la oficina. se debern establecer
procedimiento para evitar la divulgacin de informacin confidencial o
sensible.
Mantener un registro documental de la acciones de nunteninvento realizadas,
incluyendo la descripcin del problema y la ohicin dada al mismo.
I-os computadores debern estar conectado a equipo de continuidad (UPS',
grupo, e tc).
Proteccin contra incendios, inundaciones o electricidad esttica.
Control de acceso fsico a lo recurso micronormticos: .laves de PCs.
reas restringida. Ubicacin de impresoras (propia y de red). Prevencin
de robo de dispositivos. Autorizacin para desplazamienxK de equipo.
Acceso fsico fuera de horario normal.
Control de acceso fsico a los dato y aplicaciones: almacenamiento de
dixquetes con copias de hackup u otra informacin o aplicacin,
procedimientos de destruccin de datos e informes confidenciales,
identificacin de disquctcVcintas. inventario completo le disquetes
almacenado, almacenamiento de documentacin.
En lo computadores en que se procesen aplicaciones o dalo nsiblex insular
protectores de oscilacin de lnea elctrica y sistema de alimentacin
ininterrumpida.
Implantar en la red local producto de seguridad a como herramientas y
utilidades de seguridad.
Adecuada identificacin de usuarios en cuanto a las iguieae* operaciones:
altas, baja y modificaciones, cambio de posword. explota.'in del log del
sistema.
Controlar las conexione remotas in/out (CAL): Mdems. Gateway*. Mapper
Procedimientos para la instalacin o modificacin de softwire y establecer
que la direccin es consciente del riesgo de virus informticos y otros software
maliciosos, as como de fraude por modificaciones no autorizadas de software
y daftov
Controles pora evitar la introduccin de un sistema operativo a travs de
disquete que pudiera vulnerar el sistema de seguridad establecdo.
www.FreeLibros.me
1 AUDITORA INFORMATICA UN KNKKjtlE WtCTKO
2.4. CONCLUSIONES
La importancia alcanzada por el uso (Se la informtica durante lo ltimos artos ha
ido espectacular. Tras este fenmeno se encuentra el deseo de beneficiarse de lo
cuatro grandes logros que esta tecnologa ha aportado:
Racionalizacin de costos.
Mejora de la capacidad de toma de decisiones, haciendo stas ms rpidas y
de menor riesgo, al contar, de manera casi inmediata, con la informacin
precita. Mejora de la calidad de los servicios debido al incremento de la
capacidad pora adaptarse dinmicamente al mercado.
Nacimiento de servicios a dientes basado en la nueva tecnologa sin cuyo uto
seran imposibles de ofrecer.
La informtica no es algo neutro en la empresa, sino que tiene un ctocio
estructurante que. aftadido a su carcter cada vez ms intensivo, a la variedad creciente
de las aplicaciones y a la de los medios distribuidos, la hacen estratgica Todo ello ha
permitido mejorar, de manera sustancial, los resultados econmicos al tiempo que se
han disparado los costes de las inversiones informticas.
La informtica no slo ha dejado de ser una simple herramienta pon
transformarse en un modo de estructuracin de la empresa, sino que la informacin es
uno de los actisos ms importantes. Las aplicaciones de un funcionamiento anormal,
aunque sea temporal, de la informtica tendrn repercusiones cada vez ms grases
para la empresa, podiendo incluso poner en peligro su supervivencia ante la enorme
dependencia de los sistemas informticos. La integracin, en particular gracias a las
redes, hace el problema todava ms grase: las consecuencias de una anomala pueden
propasarse al exterior de la empresa e incluso alcanzar al usuario final. No hay que
ocultar los problemas con el pretexto de tranquilizarse, sino que conviene prepararse
para aportar soluciones aun cuando stas sean parciales al principio.
Es responsabilidad de la Direccin plantear una estrategia de inversiones en
recursos informticos as como implantar sistemas de controles internos de manera
que se garanticen unos grados de eficiencia y seguridad suficientes de los acusos
informticos. Como consecuencia, aumenta la complejidad de las necesidades de
control y auditora surgiendo en las organizaciones como medidas preventivas,
defectivas y correctivas las figuras de Control Interno y Auditora Informticos.
Es preciso supervisar continuamente los controles internos informticos para
asegurarse de que el proceso funciona segn lo previsto. Esto es muy importante,
porque a medida que cambian los factores internos y externos, controles que una vez
resultaron idneos y efectivos pueden dejar de ser adecuados y de dar a la Direccin la
razonable segundad que ofrecan antes.
www.FreeLibros.me
L funciones de Control Interno y Auditoria Informticos prestan un servicio de
vilo aadido al ayudar a las organizaciones y a mis directivos a cumplir sus
obligaciones relativas al control interno mediante d proceso de recoger, agrupar y
evaluar evidencias para determinar as un sistema informatizado salvaguarda los
activos, mantiene la integridad de los datos, lleva a cabo eficazmente los fines de la
Organizacin y utiliza eficientemente los recursos.
too CArtnilI>:: CtVVTHOt. LVrWNO Y AUOTTOHU INFORMATICA O
2.5. LECTURAS RECOMENDADAS
CPP Auditing. Auerhach Publications
ht/gerald. Jerry. Controles internos para sistemas de computacin. Ed. Limusa
Wiley.
Martin. James. Security. Accuracy and Pri\xtcy m Computer System. Ed.
Preatice Hall.
Seguridad integral en las organizaciones. Ed. Trillas.
Instituto Auditores Internos de Espaa. Control interno, auditoria v segundad
informtica.
1. Qu cambios en las empresas provocan tensin en el control interno
existente?
2. Cules son las funciones del control interno informtico?
3. Cules son los objetivos de la Auditora Informtica?
4. Cules son las semejanzas y diferencias entre Control Interno y Auditora
Informtica?
5. Ponga ejemplos de controles conectivos en diversas reas informticas.
6. Cules son los principales controles en el rea de desarrollo?
7. Qu procesos definira para controlar la informtica distribuida y las redes?
8. Qu controles se deberan establecer en las aplicaciones?
www.FreeLibros.me
44 AVWtOKlA ISOKMATK'A l y EWOQIT.PRACTICO_____________________________o
9. Cmo justificara ante un directivo de empresa la inversin necesaria en
control > auditora infocmiika?
10. Describa la informtica como modo de estructuracin de las empresas.
www.FreeLibros.me
CAPITULO 3
METODOLOGAS
DE CONTROL INTERNO,
SEGURIDAD Y AUDITORA INFORMTICA
Jos Mara Genzdlez Zubieta
3.1. INTRODUCCIN A LAS METODOLOGIAS
Segn el Diccionario de la lengua de la Real Academia Espaole. MTODO es
d "modo de decir o hacer con orden una c o n ". Asimismo define el diccionario la
palabra METODOLOGA como "conjunto de mtodos que se liguen en una
investigacin cientfica o en una exposicin doctrinal". Esto significa que cualquier
proceso cientfico debe estar sujeto a una disciplina de proceso definida con
anterioridad que llamaremos METODOLOGA
La Informtica ha sido tradicionalmente una materia compteji en lodos tus
aspectos, por lo que se hace necesaria la utilizacin de metodologa n cada doctrina
que b componen, desde su diserto de ingeniera hasta el desarrollo del software, y
cmo no. la auditora de I<m sistemas de informacin.
Las metodologas usadas por un profesional dicen mucho de su forma de entender
trabajo, y estn directamente relacionadas con su experiencia profesional
acumulada como parte del comportamiento humano de acierto /error".
Asimismo una metodologa es necesaria para que un equipo de profesionales
alcance un resultado homogneo tal como si lo hiciera uno solo, por lo que resulta
Habitual el uso de metodologas en las empresas audiioras/consultora.' profesionales,
desarrolladas por los ms expertos, pora conseguir resultados homogneos en equipos
de trabajo heterogneos.
www.FreeLibros.me
La proliferacin de metodologas en el mundo de la auditoria y el contri
informtico* se pueden observar en k primeros artos de la dcada de los ochcnu,
paralelamente al nacimiento y comercializacin de determinadas hcrramxnui
metodolgicas (como el software de anlisis de riesgos). Pe el uso de mtodos *
auditoria es casi paralelo al nacimiento de la informtica, en la que existen mucha
disciplinas cayo uso de metodologas constituye una practica habitual. Una de ellis a
la seguridad de los sistemas de informacin.
Aunque de forma simplista se trata de identificar la seguridad informtica a U
seguridad lgica de los sistemas, nada est ms lejos de h realidad hoy ea 6a,
extendindose sus races a todos los aspectos que suponen riesgos para la informtica
ste y no otro, debe ser el campo de actuacin de un auditor informtica 6
finales del siglo XX. en uno de los grandes smbolos del desvTollo tecnolgico de U
poca de la humanidad que nos ha tocado vivir.
Si definimos la "SEGURIDAD DE l.OS SISTEMAS DE INFORMACIN"
como la doctrina que trata de los riesgos informticos o creados por la informtica
entonces la auditoria es una de las figuras involucradas en este proceso de proteccin j
preservacin de la informacin y de sus medios de proceso.
Por tanto, el nivel de seguridad informtica en una cuidad es un objetivo i
esaluar y est directamente relacionado con la calidad y eficicia de un conjunto de
acciones y medidas destinadas a proteger y preservar la informacin de la entidad j
sus medios de proceso.
Resumiendo, la informtica crea unos riesgos informticos de los que hay que
proteger y preservar a la entidad con un entramado de contramcdidas, y la calidad y la
eficacia de las mismas es el objetivo a evaluar para poder identificar asi sus puntos
dbiles y mejorarlos. sta es una de las funciones de los audiures informticos. Por
tanto, debemos profundizar ms en esc entramado de contrunedidas para ver qu
popel tienen las metodologas y los auditores en el mismo. Para explicar este aspecto
diremos que cualquier contramedida nace de la composicin de varios factores
expresados en el grfico valnr" Ar U figura 3.1.
Todos los factores de la pirmide intervienen en la composicin de una
contramedida.
<* aupctokIa infohmtka. un ckxji'f nUcnco_________________________ i m
www.FreeLibros.me
Figura i . I. Factores que componen uno contramedula
l-A NORMATIVA debe definir de forma clara y precita lodo lo que debe
existir y ser cumplido, lano desde el punto de vista conceptual, como
prctico, desde lo general a lo particular. Debe inspirarse en estndares,
polticas, marco jurdico, polticas y normas de empresa, experiencia y
prctica profesional. Desarrollando la normativa, debe alcanzarse el resto del
grfico salor. Se puede dar el caso en que una normativa y su carcter
disciplinario sea el nico control de un riesgo, pero no es frecuente.
I.A ORGANIZACIN la integran personas con funciones especficas y con
actuaciones concretas, procedimientos definidos metodolgicamente y
aprobados por la direccin de la empresa, liste es el aspecto ms importante.
<U<tn sin t. i u i es posible. Se pueden establecer controles sin alguno de
los dems aspectos, pero nunca sin personas, ya que son estas las que realizan
los procedimientos y desarrollan los Planes (Plan de Seguridad. Plan de
contingencias, auditoras, etc.).
LAS METODOLOGAS son necesarias para desarrollar cualquier proyecto
que nos propongamos de manera ordenada y eficaz.
LOS OBJETIVOS DE CONTROL son los objetivo* a cumplir en el control
de procesos. Este concepto es el ms importante despus de LA
ORGANIZACIN", y solamente de un planteamiento conecto de los mismos
saldrn uno procedimientos eficaces y realistas.
www.FreeLibros.me
I.OS PROCEDIMIENTOS DE CONTROL sor los procedimientos
operativos de las distintas reas de la empresa, obtenidos con una metodologa
apropiada, para la consecucin de uno o varios objetivo* de control y. por
tanto, deben de estar documentados y aprobados por la Direccin. La
tendencia habitual de los informticos es la de dar ms peso a la herramienta
que al "eomrol o contramedidn", pero no debeiiKtt olvidar que UNA
HERRAMIENTA NUNCA ES UNA SOLUCIN SINO UNA AYUDA
PARA CONSEGUIR UN CONTROL MEJOR". Sin la existencia de estos
procedimientos, las herramientas de control son solamente una ancdota.
Dentro de la TECNOLOGIA DE SEGURIDAD e i todos los elementos,
ya sean hardware o software, que ayudan a controlar un riesgo informtico.
Dentro de este coocepto estn los cifradores, auicntificadores. equipos
tolerante* al fallo", las herramientas de control, etc.
LAS HERRAMIENTAS DE CONTROL *on ekmento* software que
permiten definir uno o vario* procedimientos de cortrol para cumplir una
normativa y un objetivo de control.
Todos estos factores estn relacionados entre sf. as como la calidad de cada uno
con la de lo* dems. Cuando se evala el nivel de Seguridad de Sistemas en un
institucin, se estn evaluando lodos estos factores (pirmide) y se plantea un Plan de
Seguridad nuevo que mejoee todo* los factores, aunque conforme vayamos realizando
los distinto* proyectos del plan, no irn mejorando todos por igual. Al finalizar el pUa
se lubr conseguido una situacin nueva en la que el nivel de control sea superior a)
anterior.
Llamaremos PLAN DE SEGURIDAD a una estrategia planificada de acciones y
producto* que lleven a un sistema de informacin y su* centro* de proceso de una
situacin inicial determinada (y a mejorar) a una situacin mejorada.
En la figura 3.2 se expone la tendencia actual en la organizacin de la seguridad
de sistemas en la empresa. Por una pane un comit que estara formado por el director
de la estrategia y de I poHiivuv Y pul srtm jwitc csniUut interno y auditoria
informticos. I-a funcin de control interno se ve involucrada en la realizacin de los
procedimiento* de control y es una labor de din a dfa. L funcin de auditora
informtica est centrada en la evaluacin de los distintos aspectos que designe su
PLAN AUDITOR, con una* caractersticas de trabajo que son las visita* concreta* al
centro, con objetivos concretos y, tras terminar su trabajo. la presentacin del informe
de resultados. Por tanto, las caractersticas de su funcin son totalmente distintas.
Lgicamente tambin sus mtodos de trabajo.
4 Al'DTTORlA INFORMATICA UN BNTOQtiE P*M~TKO____________________________ w w
www.FreeLibros.me
CAffTWO V MBTflOXXa\S Dt OtVTKOt. IMVKVO. SU* HIPAD Y Al'PfTOtllA 9
Figura S.2. Organizacin interna de la segundad informtica
Queda, pues, por decir que ambas funciones deben ser independientes de la
informtica. dado que por la disciplina laboral la labor de la dos funciones quedara
mediatizada y comprometida. F.to es lo que se llama "segregacin de funciones"
cttrt stas y la informtica.
3.2. METODOLOGIAS DE EVALUACIN DE SISTEMAS
3.2.1. Conceptos fundamentales
En el mundo de la seguridad de sistemas se utilizan todas las metodologas
necesarias para realizar un plan de seguridad adems de las de auditora informtica.
Las dos metodologas de evaluacin de sistemas por antonomasia son las de
ANLISIS DE RIESGOS v las de AUDITORA INFORMTICA, con dos enfoques
dntintos. La auditora informtica slo identifica el nivel de exposicin" por la falta
de controles, mientras el anlisis de riesgos facilita la "evaluacin" de k riesgos y
recomienda acciones en base al costo-beneficio de las mismas.
Introduzcamos una serie de definiciones para profundizar en esus metodologas.
AMENAZA: una(s) persooa(s) o cosis) vistis) como posible fuente de
peligro o catstrofe. Ejemplos: inundacin, incendio, robo de datos, sabotaje,
agujeros publicados, falta de procedimientos de emergencia, divulgacin de
www.FreeLibros.me
UDCTOkIa INKXtMTKTA L N PffOQCE PRCTICO
datos. implicaciones con la ley. aplicaciones mal disertadas. gasu
incontrolado*, etc.
VULNERABILIDAD: La situacin creada, por la falta de uno o vario
controles, con la que la amenaza pudiera acaecer y as afectar al entone
informtico. Ejemplos: falta de control de acceso lgico, falta de control de
versiones, inexistencia de un control de sopones magnticos, falta de
separacin de entorno* en el sistema, falta de cifrado en I
telecomunicaciones, etc.
RIESGO: La probabilidad de que una amenaza llegue a acaecer por usa
vulnerabilidad. Ejemplo: los datos estadsticos de cada evento de una base de
datos de incidentes.
EXPOSICIN O IMPACTO: La evaluacin del efecto del riesgo. Ejemplo:
e* frecuente evaluar el impacto en trminos econmico*, aunque no siempre I
es. como vidas humanas, imagen de la empresa, honor, defensa nacional, etc.
Las amenazas reales se presentan de forma compleja y son difciles de predecir
Ejemplo: por varias causas se rompen las dos entradas de agua, inundan las lnea
telefnicas (pues existe un poro en el cable), hay un cortocircuito y se quema d
transformador de la central local. En cao casos la probabilidad resultante es muj
difcil de calcular.
Las metodologas de anlisis de riesgos se utilizan desde los afta* setenta, en b
industria del seguro basndose en grandes volmenes de datos estadstico* agrupado
en tablas aduana* Se emplearon en la informtica en los ochenta, y adolecen dd
problema de que los registros estadsticos de incidentes son escasos y. por unto, d
rigor cientfico de ky* clculos probabiltfko* es pobre. Aunque existen bases de
incidentes en varios pases, estos dalos no son muy fiables por varios motivos: la
tendencia a la ocultacin de los afectados, la localizacin geogrfica, las distintas
mentalidades, la informtica cambiante, el hecho de que los riesgo* *e presentan en u*
periodo de tiempo solamente (ventana de criticidad). etc.
Todos los riesgos que se presentan podemos:
- EVITARLOS (por ejemplo: no construir un centro donde hay peligro
constante de inundaciones).
- TRANSFERIRLOS (por ejemplo: uso de un centro de clculo contratado).
- REDUCIRLOS (por ejemplo: sistema de deteccin y extincin de incendios).
- ASUMIRLOS- Que e* lo que se hace si no se controla el riesgo en absoluto.
www.FreeLibros.me
Para lo tres primeros, e acta si se establecen controle o contramedida. Todas
la metodologa exileme* en segundad de sistemas van encaminada' a establecer y
mejorar un entramado de contramedidat que garanticen que la prohabtfcdad de que la
mena/* t e materialicen en hechos (por falta de control) tea lo mi baja posible o al
menos quede reducida de una forma razonable en costo-beneficio.
3.2.2. Tipos de metodologas
Toda las metodologas existentes desarrollada y utilizada en U auditora y el
control informtico, e pueden agrupar en do grandes familia. stas ion:
Cuantitativa: Basada en un modelo matemtico numrico que ayuda a la
realizacin del trabajo.
Cualitativa: Basada en el criterio y raciocinio humano capaz de definir un
proceso de trabajo, para eleccionar en base a la experiencia acumulada.
am CAPtTVLQ3 VaTTOOOLOCtAS Df.COyTHOl- IVTTJtMX XX-HIPAD YAUDfTOHX* ti
X12.I. Metodologas cuantitativas
Disertadas para producir una lista de riesgos que pueden compararte entre si con
facilidad por tener asignado uno valores numrico. Esto valores en el caso de
metodologa de anlisis de riesgos o de planes de contingencia1- ton dato de
probabilidad de ocurrencia (riesgo) de un evento que se debe extraer de un registro de
incidencias donde el nmero de incidencia tienda al infinito o sea suficientemente
grande. Esto no pasa en la prctica, y te aproxima ese valor de 'orma subjetiva
retundo as rigor cientfico al clculo. Pero dado que el clculo te hace para ayudar a
elegir el mtodo entre varias contramedidat podramos aceptarlo.
Hay vario coeficientes que conviene definir
- A-LE. (Annualiztd Loss Ltpeniacy): multiplicar la prdida nxima posible
de cada bien/recurso por la ame na/a con probabilidad ms alta
Reduccin del A.L.E. (Annualized Lots Exprctancy): Es el cociente entre el
COSI* anuallzado de la insulacHfci y el iitanu oimiento de U ncdido contra I
valor total del bien/recurso que se est protegiendo, en tanto per ciento.
- Retomo de la inversin (R.O.I.): A.L.E. original menos A.I..E. reducido
(como resultado de la medida), dividido por el coste anualizado de la medida
Todo esto coeficientes y otro disertado por los autores de la metodologas
ton osado para el juego de simulacin que permite elegir entre vanas contra medida
ta el an!t de riesgos.
www.FreeLibros.me
Por lano, vemos con claridad dos grandes inconveniertes que presentan eus
metodologas: por una pane la debilidad de los dalos de la probabilidad de ocurre*
por los pocos registros > la poca significacin de los mismos a nivel mundial, y por
otra la imposibilidad o dificultad de evaluar econmicamente lodos los impactos que
pueden acaecer frente a la ventaja de poder usar un modrlo matemtico pan d
anlisis.
ALDtTtttU ISTOOtUCA US t>KXjCT. mACHOO____________________________M
3.2.2.2. Metodologas cualitatisas/xubjefivas
Basadas en mtodos estadsticos y lgica borrosa (humara, no matemtica. f * z j
togic). Precisan de la imvlucractn de un profesional experimentado. Pero requiera
menos recursos humanos/tiempo que las metodologas cuantiutivas.
La tendencia de uso en la realidad es la mezcla de ambts. En la figura 3.3 k
observa un cuadro comparatisi.
3.2.3. Metodologas ms comunes
Las metodologas ms comunes de evaluacin de sistemas que podemoi
encontrar son de anlisis de riesgos o de diagnsticos de segundad, las de plan de
contingencias, y las de auditoria de controles generales.
www.FreeLibros.me
caHtvix i . mnoootooiAX pe cnvmot intckso. sKit.mtM v m ix i o r u
U J . I . Mdodalocia. de anlisis de riesgos
Estn desarrolladas pora la identificacin de la falta de controles y el
oubtecimiento de un plan de contramedidas. Existen dos tipos: LAS
CUANTTTATIVAS y LAS CUALITATIVAS, de las que existen gran cantidad de
netas clases y slo citaremos algunas de ellas.
H esquema bsico de una metodologa de anlisis de riesgos ex. en esencia, el
representado en la figura 3.4.
En base a unos cuestionarios se identifican vulnerabilidades y riesgos y se evala
d impacto para mis tarde identificar las contramedidas y el coste, l-a siguiente etapa
n la mis importante, pues mediante un juego de simulacin (que llamaremos "QU
PASA SI...?") analizamos el efecto de las distintas contramedidas en la disminucin
de los riesgos analizados, eligiendo de esta manera un plan de contramedidas (plan de
segundad) que compondr el informe final de la evaluacin.
O forma genrica las metodologas existentes se diferencian en:
Si son cuantitativas o cualitativas, o sea si para el "Qu pasa sL.T' utilizan
un modelo matemtico o algn sistema cercano a la eleccin subjetiva.
Aunque, bien pensado, al aproximar las probabilidades por esperanzas
matemticas subjetivamente, las metodologas cuantitativas, aunque utilicen
aparatos matemticos en sus simulaciones, tienen un gran componente
subjetivo.
Y adems se diferencian en el propio sistema de simulacin.
En el INFOSEC92 proyecto S20I4 se identificaron 66 metodologas de las
nales, por limitaciones de tiempo, se analizaron slo 12 con sus respectivos paquetes.
www.FreeLibros.me
y u i el informe le este trabajo acab siendo un contraste de Us (icnucionet de dicta
paquete* segn lo* fabricante* y la opinin de la* consultore* del equipo. Eoi
mtodo* analizado* eran: ANAUZY. BDSS. BIS RISK ASSESOR. BUDDY
SYSTEM. COBRA. CRAMM. DD1S MARION AP*. MELISA. RISAN. RISKPAC.
RISK WATCH.
Despus de e*tas metodologas han nacido mucha* otras como, por ejemplo, U
MACERfT. desarrollada por b administracin espartla. Citaremos algunas a modo
de ejemplo:
i* AUPfTCmiA n\XmMAtK~A LN fcXKJQft' mACTKP____________________________ u.
Figura J.S. Diagrama / wlntrabilitlad
www.FreeLibros.me
Figura 3.6. Cuestionario para i atorar la seguridad
www.FreeLibros.me
MARION
Mtodo documentado en do* libros de los cuales el ms actual es La SecuriU des
reseaux-Methodes et Techniques de J.M. Lamer y Leroux. J. Toorty. Tiene dos
productos: MARION AP+. para sistemas individuales, y MARION RSX pora sistemas
distribuidos y conectividad.
Es un mtodo cuantitativo y se basa en la encuesta anual de miembros del
C.L.U.S.l.F. (base de incidentes francesa). No contempla probabilidades, sieo
esperanzas matemticas que son aproximaciones numricas (valores subjetivos).
La MARION AP* utiliza cuestionarios y parmetros correlacionadlos enfocados a
la representacin grfica de las distintas soluciones de contramedidas (fgura 3.5). en
cada uno de los factores (27 factores en seis categoras). Las categoras son: seguridad
informtica general, factores socioeconmicos, concienciacin sobre la segundad de
software y materiales, seguridad en explotacin y seguridad de desarrollo.
Figura 3.7. Valores de ponderacin para diferentes sectores
www.FreeLibros.me
CaHTI'M) VMHOOOUXUAS Of. CXXSTUfK. INTERNO. SEGURIDAD AtPfTOKU 57
En la figura 3.6 se puede ser un cuestionario al que hay que responder s con un
4. no con un cero, y i no aplicable, para luego aplicarle uno valore* de ponderacin
segn los sectores de la figura 3.7 de negocio de la empresa donde st est pasando la
metodologa. El cuestionario de la figura 3.6 correspondera al factor 101.
El anlisis de riesgos k> hace obre diez ireas problemtica con otros
cuestionario. Estas reas son riesgos materiales, sabotajes fsicos, averas,
comunicaciones, errores de desarrollo, errores de explotacin, fraude, robo de
informacin, robo de software, problemas de personal. Sirve para evaluar el impacto
figura 3.8).
Figura 3.8. Definicin cualitativa de prdidas
www.FreeLibros.me
La* prdidas posibles no deben sobrepasar nunca e. valor del "RIESGO
MXIMO ADMISIBLE", vaio extrado de los valores dados por un cUud*o dd
Banco de Francia donde figuran 50 rabos para distintas reas sectoriales ya
mencionadas en la figura 3.7. El diagrama de la figura 3.S se llama de radar, y b
metodologia MELISA usa uno similar. Esta metodologa es de las mis antiguas ;
difciles de entender y manejar.
M AUXTtmlA INTOHMATKA LiN enfoque HtACTKO____________________________ e n i
R1SCKPAC
Todas las metodologas que se desarrollan en la actualidad estn pensadas para sa
aplicacin en herramientas. La primera de esta familia la desarroll PROMU:
ANALYSIS CORPORATION, y la primera instalacin en cliente data de 1984.
Segn DATAPRO es el software ms vendido.
Su enfoque es metodologa cualitativa/subjetiva. Sus resillados ion exportables i
procesadores de texto, bases de datos, hoja electrnica o sistemas grficos. Est
estructurada en los tres niveles FntonHVProccsador/Aplicacione* con 26 categoras de
riesgo en cada nivel. Tiene un qu posa si...?" con un nivel 4c riesgo de evaluacin
subjetiva del 1 al 5 y ofrece una lista de contramedidas o recomendaciones bsicas
para ayuda al informe final o plan de acciones.
CRAMM
Se desarroll entre 1985 y 1987 por BIS y CCTA (CENTtAL COMPUTER &
TELECOMUNICATION AGENCY RISK ANALISIS & MANAGEMENT
METMOD. Inglaterra). Implantado en ms de 750 organiracbnes en Europa, sobre
todo de la administracin pblica. Es una metodologa cualitativa y permite hacer
anlisis Qu pasa si...?".
PRIMA (PREVENCION DE RIESGOS INFORMTICOS CON
MKTOIKM-OGA ABIERTA)
Es un compendio de metodologas espartlas desarrolladas entre lo* artos 1990 y
la actualidad con un enfoque subjetivo. Sus caractersticas escoriales son:
- Cubrir las necesidades de los profesionales que desarrollan cada uno de los
proyectos necesarios de un plan de segundad.
- Fcilmente adaptable a cualquier tipo de herramienta.
- Posee cuestionarios de preguntas para la identificacin de debilidades o faltas
de controles.
www.FreeLibros.me
CArtnu-Q i Mirmixxnctvs i* twfntot inttkno. u o : hipad y audctohia
- Posee listas de ayuda para los usuarios menos experimentados de debilidades,
riesgo y contramedidas (sistema de ayuda)
- Pemute fcilmente la generacin de informe final.
- Las Lista de ayuda" (figura 3.10) y los cuestionarios son abierto, y por
tanto es potable introducir informacin nueva o cambiar la existente. De ah( la
expresin Abierta de u nombre.
- Tiene un "qu pasa cualitativo, y capacidad de aprendizaje al poseer
una base de conocimiento o registro de incidentes que van variando las
esperanza matemticas de partida y adaptndose a los entornos de trabajo.
En las figuras 3.9 y 3.10 se expone b metodologa de anlisis de riesgo PRIMA.
Con la misma filosofa abierta existen del mismo autor, en b actualidad, las
siguientes metodologas:
- Anlisis de riesgos.
- Plan de contingencias informtica y de recuperacin del negocio.
- Pbn de restauracin interno informtico.
- Clasificacin de b informacin.
- Definicin y desarrollo de procedimientos de control informticos.
- Pbn de cifrado.
- Auditora informtica.
- Definicin y desarrollo de control de acceso lgico. Entornos distribuidos y
single sig-on.
www.FreeLibros.me
Figura i . O. Mita de ayuda de la metodologa PRIMA
3.2J.2. Plan de contingencias
El auditor debe conocer perfectamente lo* conceptos de un plan de contingencia*
para poder auditorio. Hay varias forma* de llamarlo, pero conviene no confundir Un
concepto* que kc manejan alrededor de lo* nombre*. El plan de contingencia* y de
recuperacin del negocio c* lo mismo, pero no asi el plan de restauracin interno. ste
va enfocado hacia la restauracin del C.P.D.. pero sobre evento* que suceden dentro
del enlomo (cadas del sistema, roturas leves, etc.), y cuya duracin no afecta
gravemente a la continuidad del negocio.
Tambin *e manejan a vece* los concepto* de plan de contingencias informtica y
plan, de contingencia* corporativo, cuyos conceptos son slo de alcance. El
corporativo cubre no slo la informtica, sino lodos kw departamento* de una entidad,
y puede incluir tambin el informativo como un departamento ms. Frecuentemente
se realiza el informtico.
DEFINICIN. El Plan de Contingencias es una estrategia planificada constituida
por: un conjunto de recunos de respaldo, una organizacin de emergencia y unos
procedimientos de actuacin encaminada a conseguir una restauracin progresiva y
gil de los scrvicioei de negocio afectados por una paralizacin total o parcial de la
capacidad operativa de la empresa.
Esa estrategia, materializada en un manual, es el resultado de lodo un proceso de
anlisis y definiciones que es lo que da lugar a las metodologas. Esto es. las metodo
logas que existen versan sobre el proceso necesario para obtener dicho plan.
www.FreeLibros.me
Es muy importante tener en cuenta que el concepto a considerar e* la continui-
tti. el negocio- : estudiar todo lo que puede paralizar la actividad y producir prdidas
Todo k> que no considere este criterio no ser nunca un plan de contingencias.
FASES DE UN PIAN. Las fases de un plan son la* siguientes:
FASE I. ANLISIS Y DISEO. Se estudia la problemtica. las necesidades de
recursos, las alternativas de respaldo, y se analiza el coste/beneficio de las misma,
f.ua es la fase mi s importante, pudiendo llegarse al final de la misma incluso a la
conclusin de que no ex viable o es muy costoso su seguimiento. En la forma de
desarrollar esta fase, se diferencian las dos familias metodolgica*. stas son las de
-RISK ANALISIS" y las de BUSINESS IMPACT.
Las de Risk Anlisis se basan en el estudio de los posibles riesgos desde el punto
de sista de probabilidad de que los mismos sucedan. Aunque los registros de
acidentes. al igual que ocurra en las metodologas de anlisis de riesgos, son escasos
y poco fiables, aun as es mis fcil encontrar este tipo de metodologas que las
segundas.
Las de Bussines Impact. se basan en el estudio del impacto (prdida econmica o
de imagen) que ocasiona la falta de algn recurvo de los que soporta la actividad del
negocio. Estas metodologas son mis escasas, pero tienen grandes ventajas como es el
mejor entendimiento del proceso o el menor empleo de tiempo de trabajo por ir mis
directas al problema.
Las tareas de esta fase en las metodologas de Risk Anlisis son las siguientes:
1. Identificacin de amenazas.
2. Anlisis de la probabilidad de materializacin de la amenaza.
3. Seleccin de amenazas.
4. Identificacin de entornos amenazados.
5. Identificacin de servicios afectados.
6. Estimacin del impacto econmico por paralizacin de cada servicio.
7. ScIcccMta de Io scrvicio a cubrir.
8. Seleccin final del mbito del Plan.
9. Identificacin de alternativas para lo* entornos.
10. Seleccin de alternativas.
11. DiscAo de estrategias de respaldo.
12. Seleccin de las estrategias de respaldo.
CAHn lo MtiotxicociiAS uc cffvntiM.ivrm.so. seoirida y aho*tokIa - t i
www.FreeLibros.me
t a u x t ok U intohmtwa un exkmx'e wtcnco
La laucas pora 1 de Business Impaci son las siguientes:
1. Identificacin de servicios finales.
2. Anlisis del impacto. En estas metodologas se evalan los datos econmicos
y de imagen y otros aspectos no econmicos, lo que 1 da una ve Maja en ks
casos en los que intervienen otros valores que no sean los econmicos.
3. Seleccin de servicios crticos.
4. Determinacin de recursos de soporte.
I 5: Identificacin de alternativas pora entornos.
6. Seleccin de alternativas.
7. Diserto de estrategias globales de respaldo.
8. Seleccin de la estrategia global de respaldo.
Como puede verse, el enfoque de esta segunda es ms prctico y xe va mis
directo a las necesidades reales de la entidad sin tener que justificar con datos de
probabilidades que aportan poco por la pobreza de los datos. stas se basan en hech
ciertos, que se analizan y se justifican econmicamente. Permiten, por tanto, hacer
estudios costo/beneficio que justifican las inversiones con m> rigor que los estudios
de probabilidad que se obtienen con los anlisis de riesgos.
Hay un factor importante a determinar en esta fase que es el Time Fronte o
tiempo que la empresa puede asumir con paralizacin de la attividad operativo -Jes
de incurrir en prdidas significativas. Este factor marcir las estrategias de
recuperacin y se extraer del anlisis del impacto.
FASE II: DESARROLLO DEL PLAN. Esta fase y la tercera son similares es
todas las metodologas. En ella se desarrolla la estrategia seleccionada implantndose
hasta el final todas las acciones previstas. Se definen las distintas organizaciones de
emergencia y se desarrollan los procedimientos de actuacin generando as li
documentacin del plan.
Es en esta fase cuando se analiza la vuelta a la normalidad, dado que pasar de U
situacin normal a la ahematira debe concluirse con la reconstruccin de la situacite
inicial antes de la contingencia y esto es lo que no todas las metodologas incluyen.
FASE III: PRUEBAS Y MANTENIMIENTO. En esla fase se definen 1
prueHm. us caracrerfsric y sus ciclos, y se realiza la primen prueba como
comprobacin de todo el trabajo realizado, as como mental izar al personal implicada
Asimismo se define la estrategia de mantenimiento, la organizacin destinada i
ello y la normativa y procedimientos necesarios pora llevarlo a cabo
IIERRAMIEWTAS. En este caso, como en todas las metodologas la herramiecu
es una ancdota y lo importante es tener y usar la mctocblogfa apropiada pan
www.FreeLibros.me
cmivios Mmiootuciv. Dt covntoi. ishjlno. stguuuad v audito*! . >i
dturrollar mis larde la hcnamicnta que *c necesite. fcJ esquema de una herramienta
dete tener al menos los uguicntes puntos:
- base de datos relacionar
- mdulo de entrada de datos
- mdulo de consultas
- proceso de textos
generador de informes
- a)vdas on-lme
- hoja de clculo
- gestor de proyectos
- generador de grficos
Existen en el mercado producios que cubren estas metodologas, en menor
cantidad que los de anlisis de riesgos y enfocados sobre todo a anlis de nesgo* con
ditos de poca significacin cientfica. Hoy en da la mayora l e tos equipos
profesionales desarrollan su software al oomten/o de lo trabajos tras definir la
netodologa
Es importante para terminar este punto decir que una prctica hatitual es realizar
la fase I y contratar un servicio de back-up sin desarrollar las fases II y III. Esto no
Mo constituye un error conceptual, sino que en realidad slo se tiene un estudio y un
contrato de servicios pero no un PLAN DE CONTINGENCIAS.
3.3. LAS METODOLOGAS DE AUDITORIA INFORMTICA
Las nicas metodologas que podemos encontrar en la auditora informtica son
do familias distintas: las auditoras de CONTROLES GENERALES como produelo
estndar de la auditores profesionales, oue son una homologacin de las mismas a
rfl internacional, y las METODOLOGIAS de los auditores internos.
El objetivo de las auditoras de controles generales es "dar una pintn sobre la
natiilnlod de lus datus del computador para la auditora financiera". El rebultado
externo es un escueto informe como parte del informe de auditora, dende *e destacan
lat vulnerabilidades encontradas. Estn basadas en pequefo* cuestionarios estndares
que dan como resultado informes muy generalistas.
Tienen apaados para definir pruebas" y anotar sus resultados. sta es una
caracterstica clara de la diferencia con las metodologas de evaluacin de la
consultara como la* de anlisis de riesgos que no timen estos apenados, aunque
urribin tratan de identificar vulnerabilidades o falta de controle; Esto es. la
ratizaon de pruebas e* consustancial a la auditora, dado que tarto el trabajo de
con litara como el anlisis de riesgos espera siempre la colaboracin del analizado, y
www.FreeLibros.me
por el contrario la auditoria debe demostrar con pruebas toda, u n afirmaciones. y pa
ello siempre debe contener el apartado de las pruebas. Llegando al extremo de que
hay auditoras que se basan slo en pruebas como la "auditora de integridad- .
fcsta\ metodologas estn muy desprestigiada*, pero no porque sean malas en i
mismas, sino porque dependen mucho de la experiencia de ka profesionales que la
usan y existe una prctica de utilizarlas profesionales sin ningn experiencia.
Ninguna de estas metodologas usa ayudas de contramedida*. llegndose a U
aberracin de que se utilizan metodologas de anlisis de riesgos para hacer auditorias.
Todas estas anomalas nacen de la dificultad que tiene un profesional sa
experiencia que asume la funcin auditora y busca una frmula fcil que le perrina
empezar su trabajo rpidamente. Esto ex una utopa El auditor informtico necesita
una larga experiencia tutelada y una gran formacin tanto audtora como mformbea.
Y esta formacin debe ser adquirida mediante el estudio y la prctica tutelada.
Llegamos al punto en el que es necesario decir que la netodologa de aud*r
Memo debe ser disertada y desarrollada por el propio ajditor. y sta ser b
significacin de su grado de experiencia y habilidad.
Por unto, entre la* dos metodologas de evaluacin de sistemas (anlisis de
riesgo* y auditoria) existen similitudes y grandes diferencias. Ambas tienen ppelo
de trabajo obtenidos del trabajo de campo tras el plan d< entrevistas, pero Vos
cuestionarios son totalmente distintos. Los de la figura 3.6 son de anlisis de nesgas y
se trata de preguntas dirigidas a la identificacin de la f al u de controles. Se vea
dirigidas a consultores por la planificacin de los tiempo* y por ser preguntas mis
concretas.
En el punto 3.7 se expone un ejemplo real de una metodotiga de auditor interno
necesaria para revisar cualquier aplicacin. Como se ve en el ejemplo esU formad
por recomendaciones de plan de trabajo y de lodo el proceso que debe segar
Tambin define el objetivo de la misma, que habr que describ lo en el me mor indura
de apertura al auditado. Asimismo lo describe en forma de oestionarios genricos,
con una orientacin de los controles a revisar.
En este caso del auditor interno informtico le servir de ua pora confecciona
el programa real de trabajo de la auditoria. El auditor deber hacer los cuestionarios
ms detallados si as lo estima oportuno y definir cuanus pmtbas estime oportunas
Asimismo, si cuando empieza una auditoria el auditor deteru va* alternativas a
revisar, su deber es seguirla* cambiando el plan de trabajo. Per tanto, el concepto de
las metodologas de anlisis de riesgos de "tiempos medid**" es mis bien pm
consultores profesionales que para auditores interno*, listos, aunque deben planificar
W MWIWlA INHM*TlfA IX tMOQCt *CnCO____________________________ ai
www.FreeLibros.me
CAPfTVlLO y MfcTOPOKXiiAS UBCOSTHOC IXIUtNO. SIGIHIDADY AUDITORIA 6
mu tiempos. en principio no deben constituir nunca su factor pnncijal. dado que mi
funcin es la de vigilancia, y sta se cumple si el auditado se viente vigilado.
FJ auditor interno debe crear vuv metodologas necesarias ara auditar los
taiinto* aspectos o reas que defna en el plan auditor que veremos en el siguiente
puno.
Tambin es interesante aclarar que hay herramientas software de ayuda a la
wditora de cuentas que aunque se les llame herramientas de auditora, slo lo son
pira los auditores de cuentas, y esto no es auditora informtica sino ayuda a la
auditora de cuentas.
Es decir, que no es lo mismo ser una informtica de los auditores que ser auditor
informtico. La auditora financiera es un dictamen tabre fot atado* de cuentas. Y
la auditora informtica es una auditora en si misma, y si el auditer informtico no
certifica la integridad de los datos informticos que usan los auditores financieros,
stos no deben usar los sistemas de informacin para sus dictmenes. Tal es la
iaporuncia de la existencia de los auditores informticos, que ton b s garantes de la
veracidad de los informes de los auditores financieros que trabajan con los datos de los
sistemas de informacin.
FJ esquema metodolgico del auditor est definido por el plan auditor que vemos
a continuacin.
3.4. EL PLAN AUDITOR INFORMTICO
Es el esquema metodolgico mis importante del auditor informtico. En este
documento se debe describir lodo sobre esta funcin y el trabajo que rcali/a en la
entxll Debe estar en sintonia con el plan auditor del resto de las auditores de la
entidad.
Las partes de un plan auditor informtico deben ser al menos las siguientes:
- Funciones. Ubicacin de la figura en el organigrama de li empresa. Debe
existir una clara segregacin de funciones con la Informiiica y de control
interno informtico, y ste debe ser auditado tambin. Deben describirse las
funciones de forma precisa, y la organizacin interna del dipanamento, con
todos sus recunos.
- Procedimientos pora las distintas tareas de las auditoras. Entre ellos estn el
procedimiento de apertura, el de entrega y discusin de debilidades. entrega de
informe preliminar, cierre de auditora, redaccin de informe final, etc.
www.FreeLibros.me
IA AVPfTORlAINro*MTCA INtNroOlTiHtAcnOO
- Tipos d r auditoras que realiza. Metodologas y cuestionarios de las mismas.
Ejemplo: revisin de la aplicacin de facturacin, revisin de la LOPD.
revisin de seguridad fsica, revisin de control interno, etc. Existen res tipos
de auditoras segn su alcance: b Full o completa de una ir ea (por ejemplo:
control interno, informtica, limitada a un aspecto: por ejemplo: un
aplicacin, la seguridad lgica, el software de base. etc.), la Corrective Action
Revicw (CAR) que es la contprohacin de acciones correctivas de auditoras
anteriores.
- Sistema de evaluacin y los distintos aspectos que evala. Independiente
mente de que exista un plan de acciones en el informe final, debe hacerse el
esfuerzo de definir varios aspectos a evaluar como nivel de gestin
econmica, gestin de recursos humanos, cumplimiento de normas, etc., as
como realizar una evaluacin global de resumen pora toda la auditora. En
nuestro pas esta evaluacin suele hacerse en tres niveles que son "Bien".
"Regular", o "Mal", significando la visin de grado, de gravedad. lista
evaluacin final nos servir para definir la fecha de repeticin de la misma
auditora en el futuro segn el nivel de exposicin que se le haya dado a este
tipo de auditora en cuestin.
CICLO DE AUDITORIAS___________
Figura J. 11. MtW de exposicin para definir la frecuencia de la auditora
- Nivel de exposicin. C on ejemplo podemos ver la figura 3.11. El nivel de
exposicin es en este caso un nmero del uno al de/ definido subjetivamente
y que me permite en base a la evaluacin final de la ltima auditora realizada
sobre ese tema definir la fecha de la repeticin de la misma auditora. Este
nmero no conviene confundirlo con ninguno de los parmetros utilizados en
el anlisis de riesgo que est enfocado a probabilidad de ocurrencia. En este
caso el valor del nivel de exposicin significa la suma de factores como
impacto, peso del rea, situacin de control en el rea. O sea se puede incluso
www.FreeLibros.me
CaHTIIO VMETUOOtOGlAS PCCOWTiM. KIONO SUGWXM YAl'PtTOfttV 7
rebajar el nivel de un rea auditada porque est muy bien y no merece la pena
revivarla tan a menudo.
- l i s t a de distribucin de informe*.
- Seguimiento de bu accione corredoras .
- l i a n quinquenal. Todas la reas a auditar deben corresponderse con
cuestionarios metodolgico* y deben repartiese en cuatro o cinco aAos de
trabajo. Ksta planificacin, adems de las repeticiones y aadido de las
auditoras no programadas que se estimen oportunas, deber componer
anualmente el plan de trabajo anual.
- l i a n de trabajo anual. Deben estimarse tiempos de manera racional y
componer un calendario que una ve/ terminado nos d< un resultado de horas
de trabajo previstas y. por tanto, de lo* recunos que se necesitarn.
Debemos hacer notar que es interesante tener una herramienta programada con
metodologa abierta que permita confeccionar los cuestin ario* de las distintas
auditorias y cubrir fcilmente los hitos y fases de los programas de trabajo una vez
definida la metodologa completa. Bao te poede hacer sin dificultad con cualquier
herramienta potente de las que existen en la actualidad.
Las metodologas de auditoria informtica son del tipo cualitativiVsubjetivo
Pedemos decir que son las subjetivas por excelencia. Pir tanto, estn basadas en
profesionales de gran nivel de experiencia y formacin, capaces de dictar
recomendaciones tcnicas, operativas y jurdicas, que exigen una gran profesionalidad
y formacin continuada Slo asi esta funcin se consolidar en las entidades, esto es.
por el "respeto profesional a los que ejercen la funcin.
3.5. CONTROL INTERNO INFORMTICO. SUS MTODOS Y
PROCEDIMIENTOS. LAS HERRAMIENTAS DE CONTROL
3.5.1 La funcin de control
Hoy en da la tendencia generalizada es contemplar, al lado de la figura del
auditor informtico, la de control interno informtico. Tal es el cavo de la
orgwzacin internacional I.S.A.C.A. (Information Systems Audit and Control
AMOCiaticn) que con anterioridad se llam The EDP Auditor* Association Inc.
Aunque hay una cierta polmica profesional con esta funcin y no cxitfe una
aceptacin tan clara como la funcin de auditora informtica, parece razonable y sin
tencin de crear doctrina definirla como existe en general en muchas mutina-
ckrules.
www.FreeLibros.me
ai o i iohia informtica un i j toqiir o k h
La funcin de Control Informtico Independenle debera ser en primer lugtr
independiente del departamento controlado. Ya que "por segregacin de funciones U
informtica no debera controlarte a s misma". Partiendo de la base de un concepto
en el que la seguridad de sistemas abarca un campo mucho mayor de lo que es b
seguridad lgica, podramos decir que:
- El rea informtica monta kxs procesos informticos seguros.
- El Control interno monta los controles.
- La Auditora Informtica evala el grado de control.
Por tanto, podramos decir que existen claras diferencias entre las funciones de
conirol informtico y las de auditora informtica.
1.a Auditora Informtica
- Tiene la funcin de vigilancia y evaluacin mediante dictmenes, y todas sus
metodologas van encaminadas a esta funcin.
- Tiene sus propios objetivos distintos a los auditores de cuentas, aunque nece
sarios para que stos puedan utilizar la informacin de sus sistemas pora sus
evaluaciones financieras y operativas. Evalan eficiencia, costo y seguridad ea
su ms amplia visin. eslo es todos los riesgos informativos, ya sean 1
clsicos (confidencialidad, integridad y disponibilidad, o los costos y los
jurdicos, dado que ya no hay una clara separacin en la mayora de los casos.
- Operan segn el plan auditor.
- Utilizan metodologas de evaluacin del tipo cualitativo con la caracterstica
de las pruebas de auditora.
- Establecen planes quinquenales como ciclos completos.
- Sistemas de evaluacin de repeticin de la auditora por nivel de exposicio
del rea auditada y el resultado de la ltima auditora de esta rea.
- La funcin de soporte informtico de todos los auditores (opcionalmcntc),
aunque dejando claro que no se debe pensar con esto que la auditori
informtica consiste en esto solamente.
Control Interno Informtico
- Tiene funciones propias (administracin de la seguridad lgica, etc.).
- Funciones de control dual con otros departamentos.
- Funcin normativa y del cumplimiento del marco jurdico.
www.FreeLibros.me
I l w CAPtnni) Mt.TCXXMOC.lAS OC COMTOOl IVTEKNO. tt-tXKlDAO YAfDCTOKU W
- Operan segn proced miemos de control en lo* que se ven involucrados y que
luego se desarrollarn.
- Al igual que en la auditora y de forma opcional pueden ser el soporte
informtico de control interno no informtico.
Podemos pasar ya a proponer las funcione de control interno ms comunes:
- Definicin de propietarios y perfiles segn "Clasificacin de 1 Informacin
(utilizando metodologa).
- Administracin delegada en Control Dual (dos personas intevienen en una
accin corno medida de control) de la seguridad lgica.
- Responsable del desarrollo y actualizacin del Plan de Contingencias.
Manuales de procedimientos y Plan de Seguridad.
- Promover c i a n de Seguridad Informtica al Comit de Segur dad.
- Dictar Normas de Seguridad Informtica.
- Definir los Procedimientos de Control.
- Control del Entorno de Desarrollo.
- Control de Soportes Magnticos segn la Clasificacin de la Informacin.
Control de Soportes Fsicos (listados, etc.).
- Control de Informacin Comprometida o Sensible.
- Control de Micromformtica y Usuarios.
- Control de Calidad de Software.
- Control de Calidad del Servicio Informtico.
- Control de Costes.
- Responsable del Departamento (gestin de recursos humanas y tcnicos).
Control de Licencias y Relaciones Contractuales con terceros.
- Control y Manejo de Claves de cifrado.
- Relaciones externas con entidades relacionadas con la Segundad de la
Informacin.
- Definicin de Requerimientos de Seguridad en Proy ectos Nuevos.
- Vigilancia del Cumplimiento de las Normas y Controles.
- Control de Cambios y Versiones.
Control de Paso de Aplicaciones a Explotacin.
- Control de Medidas de Segundad Fsica o corporativa en la Inarmtica.
- Responsable de Datos Personales (LOPD y Cdigo Penal).
- Otros controles que t e le designen.
- Otras funciones que se le designen.
Todas estas funciones son un poco ambiciosas para desanclarlas desde el
instante inicial de la implantacin de esta figura, pero no debemos perder el objetivo
de que el control informtico es el componente de la actuacin segura" entre los
wuiros, la nfonntica y control interno, todos ellos auditado? por auditora
nformtica-
www.FreeLibros.me
Para obren el entramado de contramcdida* o contrito, compuesto pe la
factores que veamos en la figura 3.1. deberemos ir abortando proyecto usafe
distintas metodologas, u l como se observa en la figura 3.12.que irn confomuedoj
mejorando el nmero de controles.
70 AUIimUl>IKIUTIC*:WtWO0ltW(TKO
Figura 3.12. Obtencin de tos controle
Este plan de proyectos lo llamaremos "Plan de Segundad Informtica". Dos de
estos proyectos de vital importancia son la Xlasificacin de la Informacin" y los
"Procedimientos de Control- . F.l punto B) de la figura corresponde al primero y el Cl
al segundo, y sus metodologas se ven a continuacin.
3.5.2. Metodologas de clasificacin de la informacin y de
obtencin de los procedimientos de control
Clasificacin d r la informacin
No es frecuente encontrar metodologas de o t e tipo, pero U metodologa PRIMA
tiene do* mdulos que desarrollan estos dos aspecto y que vemes a continuacin.
Contemplando la figura 3.12 podran* preguntamos si es suficiente con un
anlisis de riesgos para obtener un plan de contramedidas qte nos llevar a una
situacin de control como se desea, I-a respuesta es no. dado qe todas las entidades
de informacin u proteger no tienen el mismo grado de importancia, y cl anlisis de
riesgos metodolgicamente no permite aplicar una difercnciacrfn de contramedidas
segn el activo o recurvo que protege, sino por la probabilidad del riesgo analizado.
www.FreeLibros.me
CaHTU-O MhTOOOUXiKS t fONTItOt IXTIVO. St-CIHIPAP YAlfHTrWlA TI
Tiene que ver otro concepto, como el que se baraja en la cbsilicacin de la
informacin Esto es "SI IDENTIFICAMOS DISTINTOS NIVELES DE
CON!R AMKDIDAS PARA DISTINTAS ENTIDADES DE INFORMACIN CON
DISTINTO NIVEL DF. CRIT1CIDAD. ESTAREMOS OPTIMIZANDO LA
EFICIENCIA DE LAS CONTRA MEDIDAS Y REDUCIENDO LOS COSTOS DE
LAS MISMAS".
Por ejemplo, si en vez de cifrar la red de comunicaciones por igual tomo* capaces
de diferenciar por qu linea* va U informacin que clasificamos como Restringida a
lo propietario* de la misma. podremos cifrar solamente estas lneas pora protegerla
un necesidad de hacerlo para todas, y de esa manera disminuiremos el costo de b
ccotramcdida "cifrado".
Tradicionalmcnte el concepto de informacin clasificada se aplic a lo
documentos de papel, aunque los criterios y jerarquas nunca han sido mis de dos
ttecwto 'f aV Co r la tecnologa de U informacin, el concepto ha cambiado, e
incluso se ha perdido el control en entornos sensibles. Nace pues el concepto de
ENTIDAD DE INFORMACIN como el objetivo a proteger en el entorno
informtico. y que la clasificacin de b informacin nos ayudar a proteger
especializando las contramedidas segn el nivel de confidencialidad o importancia que
tengan
Esta metodologa es del tipo cualitativo/subjetivo, y como el resto de la
metodologa PRIMA tiene listas de ayuda con el concepto abierto, esto es. que el
profesional puede afYadir en b herramienta niveles o jerarquas, colindares y objetivos
a cumplir por nivel, y ayudas de contramedidas.
Ejemplos de Entidades de Informacin son: una pantalla, un listado, un arefuvo
de datos, un archivo en un "strcamer". una microficha de saldos, los sueldos de los
directivo*, los datos de tipo "salud" en un archivo de personal, una transacin. un JO ..
un editor, etc.
O sea los factores a considerar son los requerimientos legislativos, la sensibilidad
a la divulgacin (confidencialidad). a la modificacin (integridad), y a b destruccin.
Las jerarquas suelen ser cuatro, y segn se trate de ptica de preservacin o de
proteccin, los cuatro grupos seran: Vital-Crtica-Valuada-No sensible o bien
Altamente conlidencial-Confidcncial-Rcstringida-No sensible.
PRIMA, aunque permite definida a voluntad, bsicamente define:
* Estratgica (informacin muy restringida, muy confidencial, vital para la
subsistencia de la empresa).
Restringida (a los propietarios de la informacin).
www.FreeLibros.me
De uvo interno (a todo* los empicados).
De uso general (sin restriccin.
Los pasos de la metodologa toa los siguientes:
1. IDENTIFICACIN DF. I.A INFORMACIN.
2. INVENTARIO DE ENTIDADES DE INFORMACIN RESIDENTES Y
OPERATIVAS. Inventario de programas, archivos de datos, estructura de
datos. topones de informacin, etc.
3. IDENTIFICACIN DE PROPIETARIOS. Son k que necesitan para w
trabajo. usan o custodian la informacin.
4. DEFINICIN DE JERARQUAS DE INFORMACIN. Suelen ver cuatm
porque es difcil distinguir entre mis niveles.
5. DEFINICIN DF. LA MATRIZ DE CLASIFICACIN. Fisto consitte
definir las polticas, cstindares objetivos de control y contra medidas por upo
y jerarquas de informacin.
6 CONFECCIN DE LA MATRIZ DF. CLASIFICACIN. En la figura 3.IJ
te observa un ejemplo de matnz de clasificacin en la que se relaciona cali
entidad de informacin con tai elementos que se correlacionan, como wi
transaccin, archivos, soportes, propietarios, y jerarqua. En esta fase *
cumplimenta toda la matriz, asignindole a cada entidad un nivel de jerarqc
lo que la asocia a una serie de hitos a cumplir segn el punto anterior, pan
cuyo cumplimiento deberemos desarrollar acciones concretas en el pumo
siguiente.
7. REALIZACIN DEL PLAN DE ACCIONES. Se confecciona el pa
detallado de acciones. Por ejemplo, se reforma una aplicacin de nmina
para que un empleado utilice el programa de subidas de salario y su supcrviwr
lo apruebe.
8. IMPLANTACIN Y MANTENIMIENTO. Se implanta el plan de acciones j
se mantiene actualizado.
Y as se completa esta metodologa.
www.FreeLibros.me
m w CAWIVL03 METIXXXOOKNWO>NTRtX-IVN<) SfcGCIDAPY AUPfTOHU-.
Obtencin de los procedimientos de control
Otra metodologa necesaria p o n la obtencin de kw controle* expresados en la
figura 3.1, es "la Obtencin Je los Procedimientos de Control". Es frecuente
eaconirar manuales de procedimientos en todas las reas de la empresa que explican
Ib funciones y cmo se realizan las distintas tareas diariamente, siendo stos
aeceunos para que los auditores realicen sus revisiones operativas, evaluando si los
procedimientos son correctos y estn aprobados y sobre todo (i se cumplen
Pero podramos preguntamos si desde el punto de visu de control informtico es
suficiente y cmo se podran mejorar.
La respuesta nos la da la metodologa que se expone a continuacin, que nos dar
otro plan de acciones que tal como trata de expresar la figura 3.12. contribuir
wmJedose a los distintos proyectos de un plan de seguridad para mejorar el
cainmado de contramedidas.
Metodologa
Fase /. Definicin Je Objetivos de Control.
Se compone de tres larcas
Tarta I. Anlisis de la empresa. Se estudian los procesos, organigramas y
funciones.
www.FreeLibros.me
71 iM'IXTOKlA INKttMATK'A I N I,\H1QII. HtCfKX)
Tarea 2. Recopilacin de exlindares. Se estudian tixlas las fuentes de
informacin necesarias para conseguir definir en la siguiente fase ka
o b j i v de control a cumplir (por ejemplo. ISO. ITSEC. CISA. etc.).
Tarea.3. Definicin de los Objetivos de Control.
Fase II. Definicin de los Controles.
Tarea I. Definicin de los Controles. Con los objetivos de control definido,
analizamos los procesos y vamos definiendo los distintos controle qoe
se necesiten.
Tarca 2. Definicin de Necesidades Tecnolgicas hardware y herramientas de
control).
Tarca 3. Definicin de los Procedimientos de Control. Se desarrollan ku
distintos procedimientos que se generan en las reas usuaria,
informtica, control informtico y control no informtico.
Tarca 4. Definicin de las necesidades de recursos humanos.
Fase III. Implantacin de los controles.
Una vez definidos los controles, las herramientas de control y los recurra
humanos necesarios, no resta mis que implantarlos en forma de acciones especficas.
Terminado el proceso de implantacin de acciones habr que documentar kn
procedimientos nuevos y revisar los afectados de cambio. Los procedimiento
resultantes sern:
- Procedimientos propios de control de la actividad informtica (control interra
informtico).
- Procedimientos de distintas reas usuarias de la informtica, mejorados.
- Procedimientos de reas informticas, mejorados.
- Procedimientos de control dual entre control interno informtica y el rea
informtica, los usuarios informticos, y el rea de control no informtico.
I
www.FreeLibros.me
amuui i Mnotxmxitvs i>i ( osinfK isimvo su.i muso y m'ditiihIa n
3.5.3. Las herramientas de control
Ya hemos hablado de (oda* las capas de la figura 3.1. excepto d:l ltimo subs-
(rato de U pirmide, esto es. las herramientas de control. En la tecnologa de la seguri
dad informtica que se ve envuelta en los controles, existe tecnologa hardware (como
los cifradores) y software. Las herramientas de control son elemento* software que
por sus caractersticas funcionales permiten vertebrar un control de una manera ms
actual y ms automatizada. Pero no olvdenlos que la herramienta en < misma no es
tuda. Ya hemos visto en el punto anterior que el control se define en todo un proceso
metodolgico, y en un punto del mismo se analiza si existe una herramienta que
automatice o mejore el control para ms tarde definir todo el control con la
herramienta incluida, y al final documentar los procedimientos de las distintas reas
involucradas para que stas: los cumplan y sean auditados. O sea. comprar una
herramienta sin ms y ver qu podemos hacer con ella es. un error profesional grave,
que no conduce a nada, comparable a trabajar sin mtodo c improvisando en cualquier
disciplina informtica.
Las herramientas de control (software) ms comunes son:
- Seguridad lgica del sistema.
- Seguridad lgica complementaria al sistema (desarrollado a metida).
- Seguridad lgica para entornos distribuidos.
- Control de acceso fsico. Control de presencia.
- Control de copias.
- Gestin de sopones magnticos.
- Gestin y control de impresin y envo de listados por red.
- Control de proyectos.
- Control de versiones.
- Control y gestin de incidencias.
- Control de cambios.
- Etc.
Todas estas herramientas estn inmersas en controles nacidos de unos objetivos
de luviliul y que icyuUiii la sluotin Je la distinta reo* nvclucrada. Pbr
ejemplo, si el objetivo de control es "separacin de entornos cntte desarrollo y
produccin", habr un procedimiento en desarrollo de paso de aplicaciones a
explotacin" y otro en explotacin de paso a explotacin de plicacionc* de
desarrollo". Soportado todo por una herramienta de control de acceso lgico que en
un proceso de clasificacin ha definido distintos perfiles en desarrollo > explotacin, y
tras implantarlo en la herramienta, impide acceder a uno y a otros al enoroo que no es
el suyo. Por tanto, para pasar una aplicacin de uno a otro cuando est terminada, se
aecesita un procedimiento en el que intervengan las dos reas y un control informtico
que acula de llave. Esto que parece dificultoso, no lo es en la prciica.
www.FreeLibros.me
AttXtO&lA IMOH VIATICA. tN bXKXXJE PRACTICO
Slo a modo de ejemplo pongamos ktt objetivos de control en el acceso lgico il
igual que deberamos ir haciendo en cada una de las herramientas de control anta
enumeradas.
Objetos de control de acceso lgico
Segregacin de funciones entre los usuarios del sistema: productores de
software, jefes de proyecto (si existe un proceso metodolgico asi), tcnico*
de sistemas, operadores de explotacin, operadores de telecomunicaciones,
gmpos de usuarios de aplicaciones (con perfiles definidos por la Clasificadla
de la informacin), administrador de la seguridad lgica (en control dual al sa
de alto riesgo), auditora, y tantos como se designen.
Integridad de los "log" c imposibilidad de desactivarlos por ningn perfil pun
poder revisarlos. Fcilmente legibles c interpretables por control informtico.
Gestin centralizada de la seguridad o al menos nica (por control infor
mtico).
Contrasefta tnica (a ser posible) para los distintos Sistemas de la red. Y b
autentificacin de entrad* una sola vez. Y una vez dentro, controlar lo
derechos de uso.
lu contrasea y archivos con perfiles y derechos inaccesibles a todos, incluso
a los administradores de seguridad
El sistema debe rechazar a los usuarios que no usan la clave o los derechos de
uso correctamente, inhabilitando y avisando a control, que tomara las medidas
oportunas.
Separacin de entornos. Significa que los distintos usuarios pueden hacer
solamente lo qu y cmo se ha autorizado que hagan para su funcin. Habr
tantos entornos como se precisen y el control tendr que estar en situacio
normal como en emergencia y no entorpecer la operatoria.
El log. o los log'*, de actividad no podrn desactivarse a voluntad, y si se dud
de su integridad o carencia, resolver con un terminal externo controlado.
El sistema debe obligar al usuario a cambiar la con ir aserta, de forma que slo
la conozca l. que es la nica garanta de autenticidad de sus actos.
www.FreeLibros.me
CAPtTULO y MtTOOOUWM DE COSTKOCI upricmU r>
Es frecuente encontrar mecanismos de outo logout. que expulsan del Mema a
la terminal que permanece inactiva ms de un tiempo determinado, que son
ayudas adicionales a la segundad.
Muchos de estos objetivos se pueden sacar de los propios estndares (ISO. Libro
Naranja. ITSEC. etc.).
Este ejemplo nos puede servir para introducir otra metodologa del compendio
PRIMA, utilizada p a n la implantacin del control sobre los "Entornos distribuidos'',
verdadero reto de nuestros das.
Todo estaba controlado en los grandes sistemas en su nivel C2/E2 (no es mucho,
pero suficiente para el nivel comercial, segn los fabricantes). Y llega la proliferacin
de los entornos distribuidos... el caos. Est controlada la seguridad lgica en la
actualidad? Cada responsable de seguridad debe planterselo! Se cumple el marco
jurdico sin seguridad lgica?
Se podra implantar el control de acceso lgico, sistema a sistema con los propios
software de seguridad de cada uno de ellos, con un enorme esfuerzo de recursos
humano* y complicada operativa. Podemos resolver mejor el problema adquiriendo c
instalando un software de control de entornos distribuidos. Pero qu hacer... cmo
ibordar el problema? Ver mucho* productos y escoger uno? Ser lo mejor para el
fatsro? Cmo k> estn haciendo los dems?
La forma mis apropiada de resolver este problema, hasta donde se pueda, es
utilizar un mtodo prctico que paso a desarrollar.
ANLISIS DE PLATAFORMAS. Se trata de inventariar las mltiples
plataformas actuales y futuras (MVS. UNIX. AIX3.2.5.. TANDEN GUARDIAN D30.
etc. que mis tarde nos servirn para saber qu productos del mercado nos pueden ser
vibdo*. tanto los productos actuales como los futuros planes que tengan los
fabricantes.
CATLOGO DK REQUERIMIENTOS PREVIOS DF. IMPLANTACIN.
Desde el primer momento nace esta herramienta (control del proyecto), que inventara
lo que no se va a conseguir (limitaciones), as como lo necesario para la implantacin,
inventariado como acciones y proyecto*, calendarizados. y su duracin para su
seguimiento y desarrollo.
ANLISIS DE APLICACIONES. Se traa de inventariar las necesidades de
desarrollar INTERFACES con los distintos software de seguridad de las aplicaciones
y base* de dalos. Estos desarrollo* deberan entrar en el catlogo de R.P.I. como
proyectos a desarrollar. Por ejemplo: DB2. Oracle 7.1.6. SAP R/3.2.2, Clicckpoint
www.FreeLibros.me
Firewall-I. OFFICE 2.6. o la propia de Recursos Humanos, ele. Es importante b
conexin a Recursos Humanos para que se delecten automticamente la* afteraciooM
en los empleados (alias, bajas, cambios). Tambin en este pumo conviene ver si d
productiVmscrfaces sopona el tiempo real, o el proceso batch. o su* posibilidades de
registros de actividad.
INVENTARIO DE FUNCIONALIDADES Y PROPIETARIOS. En este
punto trataremos todo cl esquema de funcionalidades de la seguridad lgica actual. Es
el momento de crear unas jerarquas de estndares a cumplir (clasificacin de U
informacin) y tratar de definir en ese momento los controles que se deberan tener, ya
sea de usuario* de las aplicaciones como de los usuarios de los uitema* y el uso de Us
herramientas.
Este punto es importante para ver xi con cl nuevo esquema de control al q<x
vamos perdemos objetivos de control o nos salen acciones nuevas para cl catlogo de
R.P.I.S.
Es importante inventariar tambin en este punto la situacin de la administradla
de la seguridad lgica en los distintos entornos y las caractersticas de las contrasellan,
i como la operativa tanto de los usuarios de los distintos sistemas como de las
distintas administraciones de seguridad y cl control de log o reporting.
Todo este inventario nos servir para haccr un anlisis de mejora* y prdidas o
limitaciones en los nuevos escenarios con lo* software de control de los entornos
distribuido*, segn convenga para elegir el mejor en costo/beneficio.
ADMINISTRACIN DE LA SEGURIDAD. Se analizarn, de las distintas
opciones del mercado, la* caractersticas de cada producto.
Figura 3. 4. Herramientas de control de los entornos distribuidos
www.FreeLibros.me
CAPtrn.o y mktoooiogIas de covtku. lyrmso. sFjGtmiDAD v a I t xt oku r
No olvidemos que se trau de conseguir que el escenario de los entornos
dsaibutdos se pueda controlar como si de un computador con un s>lo control de
acceso (vase la figura 3.14) *e tratara. E incluso mejorando el nivel ce control si se
puede. Esto har necesario un conjunto de software a instalar en cala plataforma,
mudo a una serie de interfaces en las plataformas que lo necesiten y que a los
rtelos nos har observar la seguridad lgica total como un todo.
En este punto nos interesa ver las siguientes funcionalidad i objetivos de
centro! requeridos al nuevo sistema de control de acceso:
- Permite el producto establecer un conjunto de reglas de control aplicables a
todos los recursos del sistema?
- Permite el producto al administrador de seguridad establecer un perfil de
privilegios de acceso piara un usuario o un grupo de usuarios?
- Permite el producto al administrador de seguridad asignar diferentes
administradores?
- Permite el producto al administrador de seguridad asignar a estos
administradores la posibilidad de gestionar privilegios de acceso para grupos y
recursos definidos (por ejemplo, sistemas y aplicaciones)?
- Permite a un administrador pedir acceso para el mismo, tanto como para
cualquier usuario de su rea de responsabilidad?
- Impide el producto que un administrador se provea l mismo de sus propias
peticiones?
Hay que recapitular todos los objetivos de control que se estn Jemandando al
conjunto de entornos, en lo referente a la administracin de la seguridid. y saber con
precisin cul de las soluciones a analizar cumple mejor los requerimientos.
Es importante pensar en la conexin automtica con la informacin del estado de
los recursos humanos que componen el conjunto de usuarios >ara formatear
^compatibilidades por segregacin de funciones marcadas por la clarificacin de la
informacin y por tener actualizadas las bajas/altas y perodos de ausencia del parque
de usuarios.
Son muchos otros los aspectos que deben exigirse, como son que se pueda
soportar ms de un perfil en un usuario, o que se puedan definir perfiles de todo un
departamento o puesto de trabajo, asignaciones temporales de los Aackup de cada
empleado para perodos de ausencia del titular, que el perfil de un ingeniero no pueda
acceder a una aplicacin crtica, que se sincronicen passv-nrd en todos los entornos,
etc. En resumen, tantos cuantos objetivos de control se le exijan.
SINGLE SIGN ON. Este concepto podemos definirlo como: "Cue es necesario
solamente un past*x>rtl y un User ID. para un usuario, para acctder y usar su
www.FreeLibros.me
informacin y mis recursos, de lodos los sistemas como si <Jc un solo enlomo k
iraiara". Evidentemente a este concepto habra que aadir todos los conceptos w
vinos en un control de acceso lgico (time-oul. salvapanialUt. log. de.).
Adems podramos enumerar algunos de Ion requerimientos que se le pMkn a a
plataforma dentro de este apartado:
- Sobre qu sopona el producto el single Mg-on. Windows 3.1. Windows NT.
Windows 2000. Unix workstalion. terminal 3270. un usuario reino<o entranfe
a travs de un servidor de acceso remoto?
- El producto faculta al usuario de un recurso a acceder va single sif-ct
mientras otros usuarios acceden al mismo recurso directamente?
- El producto cncripta las transacciones del single sig-on entre la ti-or/utatitoj
el servidor de seguridad?
FACILIDAD DE USO Y REPORTING. En este punto se valora la "interfaz*
usuario" y la calidad de la misma (si tiene interfaz, grfica, si tiene help mcniis. um
para el usuario como para el administrador, si tiene mensajes de error, si easeA d
perfil de un determinado usuario al administrador, mensajes en las modificackna
como are you sure?~, mensajes a travs de las aplicaciones, etc.).
Asimismo se evala el nivel de reponing para k administradores y auditara
As como:
- El producto ofrece un repon de todas las plataformas y aplicaciones a la* qu
los usuarios tienen acceso, as como un repon de todos los usuarios que tiene
acceso a una plataforma o aplicacin?
- Un repon de todas las demandas que un administrador ha hecho, o en ua
focha diada, o durante un perodo de tiempo, o a un centro de costo, o de toda
las inactividades, o de todos los usuarios activos y privilegios de acceso de u
centro de costo, o de demandas pendientes en orden de antigedad de U
demanda, o un repon de actividad, de las aplicaciones y sistemas (pa
ejemplo, el nmero de demandas aceptadas, pendientes y rechazadas por cadi
sisMni)?
- Un log de violaciones?
En cualquier caso todo registro debe tener garantizada su integridad incluso p>n
los administradores, no pudiendo desactivarse a voluntad, dado que quien quiera haca
algo no permitido", lo primero que har es asegurarse de que no quede constancia dd
hecho.
SEGURIDADES. En este punto se trata de ver aspectos de seguridad clsico
del propio producto, como que el administrador no vea las passM-ord de los usuariok
una longitud de pass*vrd mnima, que el producto requiera un ID y passnvrd de
10 AUDITORIA IMOKMAUCA UNfcSHOqUE PRACTICO____________________________ c u
www.FreeLibros.me
tagjod mnima para d acceso ni propio producto, el administrador pueda paralizar a
en uwurio determinado, dual control en I* funciones de riesgo (esto es. con un user
ID es necesario una f i n t pasiv-ord > una second password como acceso dual de dos
adninistradores fsicos), cifrado de pauword. privacidad en la propagacin de
fcunord en todo momento, acceso a lo* auditores para poder ver la ID databa.se. un
registro de rechazos e intentos infructuosos, la posibilidad de recovery y backup
incrementa]) de todo el sistema de segundad, la posibilidad del mirroring de la
dMibase de seguridad para los plae* de contingencias de conmutacin en tiempo cero
ai centro alternativo, etc.
Tambin facilidades especiales tales como que %c pueda restringir el acceso a un
curso local a un usuario.
Hemos de hacer notar que las limitaciones que vayamos encontrando para lodo*
tos producto*, tendremos que resolverlas con exclusiones o procedimientos que
estarn en el catlogo de R.P.I.'s, verdadero artfice de la metodologa que nos
eNigar a resolver la* acciones antes de implantar el producto, y que ser un control
del proyecto durante su desarrollo.
ADQUISICIN, INSTALACIN E IMPLANTACIN. FORMACIN.
MANUALES DE PROCEDIMIENTOS DE CONTROL. Tras los pasos anteriores.
DOqueda ms que comprar el producto e instalarlo, as con implantar el nuevo
esquema de seguridad lgica. Y tras eslo. dar la formacin apropiada a los implicados
jr desarrollar los procedimientos de control, que generarn procedimientos operativos
p n Ion usuarios de aplicaciones, los usuarios informativos, y lo* administradores de
seguridad lgica.
Todo este complejo proceso es vital hacerlo de modo ordenado y usando un
mtodo que permita en lodo momento saber qu se quiere y qu se "puede
conseguir con los producto* existentes de control de enlomo*, tratando de suplir con
procedimientos de control los huecos que no podamos cubrir con tecnologa. Aun as.
el reto que tenemos por delante es importante, porque las soluciones que ofrecen los
(abocantes van muy detrs frente a la proliferacin de entornos y aplicaciones nuevos.
y Mo una uclitud rcr.poivuible do cMandxriziurin r n u n solucione* propietarias de
segaidad. har que lo* fabricantes de soluciones para entornos distribuido* tengan
producios de seguridad cada vez mejores, y que en vez de "adaptar el nivel de
seguridad lgica a los productos, sean los productos los que resuelvan las situaciones
suevas de seguridad lgica .
I1.M. CAPtn'LO V METOOOtX)GlA.S Of. CONUtOL IXTUtXO. StCt'RtDAD Y AClXTOXlA-. 1
www.FreeLibros.me
C AUDITORA INFORMATICA tN liMOqt'fc PRACTICO
3.6. CONCLUSIONES
Son mucha* pues la metodologas que se pueden encontrar en el mundo de li
auditora informtica y control interno. Muchas hemos visto en este captulo. Pao
como resumen se podra decir que la metodologa es el fruto del nivel profesional *
cada uno y de su visin de cmo conseguir un mejor resultado en el nivel de coic
de cada entidad, aunque el nivel de control resultante debe ser similar.
Pero en realidad todas ellas son herramientas de trabajo mejores o peores qx
ayudan a conseguir mejores resultados. Slo resta animar a los profesionales que lea
este libro a trabajar con las nicas herramientas verdaderas de la auditora y el coced
"LA ACTITUD y LA APTITUD", con una actitud vigilante y una formaci
continuada.
3.7. EJEMPLO DE METODOLOGA DE AUDITORA DE UNA
APLICACIN
Metodologa de trabajo
Revisin de controles sobre aplicaciones
Objetivo
Determinar que los sistemas producen informaciones exactas y completas ea d
momento oportuno. Esta rea es tal se* la ms importante en el trabajo de auditora
informativas.
Programa de la revisin
1. Identificar el rea a revisar (por ejemplo, a partir del calendario de revisiones
notificar al responsable del rea y prepararse utilizando papeles de traba/ de
auditoras anteriores.
2. Identificar las informaciones necesarias para la auditora y para las pruebas.
3. Obtener informaciones generales sobre el sistema. En esta etapa, se defina
los objetivos y el alcance de la auditora, y se identifican los uuurios
especficos que estaran afectados por la auditora (plan de entrevistas).
www.FreeLibros.me
CArtTtl-O y MhTOOOI.OGlAS DF.CVXSTRQ1 lNT1J(NO. SfltitmftAD V M.CHTOfclA. 8)
4. Obtener un conocimiento detallado de la aplicacin/sistema. Se pisan las
entrevistas con los usuarios y el personal implicado en el sistema a revisar, se
examina la documentacin de usuarios, de desarrollo y de operacin, y se
identifican los aspectos mis importantes del sistema (entrada, tratamiento,
olida de datos, etc.), la periodicidad de procesos, las prognmas fuentes,
caractersticas y estructuras de archivos de datos, as como pistas de auditoria.
J. Identificar los puntos de control crticos en el sistema. Utilizando
organigramas de (lujos de informaciones, identificar los puntos de control
crticos en entrevistas con los usuarios con el apoyo de la documentacin
sobre el sistema. El auditor tiene que identificar los peligros y los riesgos que
podran surgir en cada punto. Los puntos de control crticos son aquellos
donde el riesgo es ms grave, es decir, donde la necesidad de un control es
mis importante. A menudo, son necesarios controles en los puos de interfaz
entre procedimientos manuales y automticos.
6. Diseo y elaboracin de los procedimientos de la auditora.
7. Ejecucin de pruebas en los puntos crticos de control. Se polra incluir la
determinacin de las necesidades de herramientas informativas de ayuda a la
auditora no informtica. Se revisa el cumplimiento de los procedimientos
para verificar el cumplimiento de los estndares y los procedimientos
formales, as como los procesos descritos por los organigramas Je flujos. As
se verifican los controles internos del cumplimiento de a) plavcs. polticas,
procedimientos, estndares, b) del trabajo de la organizacii. c) requeri
mientos legales, d) principios generales de contabilidad y e) prcticas
generales de informtica.
Se hacen revisiones substantivas y pruebas, como resultado de a revisin del
cumplimiento de procedimientos. Si las conclusiones de li revisin de
cumplimentacin fuesen generalmente positivas, se podran limitar las
revisiones substantivas. Dentro de este punto del programa Je la revisin
podramos analizar si existen los siguientes controles:
Cmiroles de preparacin de datos
Revisar procedimientos escritos para iniciar, autorizar, recoger, preparar y
iprobir los datos de entrada en la forma de un manual de usuario. Verificar que los
unanos entienden y siguen estos procedimientos.
Revisar que se d la formacin del "uso del terminal" necesaria a kx usuarios.
Revisar los documentos fuente u otros documentos pira determinar si son
Tambin revisar cdigos de identificacin de transare ones y otros
www.FreeLibros.me
M AUOITOttUlNHMtMATK^tNKKWqtieWtCTICO
campos de uso frecuentes para determinar si son codificados previamente p a
minimizar errores en los procesos de preparacin, entrada y conversin de datos.
Cuando sea necesario, verificar que todos los datos de entrada en un visten
pasan por validacin y registro ante de su tratamiento.
Determinar si lo* usuarios preparan totales de control de los datos de entrada pa
terminales. Comprobar la existencia de una reconciliacin de los totales de entnA
I con totales de salida.
Comprobar la existencia y seguimiento de calendarios de entrada de datos y
distribucin de informes (listados).
Determinar si el archivo y retencin de documentos fuente y otros formularios dt
entrada es lgica y accesible, y cumple las normas y requerimientos legales.
Revisar los procedimientos de correccin de errores.
Comprobar la existencia de perodos de retencin para documentos fuente j
sopones magnticos.
Controles Je entrada de datos
Establecer los procedimientos de entrada y control de datos que explican la
revisiones necesarias de entradas y salidas, con fecha lmite, criterios de validacin
datos de entrada: cdigos, mensajes y deteccin de errores; la correccin de errores)
la reentrada de datos.
Para sistemas interactivos, verificar el uso de mtodos preventivos para evitar h
entrada incorrecta de datos funciones de ayuda a la pantalla, formatos fijos, el uso de
meniis y mensajes para el operador.
Para sistemas interactivos, determinar la grabacin de datos de entrada con fedi
y hora actual, as como con una identificacin del usuario/terminal y ubicacin.
Revisar logs de acceso por lneas de telecomunicaciones pora determior
posibles accesos y entradas no autorizados.
Revisar los programas para determinar si contienen procesos internos dr
validacin de dalos (por ejemplo, chequeos de dgitos, test razonables, totales 4c
batch. nmero de cuentas, etc.). Evaluar su exactitud.
www.FreeLibros.me
CArtnto ,v MnoootoclAS de co.vtk<x. Lvimso. sioi 'woau v a luxtoria %>
Comparar, validar, apuntar y rccatcular campos o elementos de ditos crtico* por
nttodos manuales o automticos.
Para sistemas interactivos determinar que los dalos se verifican en el momento de
w entrada en el sistema.
Comprobar que los usuarios revisan regularmente l i s tablas internas del sistema
pa validar sus contenidos.
Revisar funciones matemticas que redondean clculos para ser si tienen
aplicaciones negativas.
Determinar que existen pistas de auditora adecuadas en el diccionario de datos.
Unwjfkar la interTclacin entre los programas y los datos para dejar la posibilidad de
Kguir la pioa de datos dentro de programas y sistemas en los errores.
Revivar los procedimientos de correccin de errores.
Identificar con los usuarios cualquier cdigo de errores crticos que deberan
parecer en momentos especficos pero que nunca surgen. Se han desactivado los
cdigos o mensajes de error?
Centrles de tratamiento y actualizacin de dalos
Ver si hay establecidos controles internos automatizados de proceso. Ules como
ratinas de validacin, en el momento de la actualizacin de lo* archivos de
transaccin, referencia y maestros.
Identificacin de transacciones por el uso de nmeros de botch, cdigos de
transaccin y oros indicadores.
Revisin del log de transacciones para identificar problemas encontrado* por el
operador y las medidas seguida*.
Restriccin de la posibilidad de pasar por encima de procesos de validacin.
Aceptacin por los usuarios finales de todas las transacciones y clculo* de la
aplicacin.
Revisar los totales de control de entrada de dato*.
www.FreeLibros.me
Verificar que exiuen total de control para confirmar la buena interfaz entre jeto
O programas.
Comprobar que existen validacin entre totales de control, manual j
automtico, en punios de ta interfaz entre procesos manuales y automatizados.
Verificar que lo* log's de actividad de sistemas son revisados por la
responsables, para investigar accesos y manipulaciones no autorizados.
Ver los controles sobre la entrada de datos.
W> AUXTOlA INFORMTICA l'N f.NtOQl'E PRACTICO__________________________ Cl\
Controles de salida de datoi
Determinar si los usuarios comparan te*ales de control de los datos de entrada cco
totales de control de dalos de salida.
Determinar si el control de datos revisa los informes de salida (lisiados) pwi
delectar errores evidentes tales como campos de datos que fallan, valores se
razonables o formatos incorrectos.
Verificar que se hace una identificacin adecuada sobre los informes, pee
ejemplo, nombre y nmero de informe, fecha de salida, nombre de rea/departamento,
etc.
Comparar la lista de distribucin de informes con tos usuarios que los reciben et
realidad. Hay personas que reciben el informe y que no deberan recibirlo?
Verificar que los informes que pasan de aplicabilidad se destruyen, y que no
pasan simplemente a la basura, sin seguridad de destruccin.
Revisar la justificacin de informes, que existe una peticin escrita para cada un
y que se utilizan realmente, asf como que est autorizada la peticin.
Verificar la existencia de periodos de retencin de informes y su suficiencia.
Revisar los procedimientos de correccin de los dalos de salida.
Controles de documentacin
Verificar que dentro de las actividades de desarrollo y mantenimiento de
aplicaciones se produce la documentacin de sistemas, programas, operaciones y
funciones, y procedimientos de usuario.
www.FreeLibros.me
CAHniLO i METODOljOGlAS DE COVTHOL IVTTJtM)- StXVtKIPAD Y Al'DfTOBlA 7
Existencia de una persona especfica encargada de la documentacin y que
mantiene un archivo de documento* ya distribuidos y a quines.
Comprobar que los jefes de rea se informen de fallas de documentacin
adecuada para sus empleados.
Destruccin de toda la documentacin de antiguos sistemas.
Que no se acepten nuevas aplicaciones por los usuarios sin una documentacin
completa.
Actualizacin de la documentacin al mismo tiempo que los cambios y
modificaciones en los sistemas.
La existencia de documentacin de sistemas, de programas, de operacin y de
osario para cada aplicacin ya implantada.
Controles de baekup y rearranque
Existencia de procedimientos de baekup y rearranque documentados y
ceoprohados para cada aplicacin en uso actualmente. (No confundir con el plan de
aaungenctav)
Procedimientos escritos para la transferencia de materiales y documentos de
bctup entre el C.P.D. principal y el sitio de baekup (centro alternativo).
Mantenimiento de un inventario de estos materiales.
Existencia de un plan de contingencia.
Identificacin de aplicaciones y archivos de datos critico para el plan de
coangencia.
Revisar los contratos del plan de contingencia y baekup pora determinar mi
adecoactn y actualizacin.
Pruebas de aplicaciones crticas en el entorno de baekup. con los materiales del
pUn de contingencia (soportes magnticos, documentacin, personal, etc.).
Exterminacin de qu se revisa, si cada aplicacin de un sistema es crtica y si
debera incluirse en el plan de contingencia.
www.FreeLibros.me
M AUPfTORiA INFORMATICA un bxtoqw. PRACTICO
Grabacin de todas las transacciones ejecutadas por tcicproceso. cada da; pan
facilitar la reconstruccin de archivos actualizados durante el da en caso del fallo dd
sistema.
Existencia de procesos manuales pora sistemas crticos en el caso del fallo de-
contingencia.
Actualizacin del plan de contingencia cuando es necesario: pruebas anuales.
Controles sobre programas de auditoria
Distribucin de polticas y procedimientos escritos a auditores y responsable! de
reas sobre la adquisicin, desarrollo y uso de software de auditoria.
Uso de software de auditora nicamente por personas autorizadas.
Participacin del auditor en la adquisicin, modificacin/adaptacin, instalaos
de paquetes de software de auditora.
Participacin del auditor en la planificacin, diseo, desarrollo e implantackb de
software de auditora desarrollado internamente.
Formacin apropiada para los auditores que manejan software de auditora.
Participacin del auditor en todas las modificaciones y adaptaciones del tofraat
de auditora, ya sea externo o de desarrollo propio. Actualizacin de k
documentacin de software.
Verificacin de que los programas de utilidad se utilizan correctamente (cusid
no se puede utilizar el software de auditora).
Revisin de tablas de contraseas pora aurgurar que no se guinia
identificaciones y contraseas de personas que han causado baja.
Controles de la satisfaccin de los usuarios
Disponibilidad de polticas y procedimientos sobre el acceso y uso de k
informacin.
Resultados fiables, completos, puntuales y exactos de las aplicaciones (imcgnAd
ddalos).
www.FreeLibros.me
m i CAPtntO: .NOmXX)MXUSOf.C<y>TtOI. INTERNO. SEGURIDAD Y AUtMIOKU W
Utilidad de la informacin de salida de la aplicacin en la loma de decisin por
los Marios.
Comprensin por los usuarios de los informes e informaciones de salida de las
aplicaciones.
Satisfaccin de los usuarios con la informacin que produce la aplicacin.
Revisin de los controles de recepcin, archivo, proteccin y acceso de datos
guardados sobre lodo tipo de soporte.
Participacin activa de los usuarios en la elaboracin de requerimientos de
sanos, especificaciones de diserto de programas y revisin de resultados de pruebas.
Controles por el usuario en la transferencia de informaciones por intercambio de
documento.
Resolucin fcil de problemas, errores, irregularidades y omisiones por buenos
contactos entre usuarios y el personal del C.P.D.
Revisiones regulares de procesos que podran mejorarte por automatizacin de
aspectos particulares o reforramientos de procesos manuales
Evaluacin de la revisin y/o resultados de pruebas. En esta etapa se identifican
y se evalan los puntos fuertes y dbiles de los procedimientos y prcticas de control
interno en relacin con su adecuacin, eficiencia y efectividad. Cuando se identifique
uta debilidad, se determinar su causa.
Se elaboran las conclusiones basadas sobre la evidencia; lo que deber ser
wftciente. relevante, fiable, disponible, comprobable y til.
Preparacin del informe. Recomendaciones.
Ufme previo
Para mantener una relacin buena con el rea revisada, se emite un informe
previo de los puntos principales de la revisin. Esto da a los responsables del rea
revisada la posibilidad de contribuir a la elaboracin del informe final y permitir una
ttejor aceptacin por parte de ellos.
www.FreeLibros.me
I AUDITORA INFORMATICA: t'N EXTOQCh *.'llCO
Informe fin al de la revisin
Se emite el informe final despus de una reunin con los responsables del ira
implicados en la revisin. El contenido del informe debera describir lo puntos *
control interno de la manera siguiente:
- Opinin global (conclusin).
- Problcma(s) especifico^).
- Explicacin de la violacin de los controles internos, planes organizacionala
estndares y normas.
- Descripcin de los riesgos, exposicin o prdidas que resultaran de la:
violaciones.
Cuando sea posible, se identificar el impacto de coda problema en trminxl
econmicos. Se da una solucin especfica y prctica para cada debilidad. Se
identificarn los personas que se responsabilizarn de cada aspecto de las soluciona
Las recomendaciones son razonables, verificables. interesantes econmicamente j
tienen en cuenta el tamao de la organizacin.
El informe debe tener un tono constructivo. Si es apropiado se anotan los puaw
fuertes.
Para su distribucin, se preparar un resumen del informe.
Despus de la revisin del informe final con los responsables del rea revisada k
distribuir a las otras personas autorizadas.
El rea auditada tiene la posibilidad de aceptar o rechazar cada punto de conud
Todos los puntos rechazados se explicarn por escrito. El rea acepta los resges
implcitos de la debilidad encontrada por el auditor.
Se hace un seguimiento de la implantacin de las recomendaciones pw
asegurarse de que el trabajo de revisin produce resultados concretos.
www.FreeLibros.me
(Annuo y MFtQOOUXilAS Dt COVIKOL INTIW.NO. SfeCtllMDAO YAl/DTTOKfA. <1
Jim A. Schweitzer. Managing Information Security (Administrative. Electronic,
and Legal Measures io Project Business Information). Buttcrvorths. ISBN
0-409-90195-4.
J. M. l-anvctc. La Seguridad Informtica (Metodologa). Ediciones Arcadia.
ISBN 84-86299-13-6.
J. M. Lamere. La securit des petits et moyens systmes informatiques. Dunod
informatique. ISBN 2-04-018721-9.
i. M. Lamere. Y. l-eroux, J. Orly. La securit des rescata (Methode* et techniques).
Dunod informatique. ISBN 2-01-018886-X.
1. Qu diferencias y similitud existen entre las metodologas cualitativas y
las cuantitativas? Qu ventajas y qu inconvenientes tienen?
2. Cules son los componentes de una contra medida o control ipirimide de la
seguridad)? Qu papel desempean las herramientas de control? Cules
son las herramientas de control mis frecuentes?
3. Qu tipos de metodologas de Plan de Contingencias existen? En qu se
diferencian? Qu es un Plan de Contingencias?
4. Qu metodologas de auditora informtica existen? Pata qu se usa cada
una?
5. Qu es el nivel de exposicin y para qu sirve?
6. Qu diferencias existen entre las figuras de auditora infonrtica y control
interno informtico? Cules son las funciones ms importan! de ste?
7. Cules son las dos metodologas ms importantes para control interno
informtico? Para qu sirve cada una?
8. Qu papel tienen las herramientas de control en los controles?
9. Cules son los objetivos de control en el acceso lgico?
10. Qu es el Single Sign On? Por qu es necesario un software especial para
el control de acceso en los entornos distribuidos?
www.FreeLibros.me
EL INFORME DE AUDITORA
CAPTULO 4
Jos <le la Pea Snchez
11. INTRODUCCIN
El tema de cmc captulo es el Informe de Auditoria Informtica, que a su vez
a ti objetivo de la Auditora Informtica
Para comprender sta, en (uncin del Informe que realiza un. digamos, experto o
pcrr.o -al que llamaremos Auditor Informtico-, conviene explicar sonoramente el
otexto en el que se desenvuelve hoy su prctica.
La sociedad actual, est en fa.se tecnolgica; apenas guarda recucro prctico de
Menores etapas evolutivas (la artesanal, por ejemplo): ms an. las va olvidando a
atente velocidad, generacin tras generacin.
El dominio de la tecnologa como motor de cambio social acelerado y como
cauli/ador de cambios tecnolgicos que se superponen, se hace rabiosamente evidente
tn las llamadas Tecnologas de Informacin y Comunicaciones dt uso en las
jcacioncs. (Tras el mainframe y los terminales tontos, surgieron los PC's y las
tefes, el EDI, los entornos distribuidos, las arquitecturas clientcAcrviJor. las redes
TCPilP -intranet*, extrais, redes privadas virtuales...-, los accesos remotos y
taviks mediante porttiles y telfonos mviles, y. finalmente -por ahora-, se nos
proponen terminales domsticos vinculados con el equipo de televisir y terminales
cwritontos de trabajo conectados a servidores dominantes descentralizados... Y todo
ua perodo no superior a treinta y cinco aos!)
Est claro: las tecnologas de la informacin, al tiempo que dominan de modo
iapirabtc las relaciones humanas (personales, familiares, mercantiles.
tctiMcionalcs...). tienen un ciclo de vida cada vez ms corto.
www.FreeLibros.me
1
Sea como fuere, una <Je las consecuencia Je lo dicho consiste en la di f i a i l ul i :
asimilacin rpida y equilibrada en la empresa de lo enlomo tecnolgico y
organizacin (referido el primero a la Tecnologa. de Informacin y Comunicaciones
y el segundo a lo mercantil).
En este emido. el Auditor Informtico, en tanto que experto, k) tiene erais
(menos. sin embargo, que el Auditor de Cuenta), al tener que ene irx
profestonalmcntc y en el paisaje que estoy presentando, plagado de necesidades di
reciclaje y formacin, el llamado "desfase entre las expectativa. de los usuario;
los Informes de auditora". 1j cosa ya no son como eran, y algo habr que haca
para encontrar un punto de equilibrio razonable entre el desfase mencionado y U
contabilidad de lo usuarios en el Informe (y en el Auditor Informtico).
La complejidad de los sistemas de informacin crece con sus prestacin j
caractersticas (conectividad. portabilidad...); la necesidad de utilizarlos que tienen U
organizaciones -pblicas y privadas- en todos sus mbitos, alcanza hoy un valer
estratgico de competitividad y supervivencia... Podemos afirmar que nunca aata
hemos sido tan dependientes de los sistemas de informacin. Y nunca antes herna
necesitado tanto a expertos eficientes (no infalibles) en Auditora Informtica.
Conviene mencionar, al respecto de la prctica de la Auditora (Informtica),;
siempre en funcin del Informe de Auditora, la existencia del fraude y del error, sota
todo si son significativos, as como la valoracin de las garantas que aportan los
informe de los auditores informticos a los usuarios, incluyendo gobiernos y
organizaciones nacionales e internacionales.
La Informtica es muy joven; por tanto, la Auditora Informtica lo es ms ( a
Espaa, por cierto. Je modo superlativo). No est todo sin hacer, pero s queda
muchos cabos por alar, y en esto el tiempo no es neutral.
En este captulo (y en este contexto) vamos a tratar de fijar la prctica de la Aa-
ditora Informtica en funcin, como queda dicho, del Informe. Paraello. repasaremos
someramente aspectos previos fundamentales, como son las normas, el concepto de
evidencia en auditora, las Irregularidades, los papdes de tr ab a j o o documentacka
para, finalmente, encarar el Informe, sus componentes, caractersticas y tendencia
detectada.' Intentaremos, tamban, ofrecer algunas conclusiones de inters, sin perder
de vista en todo caso que en el mundo auditor de hoy todo ejercicio de prediccin es.
en principio, una temeridad.
M AtTOTOWU INFORMTICA NrxroQUfcFKcnCO____________________________ m
www.FreeLibros.me
CAi-nvi o * u . lstor-vh; ce At on o n u *s
42. LAS NORMAS
En 1996 la Unin Europea public el Libro Verde de la Auditora, dedicado al
papel, la posicin y la responsabilidad del auditor legal. Su conlcrdo afecta a la
Aoliloria Informtica.
En principio, el Libro acepta las Norma* Internacionales IFAC pan su adaptacin
adecuada a la Unin Europea: por tanto, se transmitirn a travs de las Directivas
correspondientes a Espaa pora que se transformen en legislacin positiva.
En lo referente al Tratamiento Automatizado de Datos de Carcter Personal
-incluso disponiendo de una I-ey orgnica-, el asunto se resolver por k mismos
ices, con la trasposicin de la actual Directiva de proteccin de datos personales y.
qaui. de otra, en forma de propuesta todava, relacionada con los servicios de
tecomonicacione* apoyados en tecnologa digital y especialmente Red Digital de
Servicios Integrados.
Otra fuente de Normas Internacionales es ISACF. ya mis especfica de Auditora
Wermiiica. Nuestro pas est representado en ISACA por la Organizacin de
Aaditora Informtica, en lento take off.
Hoy por hoy. la normativa espaola oficial que afecta, en mayor o nervor medida,
i b Auditora Informtica, es la siguiente:
ICAC: Normas Tcnicas de Auditora: punto 2.4.10. Estudio y Evaluacin del
Sistema de Control Interno.
AGENCIA DE PROTECCIN DE DATOS: Instruccin relativa a la
prestacin de servicios sobre solvencia patrimonial y crditos. Norma cuaita:
Forma de Comprobacin.
Del artculo 9 de la LORTAD se desprende el desarrollo reglamentario de medi
t e Meneas y organizativas alusivas a la seguridad en lo que concierne a integridad y
onMcnclalKlad de tos datos personales automatizados. Todava no ha do publicado
Oditghmento. pero sera de esperar que se incluyera en su texto algina referencia
ttjecfica sobre Auditora Informtica.
Trabon conviene resear que dentro de la Unin Europea, la FEE tiene en
arcia el Proyecto EDIFICAS.EUROPE. dentro del UN/EDIFACT. en el que Espaa
1 representada por el IACJCE. que se estructura en cuatro grupos de trabajo:
Masajes, Auditora (Guias de Auditora de entornos de EDI). Promocin y Asuntos
Enerles.
www.FreeLibros.me
' I
La Auditora Informtica no est muy desarrollada y. por aadidura, se cncoetni
en un punto crucial para la definicin del modelo en que deber implantarse j
practicarse en la Unin Europea y, por tanto. Esparta, va directivas UE/Iegislaci
positiva y normas profesionales.
Maticemos este aspecto: hay dos tendencias legislativas y de prctica e
disciplinas: la anglosajona, basada en la Conunon Imw. con pocas leyes j
jurisprudencia relevante: y la latina, basada en el Derecho Romano, de Icgislai
| muy detallada.
1.a tensin entre estos dos modelos, esto es. entre el intervencionismo mu
latino y el mnimo intervencionismo anglosajn, es ya insostenible. Uno de los da
deber prevalecer, si es que realmente nos encaminamos a la sociedad global.
Justo es reconocer que los parmetros del cambio tecnolgico parecen hacer rct
prctico el modelo anglosajn: no en vano, en Estados Unidos, tanto la Auditoei
como la Informtica (y I Comunicaciones), tienen un desarrollo muy experimental)
y. sobre todo, adaptativo. l.os parmetros de velocidad y tiempo hacen aconsejable
un esfuerzo por conseguir la disponibilidad armonizada de normas legales y normas de
origen profesional.
Si la globalizacin antes mencionada es un hecho incuestionable, el sabio uto de
los llamados principios generalmente aceptados har posible la adaptacin suficiente
a la realidad de cada poca.
En este sentido, no podemos olvidar que los organismos de armoni/jck*.
normalizacin, homologacin, acreditacin y certificacin tendrn que funcionar a a
ritmo ms acorde coa las necesidades cambiantes. El conjunto ISO-CEN-AF.NOR;
los vinculados con seguridad. ITSEC/1TSEM Europa. TCSEC USA y Contras
Criterio UE/Nortcamrica. necesitan ir ms rpido, ya que su lentitud cal
provocando, en un mundo tan acelerado, la aparicin de multitud de organizado!
privadas, consorcios y asociaciones que con muy buena voluntad y ptimo sentido de
la conveniencia enercantil. pretenden unificar normas y proinocionar estndares.
Por ltimo, conviene que se clarifique el panorama normativo, de prcticas;
responsabilidades en k> que concierne a los problemas planteados por los servia
profesionales multidisciplinares, >a que el Informe de Auditora Informtica k
compone de tres trminos: Informtica, Auditora e Informe.
S6 AUDITORIA INFORMTICA: CN FMPQCfc MUCO____________________________c u
www.FreeLibros.me
Artmp t fi. IXfORMt. Lfc AlDnOUlA 11
4.3. LA EVIDENCIA
En c*lc epgrafe parece saludable revertir algunos a Minios previo*, referidos a la
redxcin del Informe. Iraudos en otros captulo* de esta obra, puesto que el referido
(sfanne su consecuencia.
Por tanto, tratemos de recordar en qui consiste la evidencia en Auditoria
hormtica. as como las pruebas que la avalan, sin olvidar la importatela relativa y el
riesgo probable, inherente y de control.
La certeza absoluta no siempre existe, segn el punto de vista de los auditores; los
smrios piensan lo contrario. No obstante lo dicho, el desarrollo del control interno,
incteso del especficamente informtico, est en efervescencia, gracias al empuje de
b Informes USA/Treadway (1987). UK/Cadbury (1992) y Francia/Yienot (1995). y
ca lugar destacado el USA/COSO (1992). traducido al espa/iol fo r Coopers &
Lybrand y el Instituto de Auditores Internos de Esparta.
Pero volvamos a la evidencia, porque ella es la base razonable d: la opinin del
Auditor Informtico. e o es. el Informe de Auditoria Informtica.
La evidencia tiene una serie de calificativos; a saber:
- La evidencia relevante, que tiene una relacin lgica con los objetivos de la
- La evidencia fiable, que es vlida y objetiva, aunque con nivel de confianza.
- La evidencia suficiente, que es de tipo cuantitativo para soportar la opinin
profesional del auditor.
- La evidencia adecuada, que es de tipo cualitativo par afectar a las
conclusiones del auditor.
En principio, tu prueba:, mui de cumplimiento o RUstflniivw.
Aunque ya tratado en otro captulo, conviene recordar el escolla prctico de la
Importancia relativa o materialidad, as como el riesgo probable.
La opinin deber estar basada en evidencias justificativas, ex decir, desprovistas
de prejuicios, si es preciso con evidencia adicional.
auditoria.
www.FreeLibros.me
4.4. LAS IRREGULARIDADES
Las irregularidades, o sea, los fraudes y li errores, cspcciilmcntc la existencia de
los primeros, preocupa unto que aparece con nfasis en el ya ciudo Libro Verde de U
UE. Ij Direccin General XV (Comercio Interior) y el MARC (Maastricht) cvJb
claramente sensibilizados a] respecto.
Recordemos antes de proseguir, que en los organismos y Us empresas, la
Direccin tiene la responsabilidad principal y primaria de la deteccin de
irregularidades, fraudes y errores; la responsabilidad del auditor se centra
planificar, llevar a cabo y evaluar su trabajo para obtener una expecutisa razonable de
su deteccin.
Es. pues, indudablemente necesario disertar pruebas antifraude. que lgicamente
incrcmcnurn el coste de la auditora, previo anlisis 4c riesgos (amenaza*,
importancia relativa...).
La auditora de cuentas se est judicializando -camino que seguir la Auditora
Informtica, prctica importada de F-stados Unidos-, ya que aparece en el viga*
Cdigo Penal (delitos societarios y otros puntos) con especial nfasis en los
administradores. No olvidemos, al respecto, la obligatoriedad de suscribir plizas de
seguro de responsabilidad civil para auditores independ entes, individuales j
sociedades.
Por prudencia y rectitud, convendr aclarar al mximo -de ser posible- si d
Informe de Auditora es propiamente de auditora y no de consultora o asesora
informtica, o de otra materia afn o prxima.
Aunque siempre debe prevalecer el deber de secreto pofcsonal del auditcr.
conviene recordar que en el caso de detectar fraude durante el proceso de auditoria
procede actuar en consecuencia, con U debida prudencia que aconseja episodio tat
delicado y conflictivo, sobre todo si afecta a los administradores de la organiza;ifa
objeto de auditora. Ante un caso as. conviene consultar a la Comisin Deontotgica
Profesional, al asesor jurdico, y leer detenidamente las normas profesionales, d
Cdigo Penal y otras disposiciones; incluso hacer lo propio ron las de organismos
oficiales ules como el Banco de Esparta, la Direccin Grocral de Seguro, la
Comisin Nacional del Mercado de Valores, el organismo regulador del med*>
ambiente.... que pudieran e s u r afectados, no debera desestimarse. El asunto podra,
incluso, terminar en los Tribunales de justicia.
4.5. LA DOCUMENTACIN
En el argot de auditora se conoce como papeles de trabajo la "toulidad de to
documentos preparados o recibidos por el auditor, de manera que. en conjunto.
www.FreeLibros.me
CAWTVIQ4 II INMMtMI. IX. AULHKMtU V
constituyen un compendio de la informacin utilizada y de las pruebas efectuadas en
a ejecucin de su trabajo, junto con la decisiones que ha debido tomar para llegar a
tasarse su opinin".
El Informe de Auditora, si se precisa que sea profesional, tee que estar basado
ea la documentacin o papeles de trabajo, como utilidad inmediata, previa
Wper*win.
La documentacin, adems de fuente de kno%v how del Auditor Informtico para
Wbijos posteriores asi como para poder realizar su gestin interna de calidad, es
fuente en algunos casos en los que la corporacin profesional puede realizar un control
de cabdad, o hacerlo algn organismo oficial. Los papeles de trabajo pueden llegar a
tener valor en los Tribunalcs de justicia.
Por otra pane, no debemos omitir la caracterstica registra! del Informe, tanto en
m pane cronolgica como en la organizativa, con procedimientos de archivo,
bsqueda. custodia y conservacin de su documentacin, cumpliendo toda la
oorBativa vigente, legal y profesional, como mnimo exigible.
Los trabajos utilizados, en el curso de una labor, de otros auditores externos y/o
experto* independenle*, as como de los auditores internos, se reseOen o no en el
kforme de Auditora Informtica, formarn pane de la documentacin.
Adems, se incluirn:
- El contrato cliente/auditor informtico y/o la caita propuesta del auditor
informtico.
- Las declaraciones de la Direccin.
- Los contratos, o equivalentes, que afecten al sistema de informacin, as como
d informe de la asesora jurdica del cliente sobre sus asuntos actuales y
previsibles.
- El informe sobre tercero vinculados.
- Conocimiento de la actividad del cliente.
4.6. EL INFORME
Se ha realizado una visin rpoda de los aspectos previos para tenerlos muy
presen les al redactar el Informe de Auditora Informtica, esto ex. la comunicacin del
Aadnor Informtico al cliente, formal y. quiz, solemne, tanto del alcance de la
sdcra: (objetivos, perodo de cobertura, naturaleza y extensin del trabajo
Balizado) corno de los resultados y conclusiones.
www.FreeLibros.me
Es momento adecuado de separar lo significativo de lo no significativa
debidamente evaluados por su importancia > vinculacin con el factor riesgo, tara
eminentemente de carcter profesional y tico, segn el leal saber y entender dd
Auditor Informtico.
Aunque no existe un formato vinculante, sf existen esquemas recomendados cea
los requisitos mnimos aconsejables respecto a estructura y contenido.
Tambin es cuestin previa decidir si el informe es largo o. por el contraria,
corto, por supuesto con otros informes sobre aspectos, bien ms detallados, bien mi*
concretos, como el Informe de debilidades del control interno, incluso de hechos
aspectos: todo ello teniendo en cuenta tanto la legislacin vigente como el contra
con el cliente.
En mi modesta opinin, los trminos cliente o proveedor/interno o extern,
tpicos de la Gestin de la Calidad, resultan ms apropiados que informtico/audita
informtico/usuario, ya que este ltimo trmino tiene una lamentable connotacife
peyorativa.
En lo referente a su redaccin, el Informe deber ser claro, adecuado, suficiente)
comprensible. Una utilizacin apropiada del lenguaje informtico resulta recomend
ble.
Los puntos esenciales, genricos y mnimos del Informe de Auditofa
Informtica, son los siguientes:
/ . Identificacin del Informe
El ttulo del Informe deber identificarse con objeto de distinguirlo de
informes.
2. Identificacin del Clleme
Deber identificarse a los destinatarios y a las personas que efecten el encargo.
3. Identificac in de la entidad auditada
Identificacin de la entidad objeto de la Auditora Informtica.
www.FreeLibros.me
MM CAPTULO: U. tNFORME Pi AUMTOKA 101
4. Obptivot de la Auditoria Informtica
Declaracin de los objetivos de la auditora para identifica- su propsito,
eftalando los objetivo* incumplidos.
J. Normativa aplicada y excepciones
Identificacin de las normas legales y profesionales utilizada-. as como las
excepciones significativas de uso y el posible impacto en los resultado* de la auditora.
6. Alcance de la Auditora
Concretar la naturaleza y extensin del trabajo realizado: rea organizativa,
perodo de auditora, sistemas de informacin... sealando limitadores al alcance y
restricciones del auditado.
7. Conclusiones: Informe corto de opinin
Lgicamente, se ha llegado a los resultados y. sobre lodo, a la esencia del
ctimcn. la opinin y los pdnafos de salvedades y nfasis, si procede.
El Informe debe contener uno de los siguientes tipos de opinin: favorable o sin
faltedades, con sahedade*. desfavorable o adversa, y denegada.
7.1. Opinin favorable. La opinin calificada como favorable, n salvedades o
limpia, deber manifestarse de forma clara y precisa, y es el resultado de un
trabajo realizado sin limitaciones de alcance y sin inceniduntire. de acuerdo
con la normativa legal y profesional.
Es indudable que entre el informe de recomendaciones al cliente, que
incluye lo referente a debilidades de control interno en sentido amplio, y las
salvedades, cwsic o vvk existo una rana de pan scnsibiMad. un es asi
que tendr que clarificarse al mximo, pues una salvedad a la opinin deber
ser realmente significativa; concretando: ni pasarse, ni no llegar, dicho en
lenguaje coloquial: en puridad es un punto de no retomo.
7.2. Opinin con salvedades. Se reitera lo dicho en la opinn favorable al
respecto de las salvedades cuando sean significativas en relacin con los
objetivos de auditora, describindose con precisin la naturaleza y razones.
Podrn ser stas, segn las circunstancias, las siguientes:
www.FreeLibros.me
>1. PIlOWlMMOK.MAIK S l S I SKX^ t IK.VC1KO _
Limitaciones al alcance del trabajo realizado: esto es. restricciones p<x
pane del auditado, etc.
Inccnidumbres cuyo resultado no permita una previsin razonable.
Irregularidades significativas.
Incumplimiento de la normativa legal y profesional.
7.3. Opinin desfavorable. La opinin desfavorable o adversa es aplicable en el
caso de:
Identificacin de irregularidades
Incumplimiento de la normativa legal y profesional, que afecten
significativamente a los objetivos de auditoria informtica estipulados,
incluso con ncenidumbrts; todo ello en la evaluacin de conjunto y
reseflando detalladamente las razones correspondientes.
7.4. Opinin denegada. La denegacin de opinin puede tener su origen en:
Las limitaciones al alcance de auditoria.
Inccnidumhrcs significativas de un modo tal que impidan al auditor
formarse una opinin.
Irregularidades.
El incumplimiento de normativa legal y profesional.
7.5. Resumen. El siempre difcil tema de la opinin, estrella del Informe de
Auditoria Informtica, joven como informtica y ms todava como audkorfi
informtica: por tanto, puede decirse que mis que cambiante, muame.
Debido a ello, y adems con la normativa legal y proesionjl
descompasadas, la tica se conviene casi en la nica fuente de orientacko
para reducir el desfase entre las expectativas del usuario en general y d
informe de los auditores.
No olvidemos que existe la ingeniera financiera y la contabilidad creativo:
tampoco que las entidades que pueden ser auditadas suelen estar sometidas i
cambios, corno, por ejemplo, la implantacin de aseguramiento y gestin de
la calidad -va SO JOOO. va EFQM (modelo europeo)-, rtingenieria t
procesos y otras transformaciones significativas (adaptaciones al Milenio >
al Euro).
S. Resultados: Informe largo y otros informes
Parece ser que. de acuerdo con la teora de ciclos, el informe largo va a colocar i
informe corto en su debido sitio, o sea. como resumen del informe largo (quiz
www.FreeLibros.me
CAHniLO IJ.IKKXMEDf.AUPmiftU 101
obsoleto?). Los usuarios, no hay duda, desean saber mis y desean transparencia corno
1 aadido.
Es indudable que el limte lo marcan los papeles de trabajo o documentacin de la
AoJflor Informtica, pero existen aspectos a tener en cuenta:
El secreto de la empresa.
El secreto profesional.
Los aspectos relevantes de la auditoria.
Las soluciones previsibles se orientan hacia un Informe por cada objetivo de la
Auditora Informtica, tal como el de Debilidades de Control Interno o los informes
especules y/o complementarios que exigen algunos organismos gubernamentales,
como, por ejemplo, el Banco de Espaa, la Comisin Nacional del Mercado de
Valores y la Direccin General de Seguros, entre otros y por ahora.
9. Informes previos
No es una prctica recomendable, aunque s usual en algunos casos, ya que el
Informe de Auditora Informtica es. por principio, un informe de conjunto.
Sin embargo, en el caso de deteccin de irregularidades significativas, tanto
errores como fraudes, sobre todo, se requiere una actuacin inmediata segn la
normativa legal y profesional, independientemente del nivel jerrquico afectado dentro
de la estructura de la entidad. Recordemos al respecto el delito societario y la
(espoosabilidad civil del Auditor (Informtico).
10. Fecha del Informe
El tiempo no es neutral: la fecha del Informe es importante, no slo por la
cwantificacin de honorarios y d cumplimiento con el cliente, sino pora conocer la
magnitud del trabajo y sus aplicaciones. Conviene precisar las fechas de inicio y
conclusin del trabajo de campo, incluso la del cierre del ejercicio, si es que se est
reatiuado un Informe de Auditora Informtica como herramienta de apoyo a la
Auditora de Cuentas. En casos conflictivos pueden ser relevantes aspectos tales
como los hechos posteriores al fin del perodo de auditora, hechos anteriores y
poucriores al trabajo de campo...
www.FreeLibros.me
/ i . Identificacin y firma del Auditor
Ette avpecto formal del informe es esencial tamo si ex individual como t i fontu
parte de una sociedad de auditoria, que deber corresponder a un socio o s e o
legalmente asi considerado.
12. Distribucin del Informe
Bien en el contrato, bien en la carta propuesta del Auditor Informtico. deber!
definirse quin o quines podrn hacer uso del Informe, as como los usos concretos
que tendr, pues los honorarios debern guardar relacin con la responsabilidad civil.
4.7. CONCLUSIONES
Qu ex el informe de auditora informtica y qu le diferencia de otro tipo de
informes (consultara, asesora, servicios profesionales...) de informtica?
Resulta bsico, antes de redactar el informe de auditora, que el asunto est muy
claro, no slo por las expectativas ya citadas, sino porque cada trmino tiene un
contenido usual muy concreto: la etiqueta auditora es. en esencia, un juicio de valor u
opinin con justificacin.
Por tanto, habida cuenta que tiene base objetiva -sobre todo con independencia
en sentido amplio-, es eminentemente una opinin profesional subjetiva.
Adems, como se aplican criterio en trminos de probabilidad, hay que evitar b
predisposicin a algn posible tipo de manipulacin, debido a la libertad de eleccin
de pruebas: no se debe elegir una serie de ellas que d la imagen buscada (prejuicio)
como consecuencia de la acumulacin de sesgos ad hoc.
Esta insistencia en clarificar es quiz excesiva, pero resulta importante emitir el
Informe de auditoria informtica de acuerdo con la aplicacin de la Auditoria
Informtica con criterios ticamente profesionales y desextimar ios procedimientos de
Auditora Informtica creativa" sorteando la posible contaminacin con b
contabilidad creativa".
En el precitado Libre Verde de Auditora Legal de la Unin Europea y
recordando la Directiva Octava de Derecho de Sociedades. se seAala que el auditor
debe ser independiente, pero slo la FEE seAala que puede serio de una manera
objetiva.
Es ilustrativo res isar textualmente el punto 4.9 del famoso Libro Verde:
www.FreeLibros.me
CArtnax) n . inhkmk dh auditoria ios
"En aftos recientes. se ha manifestado preocupacin obre las amenazas que se
ciernen sobre la independencia de los auditores. Varias encuestas indican el hecho de
que las empresas estn cada vez ms preparadas a desafiar a los auditores, comprar
encajones, buscar asesoramiento legal sobre las opiniones de los auditores y a cambiar
de auditores. Algunos informes concluyen que. dadas las presiones competitivas, sera
idealista asumir que lodos los auditores actan en todo momento sin pensar en el
riesgo de perder clientes. Se han manifestado criticas de que el profesionalismo se ha
disminuido en favor de una actitud ms de negocio "
En fin. que como indicio del estado del ane. este prrafo resulta bastante
aleccionador.
Navegando entre definiciones y definiciones, encuentro muy explicativa la de
1SACF. que dice asf:
"La auditoria de sistemas de informacin se define como cualquier auditoria que
abarca la revisin y evaluacin de todos los aspectos (o alguna seccin/rea) de los
sistemas automatizado de procesamiento de la informacin, incluyendo
prccedimientos relacionados no automticos y las irucrrelacioncs entre ellos.''
Creo que precisa lo suficiente sobre el sistema informtico, el manual y sus
conexiones para delimitar los objetivos de cobertura de un informe de auditoria
informtica que. ponderados con los objetivos COSO de la Actividad de Tecnologas
de la Informacin (plane* estratgicos, informacin fiable, adecuada y disponible, y
sistemas de informacin disponibles), clarifican en forma razonable las zonas
fronterizas con otros lemas afines, por ahora.
En mi opinin. Maastricht est acelerando el asunto; tanto es as que si Maastricht
no existiera habra que inventarlo, aunque el trmino auditora tiene connotaciones no
deseables. Espero que el MARC (Maastricht Accounting and Auditing Research
Center) sea un factor positivo en la auditora de los sistemas de informacin y. por
tanto, en los informes y su normativa Icgalfyrofcsional correspondiente.
Emilio del Peso Navarro. Miguel Angel Ramos Gonzlez. Carlos Manuel Fernndez
Snchez y Mara los Ignoto Azausue. Manual <fe <fcftmie y peritajes
mfomdtxis. EJtcMact f h t t J e Sanios, S.A. MxAf.
Agustn Lpez Casuso. Normai de Auditora: Cmo Interpretaras para su
Apikocin. Editorial IACJCE. Madrid. 1995.
www.FreeLibros.me
Luis Muflo* Sabate Tcnica Probatoria: Estudio sobre lat Dificultades de la Prueba
en el Proceso. Editorial Praxis. S.A. Barcelona. 1993.4* edicin.
Mar> C. Bromake Los informes de auditoria y t u tcnica de redaccin. Editorial
Deusto. S.A. Bilbao. 1989.
Revista SIC. Seguridad en Informtica v Comunicaciones. Ediciones Coda. S.L
Madrid.
1. Qu diferencia existe entre ev idencia suficiente y evidencia adecuada?
2. Qu diferencia existe entre prueba de cumplimiento y prueba sustantivo?
3. Las normas IPAC son vinculantes en Espafta?
4. Las normas ISACF son vinculantes en Espaa?
5. Qu diferencia existe entre opinin desfavorable y op nin denegada?
6. Qu significa importancia relativa?, y materialidad?
7. Qu significado tiene la responsabilidad civil del auditor informtica emisor
del informe de auditoria informtica y firmante del miao?
8. Cul es la utilidad del documento denominado Declaraciones de U
Direccin?
9. Qu diferencia existe entre experto informtica y auditor informtico?
10. Qu diferencia existe entre auditor interno y auditor externo?
10 Al'DtTOttlA INFORMTICA UN KXKXXE WCTICO___________________________ cn.M.
www.FreeLibros.me
CAPTULO 5
ORGANIZACIN DEL DEPARTAMENTO
DE AUDITORA INFORMTICA
Rafael Ruano Diez
5.1. ANTECEDENTES
F.I concepto de auditara informtica ha estado siempre ligado al de auditora en
{corral y al de auditora interna en particular, y itc ha estado unido desde tiempo
histricos al de contabilidad, control, veracidad de operaciones, ele. En tiempo de los
egipcio ya se hablaba de contabilidad y de control de los registro* y de las
aeraciones. Aun algunos historiadores fijan el nacimiento de la escritura como
consecuencia de la necesidad de registrar y controlar operaciones (Dale l-lesher. SO
Yeart of Progrem Hago esta referencia histrica a fin de explicar la evolucin de la
corta pero intensa historia de la auditora informtica, y para que posteriormente nos
tina de referencia al objeto de entender las diferentes tendencias que existen en la
actualidad.
Si analizamos el nacimiento y la existencia de la auditora informtica desde un
peato de vista empresarial, tendremos que empezar analizando el contexto organi
zativo y ambiental en el que se mueve.
Empezaremos diciendo que tanto dentro del contexto estratgico como del
operativo de las organizaciones actuales, los sistemas de informacin y la arquitectura
i?ue los soporta desempean un importante papel como uno de los soportes bsicos
pea la gestin y el control del negocio, siendo as uno de los requerimientos bsicos
de cualquier organizacin. Esto da lugar a los sistemas de informacin de una
aganizacin.
Es evidente que pora que dichos sistemas cumplan sus objetivos debe existir una
tuicin de gestin de dichos sistemas, de los recursos que los manejan y de las
www.FreeLibros.me
B AUMIORM IMIWM.MK .S >N I NKXX I' IH< K1>
mvcfMoocs que se ponen a disposicin de dichos recursos para que el funcionamiento
y los resultados sean los esperados. Esto es lo que llamamos el Departamento de
Sistemas de Informacin.
Finalmente, y en funcin de lo anterior, aunque no como algo no enteramente
aceptado an. debe existir una funcin de control de la gestin de los .sistemas y dd
departamento de sistemas de informacin. A esta funcin la llamamos auditoria
informtica.
El concepto de la funcin de auditoria informtica, en algunos casos llamada
funcin de control informtico y en los menos, llamada y conocida por ambos
trminos, arranca en su corta historia, cuando en los a/los cincuenta las organizaciones
empezaron a desarrollar aplicaciones informticas. En ese momento. La auditoria
trataba con sistemas manuales. Posteriormente, en funcin de que las organizaciones
empezaron con sistemas cada vez ms complejos, se hizo necesario que pane del
trabajo de auditoria empezara a tratar con sistemas que utilizaban sistemas
informticos.
En ese momento, los equipos de auditoria, tanto extemos como internos,
empezaron a ser mixtos, con involucracin de auditores informticos junto coa
auditores financieros. En ese momento se comenzaron a utilizar dos tipos de enfoque
diferentes que en algunos casos convergan:
Trabajos en los que el equipo de auditora informtica trabajaba bajo ua
programa de trabajo propio, aunque entroncando sus objetivos con los de la
auditora financiera; ste era el caso de trabajos en los que se revisabas
controles generales de la instalacin y controles especficos de las aplicaciones
bajo conceptos de riesgo pero siempre unido al hecho de que el equipo dt
auditora financiera utilizara este trahajo para sus conclusiones generales
sobre el componente financiero determinado.
Revisiones en las que la auditora informtica consista en la extraccin de
informacin para el equipo de auditora financiera. En este caso el equipo o
funcin de auditora interna era un exponente de la necesidad de las
organizaciones y departamentos de auditora de utilizar expertos tu
informtica para proveer al personal de dicho departamento de informacifa
extrada del sistema informtico cuando la informacin a auditar estaba
empezando a ser voluminosa y se estaba perdiendo la pista de cmo se habla
creado.
Esta situacin convive hoy en da con conceptos ms actuales y novedosos de lo
que es la funcin y de lo que son los objetivos de la auditora informtica.
En mi opinin, y es algo que vamos a desarrollar a continuacin, la tendencia
futura de la auditora informtica radicar en los siguientes principios;
www.FreeLibros.me
cu. uk CArtUILO 5:0OVMACl0f> PEI-DEPARTAMENTO PE ACPtTORUlNKjRMATlCA 10
1. Todo* lo auditor tendrn que tener conocimientos informticos que les
permitan trabajar en el cada vez ms lluctuante entorno de las tecnologas de
la informacin dentro de las organizaciones empresariales, culturales y
sociales.
2. Este aspecto no eliminar la necesidad de especialistas en auditora
informtica; antes al contrario, los especialistas necesitarn cada vez. ms,
unos conocimientos muy especficos, que al igual que sucede en el entorno de
los sistemas de informacin, les permitan ser expertos en las diferentes ramas
de la tecnologa informtica: comunicaciones, redes, ofimiica. comercio
electrnico, seguridad, gestin de bases de datos, etc.
3. El auditor informtica dejar de ser un profesional procedente de otra rea,
con su consiguiente reciclado, para pasar a ser un profesional formado y
titulado en auditoria informtica que tendr a su alcance diferentes medios de
formacin, externa fundamentalmente, y que tendr que formar una red de
conocimientos compartidos con oros profesionales, tanto en su organizacin
como con profesionales de otras organizaciones.
El futuro de la auditora informtica estar en la capacidad de cubrir
adecuadamente, en cuanto a experiencia y especializacin. todas las reas de los
sistemas informticos y de informacin de una empresa y en saber de forma propta o
ooa ayuda mierna y extema, adecuarse a los cambios que sucedan en la Tecnologa de
b Informacin. Para adecuarse a estos cambios, el auditor informtico, tendr que
autgenerar su propia filosofa de gestin del cambio.
Como he tratado de mencionar anteriormente, existe una gran confusin sobre lo
que es auditora informtica y la relacin que tiene con otras ramas organizativas de
bs empresas y organizaciones. Aun hoy en da. si preguntsemos a diferentes agentes
empresariales y sociales, nos contestaran con diferentes respuestas sobre lo que es y
no es auditora informtica.
Voy a tratar de resumir tas diferentes acepciones de auditora informtica que
existen en nuestro pas:
Auditora informtica como soporte a la auditora tradicional, financiera, etc.
Auditora informtica con el concepto anterior, pero aadiendo la funcin de
auditora de la funcin de gestin del entorno informtico.
5.2. CLASES Y TIPOS DE AUDITORA INFORMTICA
www.FreeLibros.me
I AKMTOKlA INWMTK'A UN hSWgtltl ntACTKU
Auditora informtica como (uncin independien!:, enfocada hacia li
obtencin de la situacin actual de un enlomo de infomacio c informtico a
aspectos de seguridad y riesgo, eficiencia y veracidad e integridad.
Las acepciones anteriores desde un punto de visu interno y externo.
Auditora como funcin de control dentro de un de partimento de sistemas.
Ante esta situacin djenme expresar cul es mi visin sobre lo que es y debe ler
la funcin de auditora informtica.
5.3. FUNCIN DE AUDITORA INFORMTICA
5.3.1. Definicin
Est claro a n a s alturas que la auditora, revisin, diagrstico y control de k*
sistemas de informacin y de los sistemas informativos que soportan stos deben *t
realizados por personas con experiencia en ambas disciplinas, informtica y auditora
(en principio llamemos a nuestro amigo el Auditor Informtico General: AIG). A oto
yo le aAado que adems nuestro amigo debe completar su formacin coa
conocimientos de gestin del cambio y de gestin empresarial.
Cmo definimos entonces a nuestro amigo AIG? Para tntar de definir su perfil
la definicin ms exacta es quiz que es un profesional dedicado al anlisis de
sistemas de informacin e informticos que est especializado en alguna de las
mltiples ramas de la auditora informtica, que tiene conocimientos generales de k*
mbitos en los que. sta se mueve, que tiene conocimientos empresariales generales, y
que adems:
Posee las caractersticas necesarias para actuar como contultor con su auditado,
dndole ideas de cmo enfocar la construccin de k* cirrenlos de control y de
gestin que le sean propios.
Y que puede actuar como consejero con la organizacin en la que est
dcurrotkndo *u labor. Un entorno informtico bi<n controlad, puede x i un entorno
ineficiente si no es consistente con los objetivos de la organizacin.
El eterno problema que se ha suscitado durante mucho tiempo es si el auditor
informtico, al no existir tal formacin acadmica en nuestro pas, cenia que ser un
auditor convertido en informtica, o por el contraro un inforntico reciclado como
auditor informtico. En mi larga experiencia, he visto de todo, personal de desarrollo
o de explotacin convenidos en auditores informtico en men*s de un mes. auditores
financieros reciclados, primero como extractores de infirmacin, mediante la
formacin en el adecuado software de interrogacin de archivos, y posteriormente
convertidos en auditores de la funcin informtica.
www.FreeLibros.me
m u CArtTtl-OS ORGANIZACIN Dtl. DtPARTAMb.VlUIX. AUDITORA PiKMtSlAlKA III
En ambos casos, los xitos y los fracasos se acumulaban por igual. Qu hacer en
estos casos? Cul debe ser el perfil corred o de un auditor informtico? lista es mi
visin y opinin del perfil del futuro auditor informtico y consecuentemente de las
funciones que la funcin de auditora informtica debe tener.
5.3.2. Perfiles profesionales de la funcin de Auditora
Informtica
A tenor de lo que hemos dicho hasta ahora, se ve claramente que el auditor
informtico debe ser una persona con un alto grado de calificacin tcnica y al mismo
tiempo estar integrado en las corrientes organizativas empresariales que imperan hoy
n (a. De esta forma, dentro de la funcin de auditora informtica, se deben
contemplar las siguientes caractersticas para mantener un perfil profesional adecuado
y actualizado:
I. La persona o personas que integren esta funcin deben contemplar en su
formacin bsica una mezcla de conocimientos de auditora financien y de
informtica general. Estos ltimos deben contemplar conocimientos bsicos
en cuanto o:
Desarrollo informtico; gestin de proyectos y del ciclo de vida de un
proyedo de desarrollo.
Gestin del departamento de sistemas.
Anlisis de riesgos en un entorno informtico.
Sistema operativo (este aspecto depender de varios fadores, pero
principalmente de si va a trabajar en un entorno nico -auditor interno- o.
por el contrario, va a tener posibilidades de trabajar en varios entornos
como auditor extemo).
Telecomunicaciones.
Gestin de bases de datos.
Redes locales.
Seguridad fsica.
Operaciones y planificacin informtica: efectividad de las operaciones y
del rendimiento de los sistemas.
Gestin de la seguridad de los sistemas y de la continuidad empresarial a
travs de planes de contingencia de la informacin.
Gestin de problemas y de cambios en entornos informticos.
Administracin de datos.
www.FreeLibros.me
11: AUOtTOUlA IMOHMTICA W ENFOQUE fttACTlCO___________________________>iw
Ofimtica.
Comercio electrnico.
Kncripljcin de datos.
2. A o l e s conocimiento* bsico* se les deber aftadir una evpeciali/acin a
funcin de la importancia econmica que distinto* componentes financiera
puedan tener en un entorno empresarial. Asi. en un eitomo financiero poeta
tener mucha importancia las comunicaciones, y veri necesario que atguiea
dentro de la funcin de auditora informtica tenga cita especializacin. pno
esto mismo puede no ser vlido pora un entorno productivo en el que las
transacciones i:DI pueden ser mis importante*.
3. Uno de k>\ problemas que ms han incidido en la escasa presencia de
auditores informticos en nuestro pas, es quizs la a veces escasa relacife
entre el trabajo de auditora informtica y Uu conclusiones con el enton
empresarial donde se ubicaba la "entidad auditada", lista sensacin de que hs
normas van por sitios diferentes de por donde va c negocio ha sido fn
muchas veces de la escasa comunicacin cnue el auditado (objetiva
empresariales) y el auditor (objetivos de control). C<mo quiera que la cruii
realidad no* est demostrando en la actualidad cada vez ms la necesidad de
cada vez mayor control en lo* sistemas de informacin, se hace necesario pan
el auditor informtico conocer tcnicas de gestin empresarial, y sobre todo de
gestin del cambio, ya que las recomendaciones y soluciones que se aponen
deben estar en la lnea de la bsqueda ptima de la mejor solucin pora ta
objetivos empresariales que se persiguen y con lo* recxrxo* que se tienen.
4. El auditor informtico debe tener siempre el concepto de Calidad Total
Como pone de un colectivo empresarial, bien sea permanentemente como
auditor interno o puntualmente como auditor extemo, el concepto de calidad
total har que sus conclusiones y trabajo sea reconocido como un clemetto
valioso dentro de la organizacin y que los resultadas sean aceptados en so
totalidad. Esta aplicacin organizativa debe hacer qur la propia imagen dd
auditor informtico sea ms reconocida de forma positiva por la organizacin.
5.3.3. Funciones a desarrollar por la funcin de Auditora
Informtica
Se han suscitado mltiples controversias sobre las funcione* a desarrollar en
cuanto al trabajo de Auditora Informtica que se debe realizar. Cul es el objetivo di
una Auditora Informtica? Qu *e debe revisar, analizar o diagnosticar?
www.FreeLibros.me
m m CAPtnXO 5 OROANI/ACTN DO. DEPARTA-MIXTO Dtt At'DfTOItlA IXTOfcMAUCA 111
Puede la funcin de Auditora Informtica aportar slo lo que le piden o debe
formar pone de un ente organizativo total, lo que le exige una actitud de contribucin
total al entorno empresarial en el que est realizando su trabajo? En definitiva, qu
aspectos debe revisar el auditof informtico? Debe revisar la seguridad, el control
interno, la efectividad, la gestin del cambio y la integridad de la informacin.
Si analizamos la realidad ms actual, diremos que la funcin Auditora
Informtica debe mantener en la medida de lo posible lo* objetivos de revisin que le
demande la organizacin, pero como esto es muy general, vamos a precisar algo ms
lo que sera un entorno ideal que tiene que ser auditado.
Supongamos una organizacin que produce componentes tecnolgicos de audio y
rdeo tanto en formato primario como en producto semiterminado y terminado. Esta
organizacin mantiene sus programas y resultados de investigacin bajo control
informtico. Adems tiene las caractersticas propias de cualquier empresa productora
y comercial en cuanto a sistemas de informacin. Mantiene en Internet un sistema de
informacin de sus productos con la posibilidad de que usuarios de la Red puedan
hacer consultas sobre diferentes caractersticas de lo* productos. Gasta anualmente un
uno por ciento de su facturacin en sus sistemas de informacin y un diez por ciento
ca investigacin.
Cules seran los objetivos de revisin de la Auditora Informtica en este
ejemplo? Desde luego parece que la Auditora Informtica debera enfocarse hacia
aspectos de seguridad, de comercio electrnico y de control interno en general,
adiendo en funcin de lo expuesto en cuanto al gasto anual que debera realizarse
c u revisin de la efectividad del departamento.
Esto nos indica que solamente con un ejemplo simple vemos que la Auditora
Informtica abarca campos de revisin ms all de los que tradicin al mente se han
mantenido: esto es. la revisin del control interno informtico de los servicios
cntralo y de las aplicaciones.
FJ mundo complejo de las empresas en el que nos movemos, con industrias
essergentes y con una tendencia globalizadora en los negocio*, hace muy necesario
que los sistema* de control interno sean lo ms efectivos posibles, pero tambin
conceptos ms amplios, como el riesgo de la informacin, la continuidad de las
operaciones. la gestin del centro de informacin o la efectividad y actualizacin de
1 inversiones realizadas son necesaria* para poder mantener el nivel competitivo que
el mundo empresarial demanda a sus sistemas de informacin.
Es as que entonces la funcin de Auditora Informtica debe realizar un amplio
ablico de actividades objetivas, algunas de la* cuales enumero a continuacin:
www.FreeLibros.me
Verificacin del control interno, tanto de las aplicaciones como de kn
sistemas informticos, central y perifricos.
Anlisis de la gestin de los sistemas de informacin desde un punto de vista
de riesgo de seguridad, de gestin y de efectividad de la gestin.
Anlisis de la integridad, fiabilidad y certeza de la informacin a travs del
anlisis de las aplicaciones. Esta funcin, que la vienen desempeando los
auditores informticos, estn empezando ya a desarrollarla los auditores
financieros.
Auditora del riesgo operativo de los circuitos de informacin.
Anlisis de la gestin de los riesgos de la informacin y de la segundad
implcita.
Verificacin del nivel de continuidad de las operaciones (a realizar
conjuntamente con los auditores financieros).
Anlisis del Estado del Arte tecnolgico de la instalacin revisada y de I
consecuencias empresariales que un desfase tecnolgico pueda acarrear.
Diagnstico sobre el grado de cobertura que dan las aplicaciones a las
necesidades estratgicas y operativas de informacin de la organizacin.
El papel de la auditora informtica se convierte de esta manera en algo ms que
la clsica definicin del auditor informtico:
"... el auditor informtico es responsable para establecer los objetivos de control
que reduzcan o eliminen la exposicin al riesgo de control interno. Despus de que
los objetivos de la auditora se hayan establecido, el auditor debe revisar los controles
y evaluar los resultados de su revisin para determinar las reas que requieran
correcciones o mejoras."
Aun a riesgo de ser criticado por muchos de mis compaeros, creo que el papel
del auditor informtico tiene que dejar de ser el de un profesional cuya nica meta
empresarial sea analizar el grado de implantacin y cumplimiento del control interno
Las organizaciones estn inviniendo mucho dinero en sistemas de informacin, cada
vez son ms dependientes de ellos y no pueden permitirse el lujo de tener buenos
profesionales, que estaban mediatizados por esquemas que eran vlidos hace unos
artos pero que en estos momentos no lo son a tenor de las necesidades empresariales.
El concepto de control interno es importantsimo, pero adems de verificar dicho
control, el auditor interno tiene la obligacin de convenirse un poco en consultor y en
ayuda del auditado, dndole ideas de cmo establecer procedimientos de seguridad,
control interno, efectividad y eficacia y medicin del riesgo empresarial.
11 AlWTOKlA INWMTtCAUMf.TOQC'E WtCnCO otim
www.FreeLibros.me
CAPTULO 5: ORGANIZACION DftL DBPAHTAMF.VTO PC Al'DITORlA INFORMATICA 11S
5.4. ORGANIZACIN DE LA FUNCIN DE AUDITORA
INFORMTICA
Segn lo que hemos comentado hasta ahora, la funcin de auditera informtica
ha pasado de ser una funcin meramente de ayuda al auditor financiero a ser una
fcacin que desarrolla un trabajo y lo seguir haciendo en el futuro, m h acorde con la
importancia que para las organizaciones tienen los sistemas informtico y de
informacin que son su objeto de estudio y anlisis, t i auditor informitico pasa a ser
sxli'.or y consultor del ente empresarial, en el que va a ser analista, auditor y asesor en
naterias de:
Seguridad
Control interno operativo
Eficiencia y eficacia
Tecnologa informtica
Continuidad de operaciones
Gestin de riesgo
00 solamente de los sistemas informticos objeto de su estudio, sino d: las relaciones
e implicaciones operativas que dichos sistemas tienen en el contexto enpresarial.
Con esta amplitud de miras, cmo ve va a organizar la funcin dentro de la
empresa? Est claro que en este caso estamos hablando de una funn intenta de
aaitora informtica.
La concepcin tpica que he visto en las empresas espaolas hasta ahora, es la de
que la funcin de auditora informtica est entroncada dentro de lo que es la funcin
de auditora interna con rango de subdepartamento. Esta concepcii se basa en el
aacimicMo histrico de la auditora informtica y en la dificultad de separar el
elemento informtico de lo que es la auditora operativa y financiera, al igual que lo es
sepirar la operativa de una empresa de los sistemas de informacin que los soportan.
Si volvemos a mi aseveracin anterior sobre el papel que debe desempear el
auditor informtico dentro de un contexto empresarial, la organizacin tipo de la
mJitoria informtica, debe contemplar en mi opinin los siguientes priicipsos:
Su localizacin puede estar ligada a la localizacin de la auditora interna
operativa y financiera, pero con independencia de objetivos (awque haya una
coordinacin lgica entre ambos departamentos), de planes de formacin y de
presupuestos.
www.FreeLibros.me
IJft MIKUttl.V IMOftMVnfA IVtNKHjll ITM IIKl
La organizacin operativa tipo debe ver la J e un grupo independiente del de
auditoria interna, con una accesibilidad total a los sistemas informtico* y de
informacin, e idealmente dependiendo de la misma persona en la empreu
que la auditora interna, que debera set el director general o consejero
delegado. Cualquier otra dependencia puede dar al traxte con la imagen del
auditor informtico y consecuentemente con la aceptacin de su trabajo y de
su conclusiones.
l-i dependencia, en todo caso, debe ser del mximo responsable operativo de U
organizacin, nunca del departamento de organizacin o del de sistemas (abundan bt
casos en que esta dependencia existe), ni del departamento financiero yA>
administrativo.
I.a gestin de la funcin, en la medida de que exista la experiencia, debe ser
llevada a cabo por personal que haya o est trabajando en auditora informtica.
Los recursos humanos con los que debe contar el departamento deben contemplar
una me/cla equilibrada entre personas con formacin en auditora y organizacin y
personas con perfil informtico. No obstante, este perfil genrico debe ser tratado con
un amplio programa de formacin en donde se especifiquen no slo lo* objetivos de b
funcin, sino tambin de la persona.
Este personal debe contemplar entre su titulacin la de CISA como u
elemento bsico para comenzar su carrera corno auditor informtico.
La organizacin interna tipo de la funcin podra s e r
- Jefe del departamento. Desarrolla el plan operativo del departamento. U$
descripciones de los puestos de trabajo del personal a su cargo, las
planificaciones de actuacin a un afto. lo* mtodos de gestin del cambio
en su funcin y los pw>gramas de formacin individualizados, as con
gestiona los programas de trabajo y los trabajos en s, los cambios en lo
mtodo* de trahajo y evala la capacidad de las personas a su cargo.
- Gerente o supervisor de auditora informtica. Trabaja estrechamente coa
el Jefe del departamento en las tarcas operativas diarias. Ayuda en la
evaluacin del riesgo de cada uno de lo* trabajo*, realiza lo* programas de
trabajo, dirige y supervisa directamente a las personas en cada uno de los
trabajos de los que es responsable. Realiza la formacin sobre el trabajo.
Es responsable junto con su jefe de la obtencin del mejor resultado del
trabajo para el auditado, entroncando tos conceptos de valor aadido y
gestin del cambio dentro de su trabajo. Es el que ms "vende" la funcin
con el auditado.
www.FreeLibros.me
CAPtTVI O -VOUGAXKAOON i I. tAKTASU.VTO DT- AlOtTOKA INFORMTICA 111
- Auditor informtico. Son responsable* para la ejecucin directa del
trabajo. Deben tener una especializacifl genrica, pero tambin una
especfica, segn se coment anteriormente. Su trabajo consistir en la
obtencin de informacin, realizacin de pruebas, documentacin del
trabajo, evaluacin y diagnstico de resultados.
El tamao slo se puede precisar en funcin de los objetivos de la funcin.
pero en mi opinin, para una organizacin tipo, el abanico de
responsabilidades debera cubrir
- Especialista en el entorno informtico a auditar y en gestin de bases de
datos.
- Especialista en comunicaciones y/o redes.
Responsable de gestin de riesgo operativo y aplicaciones.
- Responsable de la auditora de sistemas de informacin, tanto en
explotacin como en desarrollo.
- En su caso, especialista para la elaboracin de programas de trabajo
conjuntos con la Auditora l-inanciera.
1. Cules son las lneas de evolucin de la Auditora Informtica?
2. Qu diferentes acepciones existen de la Auditora Informtica?
3. Cul es el perfil del auditor informtico general?
4. Qu formacin debe poseer el auditor informtico?
5. Cules son las funciones de la Auditora Informtica?
6. Qu aspectos pueden hacer ms compleja, en la actualidad, la funcin de
Auditora Informtica?
7. Cul debe ser la localizacin de la funcin de Auditora Informtica en la
empresa?
8. Cules son las tareas del Jefe del Departamento de Auditora Informtica?
9. Qu tamao debe tener el Departamento de Auditora Informtica?
10. Defina un plan de formacin para que un informtico pueda desempear sin
problemas la funcin de auditor.
www.FreeLibros.me
CAPTULO 6
EL MARCO JURDICO DE LA
AUDITORA INFORMTICA
Emilio del Peso Navarro
6.1. INTRODUCCIN
Los efectos de la incorporacin a nuestra Sociedad en un principio de la
bformtica. posteriormente de la Telemtica y en la actualidad de lo que se viene
denominando Nuevas Tecnologas de la Informacin y las Comunicaciones, han
tram formado sta y el futuro que se vislumbra es que el cambio ha de ser an mayor.
La transformacin ha operado en todos los rdenes de la vida tanto pblicos
romo privados, profesionales y particulares. La forma de vida ha cambiado
bcalmcnie y no hemos hecho mis que empezar.
Conceptos tan arraigados como el de trabajo tenemos que empezar a
conumplarloc <! otra nuncra. c inclino In formi de Swli nwt . niii m ocio, tambin
ha quedado afectado.
Estas nuevas tecnologas han incidido en el Derecho desde dos perspectivas:
L* Contemplar estas nuevas tecnologa', como una herramienta del operador
jurdico de forma parecida a como ayudan a otros profesionales: arquitectos,
mdicos, etc., lo que da lugar a la Informtica Jurdica.
2* Estudiar y analizar estas nuevas tecnologas como un objeto ms del
Derecho, lo que hace emerger una rama nueva del mismo: el Derecho
www.FreeLibros.me
I AUIMTOHUINHOtIMTtCA: UN BffOQlT. fUACTlCO
Informtico o Derecho de 1 Nuevas Tecnologas de la Informacin y la
Comunicaciones.
Esta dicotoma la volveremos a ver despus cuando estudiemos la contratacife
en la que nos encontraremos con un tipo de contratacin, la electrnica o por raedm
electrnicos, y con otro, la informtica.
La Informtica Jurdica la podemos contemplar desde tres categoras diferentes1:
1. La Informtica Jurdica de Gestin que se presenta como un efics
instrumento en la tramitacin de los procedimientos judiciales, en b
administracin de los despachos de abogados, procuradores, notaras, etc.
2. l-a Informtica Jurdica Documental que ex la utilizacin de la Informtica
pora facilitar el almacenamiento de enormes volmenes de datos relativas i
Legislacin. Jurisprudencia y Doctrina, con el fin de permitir posteriormeaie
el acceso a la misma de una forma fcil, rpida y vegura.
3. La Informtica Jurdica Dccisional. por ltimo, es la utilizacin de U
Informtica como un instrumento para ayudar a la toma de decisiones. Tal e>
el caso de los jueces ante las sentencias. Est basada, principalmente, a
tcnicas de la denominada "inteligencia artificial'* con el empleo de sistema
expertos y herramientas similares.
El Derecho Informtico, a diferencia de la Informtica Jurdica, es aquella pine
del Derecho que regula el mundo informtico evitando que se convierta en una jungi
donde siempre sale ganando el ms fuerte. Fruto del mismo son: la proteccin de
datos personales, la proteccin jurdica de los programas de computador, los dcliu
informticos, el documento electrnico, el comercio electrnico, y la contratacifa
electrnica e informtica entre otras materias.
El auditor informtico, si quiere realizar bien mi labor y a la vez evitar situaciones
desagradables y un tanto peligrosas, est obligado a conocer esta rama del Dercct.
pues es la que regula el objeto de su trabajo. Desconocer las normas que regulan li
proteccin de los datos personales, la piratera de los programas de computador. 1
obligaciones contractuales, los delitos informticos, las responsabilidades civiles y
penales en que puede incurrir puede tener consecuencias graves si. como es fcil que
ocurra, dichas circunstancias se prevenan en el enlomo en que trabaja.
' Pan afc fmmaciAn EMILIO DEL PESO NAVARRO y MIGUEL NGEL RAMOS
GONZAt.KZ y ruruurf 4* U mformacin la LIMITAD i >u implmtcmtft u
nwirtWi Dlu de Swmov M*d> d 1994. [>** !0 / 11
www.FreeLibros.me
Si examinamos dichas norma* claramente veremos que todas e l l a versan sobre
indeterminado bien jurdico: la informacin.
La informacin ha sido un bien valioso en todas las pocas, pero en ninguna
haba alcanzado la importancia que tiene en el momento actual en el qur fcilmente se
convierte en conocimiento.
En el pasado no exista la posibilidad, como ocurre ahora, de convertir
informaciones parciales y dispersas en informaciones en masa y organinda.
La aplicacin conjunta de la Informtica y las Telecomunicaciones, lo que se ha
venido en denominar Telemtica, en la prctica ha hecho desaparecer los factores
boapo y espacio.
Para DA VARA RODRGUEZ': ~lxi informacin t i un bien <fte tiene unas
caractersticas determinadas y determinantes es. no cabe duda, un httn econmico,
pero diftrtnte a los dems b i t n t s econmicos existentes en un mercado tradicional".
Jatica lo anterior en las siguientes afirmaciones:
1* Se trata de un bien que no se agota con el consumo.
2* Es un bien que puede ser utilizado por numerosas personas a li vez.
3* Es la base del desarrollo de la nueva sociedad.
4' Es el vehculo que circula por las autopistas de la informacin.
Para definir este conjunto de circunstancias en el que nos movemos se ha acuado
d trmino Sociedad de la informacin.
La informacin puede ser muy variada, como veremos a continuacin, y no toda
da wele tener el mismo valor.
**H_______________ CAPfTlK) (xFl- MARCO )llnto~0 PC U\ AUDtTOftlA INK?RMATK~A 121
LA PROTECCIN OE DATOS DE CARCTER PERSONAL
Q oiifvulsi 18.4 Oc nucMia Cutntit uviOii emplaza al legislador a llnliar el uso de
U informtica para garantizar el honor, la intimidad personal y familiar de sus
ciudadanos y el legtimo ejercicio de sus derechos.
Froto de este mandato constitucional fue la promulgacin de la Ley Orgnica
VI992 de 29 de octubre de Regulacin del Tratamiento Automatizado ce los Datos de
arfctcr personal (LORTAD). Se trata de una ley de las que en el Derecho
! MIGUEL NGEL DAVARA RODRIGUEZ. Dr la, aittpftn dr a injtinwvW a U m w k t
Wtul toiaudi.Vrcftonx.
www.FreeLibros.me
i AUommlAiKtraMTiCA w enfoque reAcnco
Comparado se vienen denominando leyes de proteccin de datos, aunque en realidad I
su objeto no sea la proteccin de tos datos sino la proteccin de la intimidad v \ I
pt i mudad de fas personas titulares c eso ciatos.
En la Exposicin de Motivos de la Ley se hace una interesante distincin entre b
que el legislador entiende por intimidad y por primeidad.
Con independencia de que muchos autores hasta ahora no hacan distincin cent
I intimidad y el anglicismo privacidad se empieza a hacer corresponder aqulla eco k
derechos defendidos en los tres primeros puntos del articulo 18 de la Constitucin, y U
primeidad. entendida como el derecho a la autodeterminacin informativa, con t
punto 4.
I .a Ley Orgnica 15/1999. de 13 de enero (LOPD) de Proteccin de Datos de
Carcter Personal, deroga la LORTAD. Tanto la I.ORTAD como la LOPD se inspira
en los siguientes principios:
Principio de finalidad. Antes de la creacin de un archivo de datos de carcter
personal' ha de conocerse el fin del mismo (ort. 4.1).
Este principio, a su ver. engloba otros dos: el principio de pertinencia y el de
utilizacin abusiva.
Principio de pertinencia (ar t. 4.1). Los datos deben ser pertinentes, es do*
estar relacionados con el fin perseguido al crearse el archivo.
Principio de utilizacin abusiva (ar t. 4.2). l.os datos recogidos no deben w
utilizados para otro (in distinto a aquel para el que fueron recatados.
Principio de exactitud (ar t. 4 J y 4.4). El responsable del archivo debe poner tot
medios necesarios para comprobar la exactitud de los datos registrados y asegurar a
puesta al da.
Principio de derecho al olvido (art. 4.5). Los datos debern desaparecer dd
archivo una vez se haya cumplido el tin para el que fueron recatados.
Principio del consentimiento (ar t. 6). El tratamiento automatizado de los <w
requerir el consentimiento del afectado, salvo que la Ley disponga otra coa
contemplndose algunas excepciones y teniendo el carcter de revocable.
' t)UM de caricwr pcrvxuJ wn cualquier inforatKin coKnucnie a penoou ftwcu. tretutam
o ideniiticabiet tan ) i LOPD y RctoInciAn Agtncu Prctttofe de Diiw)
(-.1 artlcato 1.4 el Rcfluncntu urffct 041 defin ifccmdo que o "Toda Mfontar*
niwniu. uOaWfnv. trafica. otennffica. acstica o Je cuat'ûier upo smscepttbh Je recofuia. re%un
rsaraiwriuo o tr&wmu/m concerniente a una per tona finca identificada o identificte*
www.FreeLibros.me
CAPtTVLOft H. MARCOlURlIMCOMI I.A At'DITtmU tSHWMAWC'A l}<
Principio de los datos n p n i a l m c n l t protegido (art. 7). Se debe garantizar de
forma especial el tratamiento automatizado de los ditos de carcter personal cuando
ellos se refieran a ideologa, afiliacin sindical, religin o creencias del afectado, asi
cee kis referentes a su origen racial, salud, vida sexual o a la comisin de
fracciones penales o administrativas.
Principio de seguridad (art. 9). El responsable deber adoptar las medidas
oecesaras de ndole fsica, organizativa o lgica con objeto de poder garantizar la
seguridad de los datos de los archivos.
Principio de acceso individual (ar t. 14). Cualquier persona tendr derecho a
Hber si sus datos son tratados de forma automatizada y a tener una copia de los
mismos En el caso de que stos sean inexactos o se hubiesen conseguido de forma
ilegal tiene derecho a que sean corregidos o destruidos.
Principio de publicidad (ar t. 38l. Es preciso que exista un archivo pblico en el
que figuren los disertos de los archivos de datos de carcter personal, tanto los de
ttularidad pblica como privada.
De estos principios se derivan los siguientes derechos: derecho de oposicin (art.
30). derecho de impugnacin de valoraciones (art. 13). derecho de consulta al Registro
General de Proteccin de Datos (art. 14). derecho de acceso (art. 15). derecho de
rectificacin y cancelacin (art. 16). derecho slc tutela (art. 18) y derecho de
iaJetnnizacin (art. 19.
Como rgano garante de estos derechos en la Ley figura la Agencia de Proteccin
de Datos, ente de derecho pblico con personalidad jurdica propia y plena capacidad
pfcfaca y privada que acta con plena independencia slc las Administraciones Pblicas
ca el ejercicio de sus funciones. El Estatuto de la Agencia de Proteccin de Datos fue
aprobado por Real Decreto 428/1993 de 26 de marzo y declarado subsistente por la
oposicin transitoria tercera de la LOPD.
Al frente de la Agencia figura un Direcior y consta de los siguientes rganos:
Cornejo Consultivo. Registro General. Inspeccin y Secretara General.
Las potestades de la Agencia son las siguientes:
Potestad reguladora. Segn el artculo 5 del Estatuto colabora con los rganos
competentes en el desarrollo normativo as como en la aplicacin de la Ley.
Potestad inspectora. Segn el artculo 40 de la Ley corresponde a la Agencia la
hiptcrin de los archivos comprendidos en el mbito de sta.
Potestad sanclonadora. La Agencia puede imponer multas de hasta cien millo
nes de pesetas para los casos ms graves por las infracciones cometidas en el sector
www.FreeLibros.me
12 At DHORlA LNKHLMAUCA: UN EXIOQO. PRACTICO
privado. Las sancin correspondientes al sector pblico sern la cttablccid.it m b
legislacin sobre el rgimen disciplinario de las Administraciones Pblicas.
Potestad i nmovi lizados. El Director de la Agencia. sgn el artculo 49. en ta
supuestos constitutivos de infraccin muy grave podr, mediinte resolucin motivad*
inmovilizar los archivos automatizados.
La Ley fue desarrollada por un Reglamento aproKado por Real Dccrm
1332/1994 de 20 de junio, y el artculo 9 fue desarrollado p<r RD 994/1999. de II de
junio que aprob el Reglamento de Medidas de Seguridad, ambos declara**
subsistentes por la Disposicin Transitoria Tercera de la LOPD.
6.3. LA PROTECCIN JURDICA DE LOS PPOGRAMAS DE
COMPUTADOR
Antes de hablar de su proteccin jurdica consideramos importante explicar qa
se entiende por programas de computador y cul es su lugar entre las diferentes clases
de bienes jurdicos dignos de proteccin en nuestro ordenamiento jurdico.
En una primera aproximacin, un programa de computdor se puede considenr
como el conjunto de materiales elaborados conceptual mente para la solucin de a
problema de tratamiento automatizado de dalos.
El Texto Refundido de la Ley de la Propiedad Intelectual, aprobado por Rei
Decreto Legislativo 1/1996 de 12 de abril, en su artculo 96.1 lo define como:
secuencia de instrucciones o indicaciones destinadas a er utilizadas directa
indirectamente en un sistema informtico, para realizar u/u funcin o una tarea *
para obtener un resultado determinado, cualquiera que fuera su forma de expresin
fijacin.
A las mismos efectos, la expresin programas de ctmputador comprender
tambin su documentacin preparatoria. La documentacin tcnica y los mamio!n
de uso de un programa gozarn de la misma proteccin que a t e Ttulo dispensa a la
programas de computador".
Entre la categora de los bienes, lo* programas de computador preseras
peculiaridades que los diferencian de los bienes con una entidad material y
susceptibles por tanto de una aprehensin fsica, Nuestro Cdigo Civil divide k
bienes en corporales e incorporales.
Un programa de computador, como una creacin de la mente que es. no puede kt
incluido en ninguna de estas dos categoras, por lo que hay qtK acudir a una nueva q*
es la que se ha creado para este tipo de bienes, la de los bienes inmateriales.
www.FreeLibros.me
m w ___________ CAPITULO6; >1,MARCO WKjt>KY>IMiIA AliPITOttlAPTOttMATKA 115
Un b*en inmaterial es:
- Fruto o creacin de la mente.
- Para que se haga perceptible para el mundo exterior es necesario plasmarlo en
un soporte.
- Puede ser disfrutado simultneamente por una pluralidad de personas.
Por todo ello la apropiacin en los bienes inmateriales, por si sola, no es
sificientc para garantizar su goce exclusivo, a diferencia de lo que ocurre con los
Nenes materiales.
Si queremos que el titular de un bien inmaterial disfrute en exclisiva del mismo
es preciso, desde el punto de vi.su jurdico, que el Derecho prohba a todos los dems
la utilizacin o la explotacin del mismo y otorgue al titular un derecho en exclusiva.
Un programa de computador, corno se desprende de lo expuesto, es un bien
inmxenal y en funcin de tal hemos de procurar su proteccin jurdica.
La proteccin jurdica de los programas de computador, en priicipio. se puede
instrumentar utilizando las siguientes instituciones jurdicas conocida.: estipulaciones
ccocractualcs. secreto comercial, derecho de patentes, derecho de marcas y derecho de
Como fcilmente se desprende las cuatro primeras tienen una eficacia limitada,
aeodo ms amplia la ltima, por lo que es ste el sistema elegido po' considerarlo, a
pesar de las dificultades que presenta, el ms idneo. No obstante, li proteccin que
ti derecho otorga a los programas de computador es compatible con U proteccin que
se le pudiera otorgar por otra va.
La proteccin de los programas de computador est regulada en el Texto
Refundido de la Ley de la Propiedad Intelectual (a partir de ahora TRFI).
El articulo 10 del TRPI al referirse al objeto de la propiedad intelectual dice:
"Son objeto de propiedad intelectual todas las creaciones origi,tales literarias,
artticas o cientficas expresadas por cualquier medio o soparle tangible o
intangible. actualmente conocido o que se invente en el f u t u r o y al enumerar las
obras comprendidas incluye entre ellas los programas de computador.
El TRPI regula la proteccin de los programas de computador en el Ttulo VII del
Libro I (arts. 93 a 104).
El artculo 95 seala que el derecho de autor sobre los programas de
conpniador se regir por los preceptos del presente Titulo y. en lo que no est
especficamente
www.FreeLibros.me
I AtTHTOftlA IVHHtSTK~A t.N KNHXAt PK-ACTKX)
previsto en el mismo, por las disposiciones que resulten aplicables de la presente
Les".
El autor por el voto hecho de crear una obra tiene una serie de derechos que k
dividen en: morales y patrimoniales o de explotacin.
Los derechos morales, enumerados en el artculo 14. son irrcnunciabks e
inalienables.
Por contra los derechos patrimoniales o de explotacin pueden ser transferid
libremente. Segn el artculo 17 "corresponde al autor el ejercicio exclusivo de los
derechos de explotacin de su obra en cualquier forma y. en especial, los derechos t
reproduccin, distribucin, comunicacin pblica y transformacin, que no podri*
ser realizados sin su autorizacin, salvo en los casos previstos en la presente Ley~.
El artculo 100 fija unos lmites a los derechos de explotacin en funcin de las
peculiaridades propias de los programas de computador principalmente referidos a U
copia de seguridad y la ntcroperabilidad.
Por reproduccin, segn el articulo 18. "se entiende la fijacin de la obra en mi
medio que permita su comunicacin y la obtencin de copias de toda o parte d t ella".
Distribucin, segn el artculo 19 es "la puesta a disposicin del pblico del
original o copias de la obra mediante su venta, alquiler o prstamo o de cualquier
otra forma ".
Segn el artculo 20.1: Se entender por comunicacin pblica todo acto por d
cual una pluralidad de personas pueda tener acceso a la obra sin previa dislribuc*
de ejemplares a cada una de ellas.
La transformacin de la obra, a tenor del artculo 21.1 "comprende su traduccin
adaptacin y cualquier otra modificacin en su forma de la que se derive una obra
diferente.
En principio el titular exclusivo de los derechos de explotacin ex el propio auto
(ait. 17).
A la titularidad de los derechos sobre los programas de computador dedica d
TRPI el artculo 97 presentndose los siguientes canos:
/ . Ser considerado autor del programa de computador la persona o grupo t
personas naturales que lo hayan creado, o la persona jurdica que sea
contemplada como titular de los derechos de autor en los casos
expresamente previstos por esta Ley.
www.FreeLibros.me
IU1H_______________ CArtn'LO 6 M. MARCO Jl'RllCO DI: l-A AUI>fTt)HA tMOKAIAIKA I ?T
2. Cuando se irai t de una obra colectiva tendr la consideracin de autor, sahv
pacto en contrario, la persona natural o jurdica ifue la edite o diwlgue bajo
su nombre.
i. Los derechos de autor sobre un programa de computador que sea resultado
unitario de a colaboracin entre varios autores sern propiedad comn y
correspondern a todos stas en la proporcin que determinen.
4. Cuando un trabajador asalariado cree un programa de computador, en el
ejercicio de las funciones que le han sufo confiadas o siguiendo tas
instrucciones de su empresario, la titularidad de os derechos de explotacin
correspondientes a l programa de computador asi creado, tanto el programa
fuente como el programa objeto, correspondern, exclusivamente, al
empresario, salvo pacto en contrario. ~
CuncJ<> exista una relacin mercantil se estar a lo pactado en el contrato.
1 .a titularidad de los derechos habr de demostrarse por alguno de los medios de
prueba admitidos en derecho. El articulo 6.1 dice: ~Se presumir autor. sa!\o prueba
tn contrario, a quien aparezca como tal en la obra mediante su nombre, firma o signo
que lo identifique."
1.a inscripcin de un programa de computador en el Registro de la Propiedad
Istelectual no es constitutiva de derechos, sino simplemente declarativo de los
derechos de propiedad intelectual sobre aqul, no constituyendo una prueba
indestructible sobre la titularidad de una obra determinada, sino que constituye una
nueva presuncin de dicha titularidad.
Las infracciones del derecho de autor pueden ser perseguidas por la va civil y la
va penal.
El Ttulo 1 del Libro III est i dedicado a tas acciones y procedimientos para la
fntKcij n d t lo derecho reconocido en la Ley.
Como medidas de proteccin figuran:
- Cese de la actividad ilcita (art. 139).
- Indemnizacin de los datos materiales y morales causados (art. 140).
- Medidas cautelares (art*. 141.142 y 143).
www.FreeLibros.me
i AUtxnmlA mor-mauca i..n i -v h x x i inmco
El articulo 102 M i referido a la infraccin de los derechos respecto a la
programas de computador:
~a) Quienes pongan en circulacin na o ms copias de un programa t
computador conociendo o pudiendo presumir su naturaleza ilegtima.
b) Quienes tengan con fines comerciales una o ms copias de un programa Jt
computador, conociendo o pudiendo presumir su natural es ilegitima. i
c) Quienes pongan en circulacin o tengan con fines comerciales <uahfma
instrumento cuyo nico uso sea facilitar la supresin o neutralizacin m
autorizadas de cualquier dispositivo tremen utilizado para proteger m
programa de computador. ~
En la va penal las infracciones del derecho estn tipificada* en los artculos 2T4
271 y 272 del Cdigo Penal* podiendo llegar las penas de prisin a cuatro aftas y bt
multa a veinticuatro meses p a n lo casos ms grave.
6.4. LAS BASES DE DATOS Y LA MULTIMEDIA
Una base de datos, como dice DA VARA RODRGUEZ, a quien seguiremos a
este apartado, es un depsito comn de documentacin, til para diferentes usuarios;
distintas aplicaciones, que permite la recuperacin de la informacin adecuada par ti
resolucin de un problema planteado en una consulta.
JAMES MARTIN define la base de datos como una coleccin de duot
interrelacionados almacenados en conjunto sin redundancias perjudiciales
innecesarias; su finalidad es la de servir a una aplicacin o ms, de la mejor minen
posible: los datos se almacenan de modo que resulten independientes de los programa
que los usan: se emplean mtodos bien determinados para incluir datos nuevos y pan
modificar o extraer los datos almacenados. Dicese que un sistema comprende un
coleccin de bases de datos cuando sta son totalmente independientes desde el puae
de vista estructural.
Una base de datos se compone de un contenido y de una estructura de ese
contenido.
El contenido de una base de datos puede s e r textos, grficos, sonidos, imgenes
fjase imgenes en movimiento.
En lenguaje informtico a esto se le suele denominar media, a la que iks
referiremos especficamente ms adelante.
4Ley OrtfeK* I (VI995 de 23 de nonctritot
www.FreeLibros.me
Lgicamente cada uno de e*to* contenidos tendr un titular de los derechos de
tor sofcre los mismos.
Pero oon independencia de esto, que es importante > que habr de tenerse en
ctenu a la hora de crear una base de dalos, lo que aqui tratamos de buscar es la
proteccin jurdica de esa estructura para la que ha sido necesaria una obra de
creatividad al seleccionar, clasificar y ordenar sus respectivos contenidos. En
definitiva %e trata de una obra de creatividad intelectual y. por tanto, objeto de
proteccin Hay veces, sin embargo, que no se trata de una creatividad intelectual, y
so obstante su valor econmico es grande.
Las primeras bases estn protegidas por el derecho de autor y las segundas por un
dered su gen tri s al que se refiere la Directiva de la Unin Europea 96/9/CE del
Parlamento Europeo y del Consejo de 11 de marzo de 1996.
Es importante analizar la funcin de los diferentes autores que participan en la
atarin. desarrollo y explotacin de una base de datos, sus relaciones contractuales y
la proteccin jurdica de la titularidad de las bases de dalos.'
En un principio en una base de datos participan: el creador o promotor, el
dstribuidor y el usuario.
Creador o promotor es toda aquella persona fsica o jurdica que partiendo de una
idea selecciona, clasifica y ordena un determinado tipo de informacin creando una
tae de dalos, la mantiene y la actualiza.
Distribuidor es asimismo toda persona ffsica o jurdica que comercializa el
producto
Por ltimo, usuario es toda persona fsica o jurdica que utiliza y consulta la base.
Entre mad o r o promotor y distribuidor existe una relacin contractual en la que
d primero se compromete a la creacin, mantenimiento y actualizacin de la base y el
Kgaado a mi comercializacin, aunque en algn caso podra llegar a su distribucin
pioiiu
Los contratos entre el distribuidor y el usuario suelen ser de los denominados de
adhesin, en las que el primero fija las condiciones y el segundo simplemente se
adhiere a ellas.
HM_______________CArtTVtO6 O. MARCO il'RlMCO DE LA AUDITORIA IXKM>MATKA I
Pan urvfar d Kmi \ t r IORGF. PEZ MAN Hau, r Dato, JurUk* Cmix CSIC.
www.FreeLibros.me
La proteccin jurdica en nuestro ordcoimiento jurdico viene dada por el viyen*
Texto Refundido de la l-cv de la Propiedad Intelectual de 12 de abril de 1996 y por U
Directiva de la Unin Europea, incorporad al ordenamiento jurdico espato) por b
Ley 5/1998 de 6 de marzo.
En definitiva lo que te protege en una base de dato* no ex simplemente d
almacenamiento de obra*. su ordenacin y recuperacin, uno que e* todo d
procedimiento de creacin y el resultado final de la misma, en cuanto a su contenida
anlisis, almacenamiento, clasificacin, (eleccin, y ordenacin que caracteriza a li
base de datos en si.
Como hemos dicho anteriormente, en lenguaje informtica se denomina media a
las diferente* clases de archivo* que se pueden utilizar en un *i*tema:
Siguiendo a MILL stos pueden ser los siguientes:
a) Archivos de textos. stos contienen la descripcin numrica de la
informacin redactada mediante signo* alfanumrico*.
b) Archivos grficos. Contienen la descripcin numrica de un diseto.
c) Archivos de sonidos. Contienen la descripcin numrica de una onda
sonora.
d) Archivos de imgenes fija*. Contienen la descripcin numrica de una
imagen formada por pixele* ordenado* en columna* y filas.
e) Archivos de imgenes en movimiento. Contienen la descripcin numrica
de imgenes en movimiento y se llaman corrientemente vdeos.
Estos archivo se pueden procesar simultneamente y almacenar en el miuao
soporte. Esta combinacin de archivos permite producir creaciones multimedia.
Multimedia se puede definir como la combinacin de todo tipo de sedales de vot
dato*, imgene* y escritura. E* un concepto global que abarcar una gran diversidad
de servicias.
Entre la* obras multimedia encontramos:
a) Videojuegos. Se suele tratar de obras creadas como multimedia y no suelen
incorporar elementos de obras ajenas.
b) Educacin y entretenimiento. Programa* de emeAan/a y de entrenamiento
C) t'tiuiainmeni. Productos que enseAan al usuario mientras juega.
d) Revistas.
IX ALDrTORA INFORMATICA UN ISTOOUB mACTlCO___________________________ t u
www.FreeLibros.me
CAPTULO 6: LL MARCO JURIDICO DF. LA AUDITORIA IVUW.MATKA I <I
C) Publicidad.
0 Simuladores.
I j obra multimedia Mielen ser producto de un equipo, se tr.ua de obras colecti
vas y su titularidad sude tenerla una persona jurdica.
En gran nmero de casos una obra multimedia ser una obra derivada, pues se
trabajar sobre una obra ya existente de la que se debern tener los derechos
cecrtjpondicntcs salvo que se trate de obras de dominio pblico.
Para la creacin de obras multimedia se suelen utilizar las llamadas herramientas,
por ejemplo: lenguajes de autor. De estas herramienta. se deber tener licencia para
so uso.
Igualmente se suelen utilizar grficos, fotografas, etc. que existen en archivos
atados al efecto y tambin habr de contratarse su utilizacin.
Puede suceder tambin que se incluyan obras de vdeo con interpretacin de
anistas. con los que habr que contratar la necesaria autorizacin.
En resumen, el mundo de la multimedia es un sector en gran auge que como todo
1o noeso plantea problemas en las relaciones entre los intervinientes que el derecho
efeer resolver en aquello que an no est contemplado en el ordenamiento jurdico.
8.5. LOS DELITOS INFORMTICOS
Fraude puede ser definido como engaflo, accin contraria a la verdad o a la
rwwud. La definicin de delito puede ser ms compleja.
Muchos estudiosos del Derecho Penal han intentado formular una nocin de
ehio que sirviese para lodos los tiempos y en todos los pases. Hslo no ha sido
posible dada la ntima conexin que existe entre la vida social y la jurdica de cada
pseblo y cada siglo, aqulla condiciona a sta.
Segn el ilustre penalista CUELLO CALN los dentemos integrantes del delito
a) El delito es un acto humano, es una accin (accin u omisin).
b) Dicho acto humano ha de ser antijurdico, debe lesionar o poner en peligro
un inters jurdicamente protegido.
c) Debe corresponder a un tipo legal (figura de delito), definido por la ley, ha
de ser un acto tpko.
www.FreeLibros.me
! >.' Al'tHTORlA INWM.\Tlt'A l Nt-NKMJI I rWACtlt O
d) El acto ha de ser culpable, imputable a dolo (intencin) o a culpa
(negligencia), y una accin es imputable cuando puede ponerse a cargo de
una determinada persona.
e) 1 .a ejecucin u omisin del acto debe estar sancionada con una pena.
Por tanto, un delito es: una accin antijurdica realizada por un ser hunum,
tipificado, culpable y sancionado con una pena.
Se podra definir el delito informtico como toda accin (accin u omiue)
culpable realizada por un ser humano, que cause un perjuicio a personas sin que
necesariamente se beneficie el autor o que. por el contraro, produzca un beneficio
ilcito a su auux aunque no perjudique de forma directa o indirecta a la vctima
tipificado por la ley. que se realiza en el enlomo informtico y est sancionado coa
una pena.
Contemplado el delito informtico en un .sentido amplio se pueden formar vario*
grande grupos de figuras delictivas claramente diferenciadas:
a) Delitos contra la intimidad.
b) Delitos contra el patrimonio.
c) Falsedades documentales.
El Cdigo Penal vigente, al que nos referiremos a partir de ahora, fue aprobado
por la Ley Orgnica KVI995 de 23 de noviembre.
Delitos contra la intimidad
El Titulo X. Delitos contra la intimidad, el derecho a la propia imagen y U
inviolabilidad del domicilio, dedica su Captulo Primero, que comprende los artculos
197 al 200. al descubrimiento y revelacin de secretos.
Este captulo, aparte de otras materias, viene a regular, en sede penal. I
infncrumr* jii te convelan en el Ambito de la U y Orgnica 5/1992. de 29 de octutcc,
LORTAD.
El artculo 197. en su punto I. contempla la figura de quien para descubrir los
secretos o vulnerar la intimidad de otro se apodera de measajes de correo electrnico o
cualesquiera otros documentos. Aqu entendemos que. a tenor de lo que dispone el
artculo 26 de la Ley. se encuentra comprendido cualquier tipo de documento
electrnico.
En el mismo punto tambin se comprende la interceptacin de Us
comunicaciones, la utilizacin de artificios tcnicos de escucha, transmisin,
grabacin o reproduccin del sonido o de la imagen o de cualquier otra scftal de
www.FreeLibros.me
Ilmi_______________ CArtUVO 6. bl. MARCO IL'RlDtCO PC AlOtTORA INXKMAT1CA I
comunicacin. Pensamos que entre lo anterior se encuentra el pinchado de redes
nformtkas. Es importante advenir que en c a e punto no se hable para nada de datos
de carcter per-axial ni de datos automatizados, a los que se refiere el mismo articulo
t e punto siguiente, sino a secretos y a vulneracin de la intimidad en general.
El punto 2 del artculo se refiere especficamente a datos de carcter personal
pero abarcando no slo como actualmente hace la LORTAD. los archivos
form ticos, electrnicos o telemticos, sino tambin los archivos convencionales.
'Las mismas penas se impondrn a quien, sin estar autorizado, te apodere.
Mttice o modifique, en perjuicio de tercero, datos reservados de carcter personal o
faliar de otro que se hallen registrados en archivos o sopones informticos,
dectrnicos o telemticos, o en cualquier otro tipo de archivo o registro pblico o
priwtdo. Iguales penas se impondrn a quien sin estar autorizado acceda por
cualquier medio a los mismos y a quien los aliere o utilice en perjuicio del titular de
(m datos o de un tercero. "
En los puntos siguientes del artculo las penas se agravan si los datos se difunden,
revean o ceden. Asimismo se sanciona a quien conociendo su origen ilcito y sin
hsfcer tomado parte en el descubrimiento los difunda, revele o ceda.
El hecho de que quien cometa el delito sea el encargado o el responsable del
archivo agrava la pena.
Existen unas circunstancias agravantes que se dan en funcin de:
a) El c ar i ci a de los datos: ideologa, religin, creencias, salud, origen racial y
vida sexual.
b) Las circunstancias de la vctima: menor de edad o incapaz.
13 hecho de que se persiga un fin lucrativo igualmente eleva la pena
La condicin de autoridad o funcionario pblico agrava las penas dada la
situacin de pnvilegio en que acta <ari. 198).
Delitos contra el patrimonio
Los delitos contra el patrimonio y contra el orden socioeconmico figuran en el
Ttulo XIII.
www.FreeLibros.me
I.M AUDITORIA IsaOftMVTKA: UX E.VPOQ1T PKCUCO
Es importante, en el dominio en que nos nwem os. lo que se dice en el artictk
239. al tratar de la llaves falsas, al considerar llaves las taijeta*. magntica o
perforadas, y los mandos o instrumentos de apertura a distancia.
Asi las tarjetas magnticas sustradas a sus propietarios se considerarn Iluso
falsas, lis importante esta consideracin en relacin con el artculo 238 en que pan
calificar un delito de robo con fuer/a en las cosas es necesario que concurra algn de
varias circunstancias entre las que se encuentra el uso de l i a s falsas.
Entre los delitos contra el patrimonio se encuentran: la estafa informtica. I
defraudaciones, los daos informticos y la propiedad intelectual.
Estafas Informticas (ar t. 248.2)
La estafa se puede definir'' como el petjuicio patrimonial realizado con nimo de
lucro mediante cngaAo.
El engaito es elemento necesario de este delito. Consiste, segn CUELLO
CALN, en aprovecharse del erre provocado o mantenido por el agente en la peno
engatada.
Hasta la entrada en vigor del nuevo Cdigo Penal ha sido difcil recondurir
determinados fraudes informticos hacia la figura de la estafa debido a la inexistcnc
del elemento de engaito a una persona.
El punto 2 del artculo 248 dice: Tambin se consideran reos de estafa los tfiu.
con nimo de tuero, y valindose de alguna manipulacin informtica o artificio
semejante consigan la transferencia no consentida de cualquier activo patrimonial rn
perjuicio de tercero."
Defraudaciones (ar t. 256)
Se considera defraudacin el uso, sin consentimiento de su titular, de cualquier
equipo terminal de telecomunicacin.
*F.UOENK) CUELLO CALN. Otrnhu/Vnul // iPanrEipreial \ W n tepmol BokK
Barixlon*. 1972. p%. 914.
www.FreeLibros.me
L
I Dien informticos (art. 264.2)
Segn el articulo 264.2 se sanciona "al que por cualquier medio destruya, atiere.
' utilice o de cualquier otro modo daAe los datos, programas o documentos
dKtrfaicos ajenos contenidos en redes, sopones o sistemas informticos".
Entre esa* situaciones se pueden incluir tos famoso* ur os informtico*, bombas
tnicas y h a d e n .
Propiedad intelectual (art*. 270, 271 y 272)
lo* delito* relativos a la propiedad intelectual c industrial, al mercado y a los
cocBumidorc* *c contemplan en el Captulo IX.
"Articulo 270. Ser castigado con la pena de prisin de seis meses a dos aos o
i t mvka de seis a veinticuatro meses quien, con nimo de lucro y en perjuicio de
uretra reproduzca, plagie, distribuya o comunique pblicamente, en todo o en parte,
wa obra literaria, artstica o cientfica, o su transformacin, interpretacin o
ejecucin artstica fijada en cualquier tipo de soporte o comunicada a travs de
cualquier medio, sin la autorizacin de los titulares de los correspondientes derechos
e propiedad intelectual o de sus cesionarios.
Ui misma pena se impondr a quien intencionadamenle importe, exporte o
almacene ejemplares de dichas obras o producciones o ejecuciones sin la referida
_________________ CAPtn'IOft n. MARCO lURlDHt) IM-. I.A AUOfTOKlA INfOftMTICA 1)5
Ser castigada tambin con la misma pena la fabricacin, puesta en circulacin
) tenencia de cualquier medio especficamente destinado a facilitar la supresin no
orizada o la neutralizacin de cualquier disposit-o tcnico que se haya utilizado
para proteger programas de computador.
Es interesante advertir que no slo *c sanciona la fabricacin o puesta en
circuicin. sino la simple tenencia de un dispositivo para saltarse las llave* lgicas o
1 famosas mochilas".
Se elevan la* penas si el beneficio obtenido c* cuantioso o el darto causado es
gnve. y adems se inhabilita al autor del delito para el ejercicio de la profesin
itbckxud* con el delito cometido (art. 271).
Estos artculo* son. en sede penal, la respuesta a esa lacra de nuestro tiempo que
es b piratera informtica.
www.FreeLibros.me
Esta resulta muy daAina para el desarrollo informtico, pero entendemos que tk
con la amena/a de una sancin penal no se soluciona el problema. Es necesaria m
labor educativa, pues hasta que no hayamos convencido al infractor de que cumio
est copiando ilcgalmcnte un programa de computador ex como si estuviese rotado
la cartera a otra persona, difcilmente se hallar solucin. Insistimos: resulta vital ea
labor educativa.
Delitos de falsedades
Las falsedades se contemplan en el Titulo XVIII del Cdigo. La asimilacin qee I
hace el artculo 387 de las tarjetas de dbito y de crdito a la moneda es irnj I
importante de cara a la defensa de stas frente al ataque criminal de que estn scenij
objeto.
En el artculo 3S6 se sanciona su falsificacin y puesta en circulacin.
A la falsificacin de los documentos pblicos oficiales y mercantiles y de le#
despachos transmitidos por los servicios de telecomunicacin se dedica la Seccin 1*
del Captulo II de este Ttulo (aiu. 390 a 395 y 400). Como decamos al principio d
artculo 26 del Cdigo, al considerar documento todo soporte material que exprese o
incorpore datos con eficacia probatoria o cualquier tipo de relevancia jurdica percitc
que cualquier artculo del Cdigo que se refiera a un documento pueda ser aplicad) i
ste aunque sea electrnico.
6.6. LOS CONTRATOS INFORMTICOS
El contrato informtico, segn DAVARA RODRGUEZ1 e s aquel cuyo objeto
es un bien o un servicio informtico - o ambos- o que una de las prestaciones de lar
parte tenga por objeto ese bien o servicio informtico. ~
No exiMe un ntonerus clausus de los contratos informticos y pueden seguir
multiplicndose, lo que viene sucediendo en funcin de los avances tcnicos y de
mayor utilizacin por la sociedad.
Los contratos informtico* se suelen dividir en tres grandes grupos: hardware,
software y servicios.
Entendemos que esto divisin no responde ya a la realidad, y para una mayor
clarificacin del problema y una mayor homogeneidad esta clasificacin se debe
ampliar del siguiente modo:
I AtDfTOKlA IMOftUnCA: U\ fc.NFOQlt PHACTK~Q___________________________ t u
MIGUEL ANGEL DAVARA RODRGUEZ OwV liformto. Aruva*. Pw*>lou. I99J.
t*t 2H
www.FreeLibros.me
CAWTVhO liL MARCO IlIRlMCO Oti LA AUDTORAIXKMIMT1CA 137
1. Contratacin del hardware.
2. Contratacin del software.
3. Contratacin de datos.
4. Contratacin de servicio*.
5. Contratos complejos.
Hnvu el presente, el tercer grupo dedicado a los servicios venia siendo una
opcoe de cajn de sastre donde iban a parar todo* los contratos que no se referan
etpeoficamente al hardware o al software. Asf contemplbamos en ese grupo la
cocKrcialiiKtn de los datos y una serie de contratos de cierta complejidad que
comprendan en s mismos aspectos de hardware. de software y de servicios.
Contratacin del hardware
El objeto de la contratacin en esta clase de contratos es el hardware, o sea, la
pira fsica del computador y de sus equipos auxiliares.
Este tipo de contratos no suelen presentar problemas especficos. Los contratos
nis usuales son los siguientes:
a) Compraventa
b) Arrendamiento.
c) Arrendamiento financiero (leasing)
d) Mantenimiento.
Ccatratacin del software
Ya nos hemos referido a esta categora de bienes anteriormente y a sus especiales
peculiaridades. Los contratos ms comentes son los siguientes:
Desarrollo de software
Se trata del caso en que una persona fsica, un colectivo o una empresa crean un
teft**re especfico, a medida para otro. El tipo de contrato puede ser: arrendamiento
de servicio o de obra, mercantil o laboral.
Ucencia de uso
Ei el contrato en virtud del cual el titular de los derechos de explotacin de un
projranu de computador autoriza a otro a utilizar el programa, conservando el cedente
www.FreeLibros.me
IU MlHTOftlA INKIWIMK'A I VHSHJtJtl. fHACTKO
la propiedad del mismo. Esta autori*tkm, salvo pacto en contrario, se entiende de
carcter no exclu vo e intransfcriMc.
Adaptacin de un software producto
Se trata le la contratacin de una licencia de uso de un producto estndar q* j
habr que adaptar a las necesidades del usuario.
Mantenimiento
El contrato de mantenimiento, en principio, tiene por objeto corregir cualquo
error detectado en los programas fuera del periodo de garanta. Se consideran vina
tipos de mantenimiento: correctivo, de adaptacin, perfectivo y preventivo.
Garanta de acceso al cdigo fuente
Es aquel que tiene por objeto garantizar al usuario el acceso a un programa foeMt
en el caso de que desaparezca la empresa titular de los derechos de propoeda]
intelectual. Consiste en el depsito del programa fuente en un fedatario pblico, qx
k> custodia, por si en el futuro es preciso acceder al mismo.
Contratacin de datos
El valor de la informacin en esa sociedad del saber a la que nos referamos aetej
aumenta cada da. La comercializacin de las bases de dalos es ya muy importante, y
la apertura de esav autopistas de la informacin, de las que tanto se escribe, har erees
cxponencialmente esc mercado.
I-os principales contratos son los siguientes:
Distribucin de la informacin
El contrato de distribucin, segn PEZ MA* consiste en le
comercializacin de la base de datos, durante un cierto perodo de tiempo a cambio
de un precio, lo que origina la obligacin por p<irte del titular de la base de aportar
los datos que deben hacerse accesibles a los futuros usuarios, en una forma adecuado
para su tratamiento por el equipo informtico del distribuidor, y ceder a este ltimo.
' JORGE PEZ MA$. Bases de date furUiem. Cmdoc CSIC. MiilnJ. 1994. pig. ISfe
www.FreeLibros.me
CAPtTtLO fcLStAKCO RHItHCO D IA AI;HT<il AINIOKMT1CA IW
t* eiclusiva o compartidos con otros distribuidores, los derechos de explotacin que
prt\ramente haya adquirido por cesin o transmisin de los autores de las obras ",
Suministro de informacin
Mediante este contrato el usuario puede acceder, siempre que k> precise, a Us
toses de datos del distribuidor.
Es un contrato por el que el titular propietario de una base de datos vende a otro
ni copia de sta con b posibilidad de que el adquirentc. a su vez. pueda no slo
siria uno mezclarla con otras propias para despus comerciar con ellas. Todo ello,
por wpuesto, respetando lo dispuesto en la Ley 5/1992.
Es un caso parecido al a menor salvo que slo se permite el uso por el cesionario
de la base sin que se le permita la transmisin posterior.
Conpra de etiquetas
En este caso no se permite al comprador la reproduccin de las etiquetas y s su
empleo para envos por correo.
Contratacin de servicios
Los contratos de servicios informticos ms importantes son los siguientes:
- Consultara informtica.
- Auditoria informtica.
- Formacin.
- Seguridad informtica.
- Contratacin de personal informtica.
- Instalacin.
- Comunicaciones.
- Seguros.
- Responsabilidad civil.
Compra
Cesin
www.FreeLibros.me
Contrato* complejo*
Lo* contratos complejos son aquello* que contemplan lo* m'temas inforraidet
como un todo incorporando al objeto del mismo, tanto el hardware como el to/ruarj
alguno* servicios determinados. Lo* mi* usuales son lo* siguiente*: i)
Contratacin global o parcial de t e n i d o s informticos (outsourcing)
Se trata de la subcontratackSn de lodo o de parte del trabajo informtico media.,
un contrato con una emproa externa que se integra en la estrategia de la empraa;
bu*ca disertar una solucin a los problema* existente*.
Contrato de respaldo (back-up)
Su finalidad es asegurar el mantenimiento de la actividad empresarial en el ciso
de que circunstancias prevista* pero inevitable* impidan que siga funcionando d
sistema informtico.
Contrato de l!a\e en mano (tum-key-packagc)
n esta dase de contratos el proveedor se compromete a entregar el siuen*
creado donde el cliente le indique y asume la responsabilidad total de disrio,
realizacin, prueba*, integracin y adaptacin al enlomo informtico del ctenle uro
lgico como fsico.
Contrato de suministro de energa informtica
Como se tala GETE-ALONSO y CALERA* es: aquel mediante el que una pont
- e l suministrador- poseedor de una unidad central que permanece en sus lcala
pone a disposicin del usuario la misma, lo que le permite el acceso a lot 'softxare',
a cambio de un precio ".
* MARI A DEL CARMIN GETE-ALONSO >CALERA. La (oainiiaeto tn mafrita
La !<>ntm JOOS. NUdJ. nu>o 1992. plg 10
www.FreeLibros.me
8.7. EL INTERCAMBIO ELECTRNICO DE DATOS
En la poca en que vivimos todas las organizaciones, tanto privad** como
pfttkas. deben mejorar su productividad examinando los diferentes factores que
pueden influir en los resultados.
Entre estos factor se encuentran algunos de especial importancia como la
ftduccin de coste, la agilizacin administrativa y la eliminacin de errores. Etfo se
foede mejorar eliminando intermediarios entre el origen y el destino de ios data*.
Como fruto de esta necesidad de comunicarse con rapidez y seguridad en el
mando actual nace el Intercambio Electrnico de Datos conocido intemacionalmcnte
por sus siglas en ingls EDI (Electronic Data Interehange) que es un sistema
informtico que permite las transacciones comerciales y administrativas directas a
travs del computador sin necesidad de realizar ningn trmite. Significa ahorro de
betapo y de papel.
Podemos definir el EDI como el intercambio de datos en un formato normalizado
ire los sistemas informtico de quienes participan en transacciones comerciales o
faiafotrativas.
Un menta de este tipo ha de cumplir tres requisitos bsicos:
- El intercambio se ha de realizar por medios electrnicos.
- El formato tiene que estar formalizado.
- La conexin ha de ser de computador a computador.
En un sistema EDI son las aplicaciones informticas de las empresas o de las
Administraciones Pblicas las que "dialogan" entre si sin necesidad de intervencin
besana.
Significa, y esto es lo que nos interesa, el reemplazo del papel como elemento
nnuncial de la vinculacin y comunicacin ncgocial por un soporte informtico.
Las razones que se pueden esgrimir para la implantacin del EDI son:
- Precisin.
- Velocidad.
- Ahorro.
- Beneficios tangibles.
- Satisfaccin del diente.
www.FreeLibros.me
u : iM'WTOKlA INFORMATICA: UN F.VFOQtlE F*CTKt>
FJ F.DI es aplicable en el comercio, la industria, el trasporte > las diertski
Administraciones Pblicas.
La aceptacin legal del EDI es un tema de suma importmeia, sin dixla detris de
la organizacin del mismo subyace un entendimiento entre la* partes que internen
que estn dispuestas a aceptar una serie de obligaciones y de renunciar a cima
derechos a efectos del buen funcionamiento del sistema.
listo derechos y obligaciones se plasman en los correspondientes contratos: d
contrato de intercambio de informacin y el contrato con las compartas ic
comunicaciones.
6.8. LA TRANSFERENCIA ELECTRNICA DE FONDOS
Una Transferencia Electrnica de Fondos (a partir de ahora THF> puede significa;
muchas cosas. Si consideramos un concepto amplio de la mi-.ma puede abarcar iota
tipo de envos de fondos que se realicen por medios electrnicos.
Se puede definir como la transferencia de fondos que de forma automtica a
ejecutada inmediata y simultneamente a la orden dada por el titular de la coca
bancaria por medio de un sistema electrnico.
Podemos considerar que existen cuatro tipos principalci de TEF que han id
apareciendo en el tiempo, consisen y son operativos en la actuilidad:
- Transferencias entre entidades financieras.
- Transferencias entre otras organizaciones y las entidades financieras.
H! usuario colabora y. mediante las tarjetas de plstico y los cajera
automticos, obtiene una serie de servicios bancarios.
- Se potencia el sistema con terminales en los puntos c venta y el banco en
casa.
Por su gran trascendencia social nos referiremos a continuacin al fenmeno de
las tarjetas de plstico.
Las tarjetas de plstico o tarjetas como medio de pago, por ahora fas
denominaremos as. con su continuo y ascendente desarrollo, se estn conviniendo en
un medio de pago cada vez ms importante en el trfico mercaitil sustituyendo poco
poco al dinero papel y el cheque.
La Unin Europea siempre sensible a aquellos problemas que puedan tena
alguna trascendencia de cara a la creacin del mercado tilico y asimismo a la
constitucin de la Europa de los ciudadanos, ha dedicado una Comunicacin, d a
www.FreeLibros.me
CAP<niL06 H. .UAKCOJVKlDICO DE LA AUWTOKlA IStOHMTKA IO
Rccccxndacioncs y una Directiva a los sistemas de pago electrnico, su
aomufancin e intcropcrabilidad.
Aunque existen notas comunes entre los diversos tipos de tarjetas. la
fereo: acin entre ellas viene dada por su contenido contractual (derechos y
Mipciones) con independencia de la denominacin que les otorgue la entidad
cstsora.
Tarjetas propiamente de crdito
Son aquellas que. como su nombre indica, proporcionan un crdito al titular de la
Tarjetas de dbito
Emitidas por Entidades de Crdito, permiten a sus usuarios realizar compras en
los establecimientos comerciales y a la vez. ofrecen una gama de operaciones
tacanas. En principio no estn limitadas a un solo establecimiento comercial
vinculudo necesariamente la tarjeta a una cuenta corriente bancaria.
Estos dos tipos de tarjetas nos permiten utilizar los cajeros automticos y los
terminales puntos de venta.
El Cdigo Europeo de Buena Conducta en materia de pago electrnico contenido
ea la Recomendacin de 8 de diciembre de 1987 respecto a los contratos dice:
' a l Los contratos celebrados entre los emisores o su representante y los
prestadores o los consumidores revestirn la forma escrita y debern ser
objeto de una peticin previa. Definirn con precisin las condiciones
genrate y etpeeifieos J et acuerdo.
b) Se redactarn en la/s lengua/s oficiales del Estado miembro en <fue se haya
celebrado.
c) Cualquier tari faetn del baremo de cargas se fijar con transparencia te
niendo en cuenta tas cargas y riesgos reales y no supondr ningn obstculo
a la Ubre competencia.
d) Todas las condiciones, siempre que sean conforme a la Ley. sern
libremente negociables y se establecern claramente en el contrato.
www.FreeLibros.me
e t Ijis condiciones especificas de rescisin del contrato se precisarn y cok*
mearn a las partes de la celebracin del contrato."
En sntesis !o que se hosca en esta Recomendacin transparencia, y que didas a
las condiciones en que se establecen estos contratos, la pane ms fuerte no ulp I
beneficiada.
En el mundo empresarial la implantacin de esta* nuevas tecnologas por paite de
las Entidades Financieras ha favorecido una evolucin histrica en el concepto de I
que era la tesorera en las empresas, que ha pasado de ser una tesorera porametfc
administrativa a ser una tesorera de gestin que puede y debe generar beneficios por
s misma.
El conocimiento inmediato de posiciones y operaciones y la transferencia ca
instantnea permite reducir provisiones y al mismo tiempo situar el dinero en el lupr
donde ms produzca.
6.9. LA CONTRATACIN ELECTRNICA
En una primera aproximacin al tema por contratacin electrnica o contraucia
por medios electrnicos se puede entender todo intercambio electrnico de d<M o
documentos cuyo objeto sea la contratacin.
Sin embargo, en todos ellos no se pactan las clusulas del contrato en el milite
momento del intercambio electrnico. As vemos en los epgrafes anteriores que un
el intercambio electrnico de datos (EDI) como la transferencia electrnica de forado*
(TEF) son el resultado de un macrocontrato anterior realizado por el siuesu
tradicional en el que las partes han fijado los trminos del mismo y en el que murta
veces lo que hacen es renunciar a una serie de posibles derechos.
En este epgrafe nos referiremos a otro tipo de contratacin electrnica: aqaellt
en la que el contrato se establece en el momento de la transaccin electrnica sin que
se tuya |a.Ia Iu nuda mxcvuiaincmc con anterioridad.
M. SCHAUS" dice que en la formacin del contrato estas nuevas tecnologa
influyen desde tres pticas diferentes:
- Desde el grado de inmediatez.
www.FreeLibros.me
CArtnilOfc EL MARCO JURDICO DE LA AUttTORlA INFORMTICA MS
- Desde la calidad del dilogo.
- Desc la seguridad.
Desde ri grado de inmediatez
En nuestro derecho existe disparidad de criterios entre el Cdigo Civil y el de
Comercio a la hora de determinar en qu momento se perfecciona el contrato.
El articulo 1262 del Cdigo Civil dice: "El consentimiento se manifiesta por el
marno de la oferta y de la aceptacin sobre la cosa v la causa que han de constituir
rl contrato, l a aceptacin hecha por cana no obliga al que hizo la o):na sino desde
f K lleg a su conocimiento. El contrato, en tal caso, se presume celebrado en el
Ufxr en qve se hizo la ofena. ~
Por su pane en el artculo 54 del Cdigo de Comercio selala: "L01 contratos que
u ctlrbren por correspondencia quedarn perfeccionados cuando Us contratantes
hieren aceptado su propuesta. "
Desde la calidad del dilogo
Entre los diferentes procedimientos existentes hoy da el que mayx se asemeja a
na dilogo es la videoconferencia. En ella lo interlocutores pueden preciar no slo
d contenido del mensaje, sino tambin la entonacin, gestos y silencios
El telfono ofrece idnticas posibilidades excepto que los iivcriocutores no
{don verse.
Desde la seguridad
Desde el punto de vista jurdico el concepto de seguridad se refiere a la
Beatificacin de la identidad del usuario y a las huellas que deja la transaccin y que
fuedee ser utilizadas como prueba.
Vemos que del grado del cumplimiento de estos tres aspectos, admitiendo que se
dn en la contratacin electrnica, depende en gran pone su inclusin como una nueva
forma de contratacin, con sus peculiaridades, pero dentro de uiu ortodoxia
costra: tual.
A fin de comprobar si existe un acuerdo de voluntades cMre las partes
tratantes a los efectos del art. 1261 del Cdigo Civil es importarte clasificar los
www.FreeLibros.me
diferente), tipos de contratacin electrnica que se pueden presen lar en funcin de
cmo acta la parte contratante emisora y la pane contraame receptora. Pm
simplificar consideraremos que ambas parles actan de la misma forma, aunque ro
supondra ningn problema que esto no fuese asf.
Sin desear ser exhaustivos consideramos que se pueden presentar los siguientes
casos:
a) Comunicacin entre dos computadores personales.
b) Comunicacin entre varios computadores personales a travs de un Centro
de Compensacin.
c) Comunicacin entre dos sistemas informticos.
d) Comunicacin entre varios sistemas informticos mediante un Centro de
Compensacin.
e) Comunicacin entre dos Sistemas Expertos.
I x casos b) y d) simplemente los apuntamos para dejar constancia de sa
existencia.
En los casos a) y b) el computador se limita a transferir una informacin qse
contiene una expresin de voluntad contractual.
En principio, salvo que existan problemas de autentificacin a los que n a
referiremos ms adelante, entendemos que esta voluntad transmitida forma parte de ur
negocio jurdico vlido.
El problema se complica en los casos c) y d) cuando los que estn ea
comunicacin son dos sistemas informticos (computadores) y lo que se transmite r
se limita a ser slo una informacin que incorpora una voluntad contractual, sino que
sta puede, venir alterada por una serie de aspectos que incorpora el propio sistema
informtico.
Problemas que se nos pueden presentar en la contratacin electrnica son:
identidad de los contratantes, extensin o no de este tipo de contratacin a todos los
contratos, cundo y dnde se concluye el contrato?, autenticacin, factor tiempo y
confidencialidad.
Los avances tecnolgicos y la adaptacin del Derecho a estas nuevas situaciocw
deben superar los obstculos que la generalizacin de una forma de contratacin
presenta.
www.FreeLibros.me
6.10. EL DOCUMENTO ELECTRNICO
E< comente identificar documento con soporte papel y escritura, pero esto no
skmffc es as,
Pj/a ROUANET MOSCARD" un documento es: "Un objeto normalmente
atrito en el que. por unto, se plasma algo mediante letras u otros signos trazados o
impresos sobre el papel u otra superficie, pero que e.xcepcionalmente puede no ser
escrito: y et un objeto en el que puede representarse un hecho natural o un acuerdo
de wiiuntades (hecho wluntario. arte o negocio) o ser el resultado de una actividad o
de un procedimiento."
PRIETO CASTRO define el documento como el objeto o materia en que consta
por escrito una declaracin de voluntad o de conocimiento o cualquier expresin del
pensamiento, segn resulta de los preceptos de la legislacin positiva.
Los conceptos anteriores tienen en comn que hablan de un escrito, aunque el
pnmero admite la exccpcionalidad de que no lo sea.
Escribir, segn el Diccionario de la lengua Espaola, es: Representar lar
palabras o las ideas con letras u otros signos trazados en papel u otra superficie.
Por tanto, el documento no ha de ser siempre papel, sino que puede ser otro
objeto o materia y la representacin de las palabras o las ideas puede hacerse por otros
signos distintos de las letras.
Dichos signos pueden ser la codificacin binaria y la superficie distinta del papel
puede ser un soporte informtico.
De todo ello podemos deducir que el documento electrnico pertenece a la
categora de los documentos en sentido jurdico.
El problema para una aceptacin generalizada de este tipo de documento puede
M v en la ncccsidod de la sefuridud <lc que la traduccin d*l l-inguaj a mquina i un
lenguaje natural sea la correcta y no en la propia esencia del documento.
Coincidimos con DAVARA RODRGUEZ cuando dice que el problema de la
firma que conlleva, en muchos casos, la autenticacin del documento, puede ser. sin
Ada, el caballo de batalla para una total aceptacin a efectos probatorios de este tipo
de documentos.
JAVIER ROCANETI MOSCARD Vaheprobatoripnxnat Mi vmm iqfiuiwilia.
www.FreeLibros.me
Un documento escrito csti compuesto de datos y de impresin en un soporte,
impresin comprende, la mayora de la* veces, la representacin de un hecho y h
firma.
La firma suele tener tres funciones: idcnliftcaliva. declarativa y probatoria.
Esto significa que sirve para identificar quin es el autor fcl documento, declare
que el autor de la firma asume el contenido del mismo y permitir verificar si el ana
de la firma es efectivamente aquel que ha sido identificado cuno tal en el cato de h
propia firma.
Notas importantes de la firma son la habitualidad y ser autgrafa u olgraf*
puesta de puo y letra por el firmante.
Hasta el presente, ste ha sido uno de los principales sistemas de autentificacita,
aunque no es el nico; pero en el futuro tendr que ser sustituido en nmeros
ocasiones. I.os avances tecnolgicos estn obligando a que la firma manuscrita wa
sustituida por otro sistema, en este caso electrnico.
Una firma digital o electrnica es una seal digital representada por una cabra
de bits. Este tipo de firma ha de ser secreta, fcil de producir y de reconocer y difcil
de falsificar.
En el caso de la firma manuscrita el fedatario pblico da k de la autenticidad dd
documento. El empleo de la firma digital obliga a la aparicin de una nueva figura: d
fedatario electrnico, liste ha de ser capaz de verificar la autenticidad de lot
documentos que circulan a travs de las lineas de comunicaciones.
En cualquier caso los avances tecnolgicos que se estn pr xluciendo quizs en w
futuro cercano hagan aconsejable darle un carcter autnomo a este tipo de prueba coi
todos los problemas que esto pueda conllevar.
Das ara Rodrguez, Miguel ngel. Derecho Informtico. Aramadi. Pamplona. 1993.
Pez Marti. Jorge. Bases de Datos jur dica. Cinoc. CSIC. Madrid. 1994.
Peso Navarro. Emilio del y Ramos Gonzlez. Miguel ngel. Confidencialidad y
seguridad de la informacin: la IXRTAD y sus implicacitnes socioeconmicas.
Daz de Santos. Madrid. 1994,
www.FreeLibros.me
CH*_______________ CAPflVLQ6:O.MAItCO)tldD>COI)HI.A AUDrTOtU*P<TOKMAHCA l-W
Ptso Navarro, Emilio <lel: Ramos Gonzlez, Miguel ngel; Fernndez Snchez.
Carlos Manuel e Ignoto Azaustre, Mara Jos. Manual de Dictmenes y peritajes
informticos Da/de Sanios Madrid. 1995.
ftv> Navarro. Emilio del y Ramos Gonzlez. Miguel ngel. LORIAD: Reglamento
Je Seguridad. Daz de Sanios. Madrid. 1999.
Pe Navarro, Emilio del. La Ley de Proteccin de Datos. La nuevo LORTAD. Daz
de Sanios. Madrid. 2000.
1. Cul es la diferencia entre Informtica Jurdica y Derecho Informtico?
2. Cules son los principios de la LOPD?
3. Cules son los derechos patrimoniales en el derecho de autor?
4. Qu es U multimedia?
5. Qu es una estafa informtica?
6. Realice una clasificacin de las contratos informticos.
7. Qu e l EDI?
8. Cul es la diferencia entre una tarjeta de crdito y una de dbito?
9. Cul es la diferencia entre contratacin informtica y contratacin
electrnica?
10. Qu es un documento electrnico?
www.FreeLibros.me
CAPTULO 7
DEONTOLOGA DEL AUDITOR
________INFORMTICO Y CDIGOS TICOS
Jorge Pez Mu
7.1. INTRODUCCIN
En el denominado "nuevo orden mundial". caracterizado por unas directrices
cmicas, en permanente cambio, estrechamente vinculada a lo* continuo* avances
tecnolgico*, tratar tema* relacionado* con la dcoruotogfa. la tica o la moral, implica
necesariamente hacer un alto en el camino, dejar al lado las mltiple* y a menudo
abnjrdat motivaciones econmico-profesionales y. sin las premuras derivadas del
ritmo de vida que aparentemente esta sociedad impone, reposadamente, con sosiego,
ajercrwe en el mundo interno subjetivo de la conciencia para observar la concepcin
himiBiuica que. como persona*, sta pone de manifiesto como mximo exponente de
b propia y autntica identidad.
Una vez realizada dicha prospeccin interna se estar en condicione* de. dada la
sriiueca naturaleza social del hombre, poder ati*bar en el mundo extemo, donde ste
realiza *u convivencia, observando lo* valores morales imperantes, representativo* del
pulo de evolucin social de la comunidad que lo* ha asumido como propias.
La primera observacin debera inducir a reflexionar obce lo* aspectos ms
(Mimo* ligados a la vida interior de cada cual (creencias, sentimientos, finalidad
Ideolgica, proyecto de vida. ele.), que globalmcntc considerados han de poner de
aanifiesto la propia e intrnseca realidad individualizada, es decir, la genuina
identidad personal.
www.FreeLibros.me
I AUDrTCHUA tNKHtMTICA: l~N MWOQU. PBAtTICO
Esta identidad. inherente a toda persona, debera estar sustentada en l
principios morales socialmcntc acusados y preservado a lo largo de los tiemp*
principios que. provenientes del espritu y susceptibles, en virtud del libre albedro, de
servir o no de gua a la conducta exteriormente manifestida de los individuas,
permiten diferenciar a stos del resto de seres vivos, que caiecen de esa libert de
conciencia.
Si bien la moral individual est enraizada en forma rica y personalizad, b
necesidad de relacionarse y convivir unos individuos con otros en comunidad exije
una cierta adaptacin de las diferentes concepciones morales individuales a utas
determinadas normas ticas, socialmente asumidas por los miembros integrantes de b
comunidad, que facilitan una convivencia pacfica y cnriquecedora comn.
Estas normas sociales, reflejo de la idiosincrasia de las diferentes comunidades,
ponen de manifiesto los usos y costumbres que regulan mcdi.icainentc las rclackocs
entre las personas y grupos que las conforman, considerndose, sin precisar w
normalizacin positiva, implcitamente aceptadas por todos, representativas de te
principios sociales bsteos reguladores de dichas relaciones (buena fe, conest
respeto, solidaridad, etc.).
Conviene, en este punto de la reflexin, resaltar el hecha de que los pri napas
morales, en contraposicin con los preceptos normativos materiales, deben so
asumidos individual y colectivamente como propios en feema voluntaria y coi
independencia de que se haya, o no. establecido expresamente la obligacin nuterul
de cumplirlos, ayudando a configurar una concepcin tica interna de lo que est bie
y lo que est mal que constituye la porte fundamental del patrimonio espiritual de ht
personas y grupos integrantes de la sociedad que los aceptan cano suyos.
Es precisamente esa caracterstica de voluntariedad, de ntimo convencimiento de
su idoneidad, generada por una previa sensibilizacin pcrsociU y colectiva sobre
validez para el cumplimiento de lo* fine* Ideolgicos de los individuos y sociedad
que k>s asumen, lo que configura a los principios morales con fuente primordial del
derecho positivo y eje genuino y autntico de la evolucin social de la humanidad.
Junto a estas normas ticas inmateriales, coexisten otras positivas que regulan, es
forma coactiva, los deberes y derechos de los ciudadanos integrado* en cadi
colectividad. Esta* normas positivas, elaboradas en virtud dd "contrato social" que
los ciudadanos implcitamente suscriben con sus gobernantes, se establecen cono
reguladores de aquellos aspectos que se considera deben esta- clara y expresa torra:
estipulados, a fin de determinar los prindpios legales que. de Migado cumpl mica,
regulan los deberes y derechos que rigen en la sociedad y que. por ende, pueden ser
imperativamente exigible* a cada uno de sus miembros.
www.FreeLibros.me
ca<ti ,u ) t dkin-tomxJ a oi auixtow intohmAuco y ccxgos Eticos t
U complejidad de las relaciones colectivas, la proleccin de 1 ms dbiles
contra los abusos de los ms fu enes y la necesidad de establecer unas normas de
comportamiento precisas que. conocidas por todos, sirvan de cauce idneo para la
otoctn efectiva de los posibles conflictos personales qoc puedan generarse en el seno
de la comunidad, ha fundamentado el establecimiento y legitimidad de dichos
principios legales, si bien se exige de estos que estn imbuidos por los principios
morales, colectivamente asumidos, y que respeten los derechos humanos
inKmacionalmcntc reconocidos como conformadores del derecho mundial.
Ante esta dicotoma de normas morales y materiales, k cdigos deontolgicos
presentan un cieno punto de acercamiento y encuentro entre ambas.
Estos cdigos toman, de las normas morales, su faceta intrnsecamente tica, y
reflejan el sentir mayoritaro de los profesionales a los que san dirigidos, de lo que se
considera como un adecuado comportamiento tico-profesional, sirviendo de
reprobacin moral de aquellas conductas contrarias a lo regulado en los mismos.
Debe tenerse en cuenta que lodo cdigo deontolgko. entendido como conjunto
de preceptos que establecen los deberes exigibles a aquellos profesionales que
ejerciten una determinada actividad, tiene como finalidad ideolgico la de incidir en
m comportamientos profesionales estimulando que stos se ajusten a determinados
prKiptos morales que deben serv irles de gua.
El hecho de que los cdigos deontolgicos deban ser elaborados por los propios
profesionales en el marco de los colegios, asociaciones o agrupaciones que los
representen, y asumidos en forma generalizada como forma de autorregulacin tica
de va actividad, permite que stos incidan en algunos aspectos -inaplicables al resto de
odadaaos. ya que fuera de su especfico campo de aplicacin seran ineficaces e
imperantes . sobre los que. en beneficio de la propia comunidad, establecen unas
dettiminadas pautas 1c conduca, a ftn Ve evitar concuWai. por simple
desconocimiento o apata tico intelectual, derechos de terceras personas.
Los principios contenidos en los cdigos deontolgicos exigen asimismo, por su
opecificidad moral, que k propios profesionales coadyuven a su difusin mostrando
u comportamiento conforme a los mismos como medio de sensibilizacin y mejora
del prestigio y calidad de su ofido.
A este respecto los auditores han de ser conscientes, dada su alta especializacin
ea un campo habitualmente desconocido por amplios sectores sociales, de la
ctobpcfi que moral mente deben asumir respecto a advertir a la sociedad sobre los
no jos y dependencias que la informtica puede provocar y sobre las medidas que
deben adoptarse para prevenirlos, debiendo servir los cdigos deontolgicos de
www.FreeLibros.me
m auditoria inkwmuca: un kwwhîe Kcnco
ejemplo y cauce idneo para transmitir. al resto de la sociedad, sin singulares y
especficas percepciones, inquietudes y autolimitaciones.
Debe tenerse muy presente que si bien los sistemas informticos, sometidas a
auditoras, son un mero instrumento al servicio de la poltica empresarial, el estudio de
su estructura, y an ms el acceso a la informacin almacenada en su seno, perra* i
l< auditores obtener una visin y conocimiento tanto de la situacin global como de
determinadas facetas de la empresa o sus empleados, en ciertos casos superior a las de
los propios auditados, razn por la cual el sometimiento de los primeros a unos, a
apariencia innecesariamente rgidos y detallados principios dcontolgicos propios de
su oficio, resulta de obligada instauracin en favor de los segundos, aun cuando estos
ltimos desconozcan tan siquiera la existencia de los mismos y se sorprendan de
determinadas actitudes de los auditores acordes con ellos.
Los cdigos dcontolgicos toman asimismo, de las normas materiales, las faceos
reguladores de determinados comportamientos interpersonales como salvaguardia de
derechos individuales y colectivos susceptibles de proteccin institucional, sirviendo
de cauce para coartar, en los mbitos profesionales correspondientes, aquellas
conducta contrarias a lo regulado en sus preceptos mediante la imposicin de
sanciones, contempladas stas desde una perspectiva disciplinaria merameme
profesional.
Conviene en todo caso matizar el alcance coercitivo de las normas deontotgicas.
Ya se ha indicado anteriormente que toda persona debe ccftir su conducta a im
propias normas morales internas, consustanciales a su identidad, y aceptar la
imposicin de unas normas coactivas externas, impuestas como medio de proteccite
de la sociedad en la que se encuentra integrada.
Sin embargo, esus ltimas normas no pueden regular, con total exhaustividad. d
complejo mundo de relaciones interpersonales y an menos profundizar en aspectt
puntuales que slo afectan a un reducido grupo de individuos o actividades, so pena de
constituir un corpus jurdico conformado por un nmero tan elevado de preceptos que,
por su gigantismo, resultara del todo punto inasumiMe por la sociedad y. por ende,
intil e inaplicable.
Los cdigos dcontolgicos. por el contraro, al restringir su mbito subjetivo a
determinados grupos de personas, los profesionales de reas concretas, y acotar su
mbito temtico a sus especficos campos de actividad, permiten, sin causar perjuk
ni discriminacin al resto de integrantes de la comunidad, establecer, para el ejercicio
de determinadas actividades, unos mnimos estndares de comportamiento tico y
tcnico configurad ores, a tenor del estado de la ciencia, de la moral colectiva dd
grupo al que van dirigidos.
www.FreeLibros.me
mu____ CAPftVlO r.DtxmOUXUA DEL AUTHTO IKIOfcMATICO Y CCTOOS lricos 155
Hay que tener presente que. mediante el ejercicio profesional, se pone de
narifiesto una de las facetas de la personalidad que ms incide en la valoracin social
4c la actividad desarrollada por las personas a travs de la realizacin de su trabajo.
Ciertamente existe un numeroso conjunto de precepto* incluidos en normas
metales provenientes del Derecho Constitucional. Civil, Laboral. Mercantil, etc..
regulan una grao variedad de actos relacionados con la actividad profesional, pero
os all de dichos preceptos, y como fundamento de los mismos, debe existir una
*acnl profesional" que sirva de gua pora determinar cundo un determinado
comportamiento profesional es bueno o nulo (morulmente admisible y beneficioso o
ramente inadmisible y perjudicial).
La coercibilidad de los cdigos dcontolgicos debe, por unto, constreirse a la
posicin de medidas disciplinarias, correctoras de comportamientos contrarios a lo
tipulado en los mismos, que pongan de manifiesto el rechazo, por el colectivo
profesional correspondiente, de aquellas conductas profesionales indignas.
E an medidas suelen estar constituidas por apercibimientos, reprensiones
((Nicas o privadas y. en los casos de grave o reiterado incumplimiento, exclusiones
telferajes o definitivas del infractor, del gmpo profesional que las ha asumido como
probas.
Con esta perspectiva se hace preciso, en el momento actual, ir planteando, de
forma crtica, la necesidad de sensibilizar a los auditores informticos, integrados en
ta sector profesional dotado de una cierta autonoma y coo unas caractersticas muy
particulares, de la conveniencia de reflexionar sobre la dualidad de facetas
alegradoras de su comportamiento profesional (comportamiento tcnico cualificado y
cempwtamiento tico) a fin de eliminar el error de creer que su actividad debe
vibrarse nicamente en funcin de unos mnimos estndares tcnicos de calidad y
fiabilidad obviando los condicionantes ticos que. en caso de conflicto con
ooodicionantes tcnicos o de cualquier otra ndole (cientficos, econmicos,
procrccioculcs. empresariales, etc.), deben ser considerados como prevalentes.
Antes de entrar en una aproximacin de los diferentes principios deontolgicos
qx normalmente ve asocian a la actividad de los auditores, no est de ms recalcar
qec en tanto en cuanto stos no estn plenamente asumidos, como configuradores de
la dimensin tica de su profesin, sera preferible apelar a los comportamientos
Bonles individuales, como medio de ir incidiendo en la sedimentacin de
caxepciooes humansticas en el entorno profesional en que se desenvuelven, a
pretender imponer unilateralmente, a travs de agrupaciones, sociedades o colegios
profesiceoies. dichos principios.
www.FreeLibros.me
7.2. PRINCIPIOS DEONTOLGICOS APLICABLES A LOS
AUDITORES INFORMTICOS
1.0* principio deontolgicos aplicables a lo auditores deben ncccsariamo*
estar en consonancia con los del resto de profesionales y especialmente con 1 4
aquellos cuya actividad presente mayores concomitancias con la de la auditoria, rub
por la cual, en equivalencia con los principio deontolgicos adoptado por difertou
colegios y asociaciones profesionales de nuestro entorno socio-cultural, y sin ncrodt
exhaustividad. se pueden indicar como bsicos, en un orden meramente alfabftkoy
ajeno, por tanto, a cualquier ponderacin de importancia, los siguientes:
7.2.1. Principio de beneficio del auditado
FJ auditor deber ver cmo se puede conseguir la mxima eficacia y rentabibM
de los medios informticos de la empresa auditada, estando obligado a proco*
recomendaciones acerca del reforzamiento del sistema y el estudio de las solucxaa
ms idneas segn los problemas detectado en el sistema informtico de esta ltm.
siempre y cuando las soluciones que se adopten no violen la ley ni los principia
ticos de las normas deontolgicas.
F.n ningn caso est justificado que realice su trabajo el prisma del fnopc
beneficio, sino que por el contrario su actividad debe estar en todo momento orientadi
a lograr el mximo provecho de su cliente.
Cualquier actitud que anteponga intereses personales del auditor a los dd
auditado deber considerarse como no tica, ya que limitar necesariamente la aptitud
del primero para prestar al segundo toda la ayuda que. a tenor de su capacitaos,
puede y debe aportarle.
Para garantizar tanto el beneficio del auditado como la necesaria independeec
del auditor, este ltimo deber evitar estar ligado en cualquier forma, a intereses de
determinadas marcas, productos o equipos compatibles con los de su cliente, debiente
eludir hacer comparaciones, entre el sistema o equipos del auditado con los de otro*
fabricantes, cuando las mismas slo se realicen coa la intencin de influir en I
decisiones de su cliente y provocar un cambio hacia esos otros sistemas o productos
bien por intereses econmicos particulares del auditor o bien por el mayor
conocimiento que tenga de ellos o desee tener.
La adaptacin del auditor al sistema del auditado debe implicar una cicru
simbiosis con el mismo, a fin de adquirir un conocimiento pormenorizado de %m
caractersticas intrnsecas.
www.FreeLibros.me
c* r f n : io r i)i :on' h>ixx;U m i . auditor informtico y cotcos ftnros i >t
A partir de la adquisicin de dicho conocimiento, y con el grado de
independencia indicado anteriormente. estar en condiciones de indicar, si lo
considerase pertinente en forma globali/ada o en forma particularizada, las ventajas y
desventaja), que el sistema ofrece respecto a otros sistemas o marcas, debiendo obtener
de dicha comparacin una serie de conclusiones que permitan mejorar la calidad y
prestaciones del sistema auditado.
nicamente en los casos en que el auditor dedujese la imposibilidad de que el
siuema pudiera acomodarse a las exigencias propias de su cometido o considerase
excesivamente onerosos los cambios a introducir para obtener una suficiente fiabilidad
acorto y medio plazo, ste podra proponer un cambio cualitaiivamente significativo
de determinados elementos o del propio sistema informtico globalmenie
oootem piado.
Una vez estudiado el sistema informtico a auditar, el auditor deber establecer
tes requisitos mnimos, aconsejables y ptimos para su adecuacin a la finalidad para
la que ha sido diseado, determinando en cada caso su adaptabilidad, fiabilidad,
limitaciones, posibles mejoras y costes de las mismas, con objeto de presentar al
auditado una serie de opciones de actuacin en funcin de dichos parmetros a fin de
q x ste pueda valorar las relaciones coste-eficacia-calidad-adaptabilidad de las
diferentes opciones, facilitndole un abanico de posibilidades de establecer una
poltica a corto, medio y largo plazo acorde con sus recursos y necesidades reales.
El auditor deber lgicamente abstenerse de recomendar actuaciones innecesa-
riameme onerosas, dainas o que generen riesgos injustificados para el auditado, c
igualmente de proponer modificaciones carentes de base cientfica contrastada,
ineficientemente probadas, o de imprevisible futuro.
Una de las cuestiones ms controvertidas, respecto de la aplicacin de este
principio, es la referente a facilitar el derecho de las organizaciones auditadas a la libre
eleccin del auditor, lo que implica el deber moral de evitar generar dependencias de
los primeros respecto de los segundos, aunque dicho condicionante perjudique
determinadas expectativas econmicas de estos ltimos.
Igualmente, si el auditado decidiera encomendar posteriores auditorias a otros
profesionales, stos deberan poder tener acceso a los informes de los trabajos
anteriormente realizados sobre el sistema del auditado siempre y cuando con ello no se
txbcraseo derechos de terceros protegidos con el secreto profesional que el auditor
debe en todo momento guardar.
www.FreeLibros.me
7.2.2. Principio de calidad
H1 auditor deber prestar sus serv icios a tenor de las posibilidades de la ciencia y
medios a mi alcance con absoluta libertad respecto a la utilizacin de dichos meoi
y en unas condiciones tcnicas adecuadas para el idneo cumplimiento de .su labee.
En los casos en que la precariedad de medios puestos a su disposicin impriano
dificulten seriamente la realizacin de la auditoria, deber negarse a realizarla tata
que se le garantice un mnimo de condiciones tcnicas que no comprometan la calidad
de mis servicios o dictmenes.
Cuando durante la ejecucin de la auditoria, el auditor considerase conven*
recabar el informe de otros tcnicos ms cualificados sobre aljn aspecto o incidencia
que superase su capacitacin profesional para analizarlo es idneas condiciono,
deber remitir el mismo a un especialista en la materia o re:abar m dictamen pan
reforzar la calidad y fiabilidad global de la auditora.
15 AUDfTOHM IVKHtStATICA: IX F.NHX**: PttACTICO__________________________ t u
7.2.3. Principio de capacidad
ni auditor debe estar plenamente capacitado para 1a reai/acin de la auditora
encomendada, mxime teniendo en cuenta que. en la mayora de los casos, dada n
espccializacin. a los auditados en algunos casos les puede ser extremadamente difcil
verificar sus recomendaciones y evaluar correctamente la precisin de las mismas.
Hay que tener muy presente que el auditor, al igual cue otros determinado
profesionales (mdicos, abogados, educadores, etc.), puede incidir en la toma de
decisiones de la mayora de sus dientes con un elevado grade de autonoma, dada la
dificultad prctica de los mismos de contrastar su capacidad profesional y d
desequilibrio de conocimientos tcnicos existentes entre el auditor y los auditados.
Debe, por tanto, ser plenamente consciente del alcance de sus conocimientos y de
su capacidad y aptitud para desarrollar la auditoria evitando que una sobrecstimaco
personal pudiera provocar el incumplimiento parcial o total d: la misma, aun en los
casos en que dicho incumplimiento no pueda ser detedado ;or las personas que le
contraten dadas sus carencias cognitivas tcnicas al respecto.
Conviene indicar que en los casos de producirse, por el contrario, una
subestimacin de su capacidad profesional, esta circunstancia podra afectar
negativamente en la confianza del auditado sobre el resultado final de la auditoria,
dejndole una innecesaria impresin de inseguridad sobre las propuestas o decisiones
www.FreeLibros.me
CAffTVt-O T: DIOVTOIjOGI\DtL Al'MTOK IMOXMT1CO YCCHGOS CUCOS IW
A efecto Se garantizar, en la medida de lo posible, la pertinencia de mi*
ccoocitniciKos. el auditor deber procurar que stos evolucionen, al unisono con el
deorrollo de las tecnologas de la informacin, en una forma dinmica, evitando una
pcmiciosa eMaticidad tcnico-intelectual que. en este campo de la ciencia, origina tina
d&tka reduccin de las garantas de seguridad y una obsolescencia de mtodos y
tcnicas que pueden inhabilitarle para el ejercicio de su profesin.
Conviene por ltimo llamar la atencin sobre la casustica de la acreditacin de la
capacitacin de los auditores con la pregunu clsica, adaptada a las circunstancias de
ata profesin, de quin audiia a los auditores?
Es deseable que .se fortalezca la certificacin profesional de la aptitud de los
acdiuxcs para realizar unos trabajos de ndole tan compleja.
Esta certificacin que deber tener un plazo de validez acorde con la evolucin de
lu nuevas tecnologas de la informacin, debera estar avalada y garantizada por la
metodologa empleada para acreditar dicha espccializacin. la independencia de las
entidades certificadoras, y la solvencia profesional, objetivamente contrastada, de los
frjanos. necesariamente colegiados, que en las mismas se creen con la finalidad de
(preciar la formacin y molificacin profesional de los solicitantes de la misma.
72.4. Principio de cautela
El auditor debe en todo momento ser consciente de que sus recomendaciones
deten estar basadas en la experiencia contrastada que se le supone tiene adquirid*,
evxuxlo que. por un exceso de vanidad, el auditado se embarque en proyectos de
futuro fundamentados en simples intuiciones sobre la posible evolucin de las nuevas
tecnologas de la informacin.
Si bien es cierto que el auditor debe estar al corriente del desarrollo de dichas
tecnologas de la informacin c informar al auditado de su previsible evolucin, no es
menos cierto que debe evitar la tentacin de creer que. gracias a xas conocimientos,
piede aventurar, con un casi absoluto grado de certeza, los futuros avances
tccaoSgicos y transmitir, como medio de demostrar su cualificada espccializacin.
dias previsiones como hechos incontestables incitando al auditado a iniciar ilusorios
cbsuficicncementc garantizados proyectos de futuro.
Debe, por tamo, el auditor actuar con un cieno grado de humildad, evitando dar la
infresin de estar al corriente de una informacin privilegiada sobre el estado real de
t> evolucin de los proyectos sobre nuevas tecnologas y ponderar las dudas que le
j i n en el transcurso de la auditoria a fin de poner de manifiesto tas diferentes
www.FreeLibros.me
[MI AUDITORIA ISK>RMTKA:IINIl.NIoqi'fc PRACTICO
posibles lneas de actuacin en funcin de previsiones reales y porcentaje* de riop
calculado* de las mismas, debidamente fundamentada*.
7.2.5. Principio de comportamiento profesional
H1 auditor, tanto en sus relaciones con el auditado como con terceras pervx*
deber, en todo momento, actuar conforme a las normas, implcitas o explcitas, de
dignidad de la profesin y de correccin en el trato personal.
Para ello deber cuidar la moderacin en la exposicin de sus juicios u opinima
evitando caer en exageraciones o atemorizaciones innecesarias procurando, en todo
momento, transmitir una imagen de precisin y exactitud en sus comentarios qie
avalen tu comportamiento profesional e infundan una mayor seguridad y confusa i
sus clientes.
El comportamiento profesional exige del auditor una seguridad en <u
conocimientos tcnicos y una clara percepcin de su* carencias, debiendo eludir I I
injerencias no solicitadas por l. de profesionales de otras reas, en lemas rclaciorudn I
o que puedan incidir en el resultado de la auditoria y. cuando precisase dd'
asesoramiento de otros expertos, acudir a ellos, dejando en dicho supuesto conuaadi I
de esa circunstancia y reflejando en forma diferenciada, en sus informes y dictimcao,
las opiniones y conclusiones propias y las emitidas por los mismos.
El auditor debe asimismo guardar un escrupuloso respeto por la poltoa
empresarial del auditado, aunque sta difiera ostensiblemente de las del resto dd
sector en las que desarrolla su actividad, evitar comentarios extemporneos sobre b
misma en tanto no estn relacionados o afecten al objeto de la auditora y anal t u
pormenonzadamente la* innovaciones concretas puestas en marcha por el audtalo i
fin de determinar sus especificas ventajas y riesgos, eludiendo evaluarlas nicameetci
tenor de los estndares medios del resto de empresas de su sector.
Igualmente debe evitar realizar actos que simulen aplicaciones de tratamiento
ficticios, encubran comportamientos no profesionales o den publicidad a metodoJojs
propias o ajenas insuficientemente contrastadas y garantizadas.
7.2.6. Principio de concentracin en el trabajo
En su lnea de actuacin, el auditor deber evitar que un exceso de trabajo smete
sus posibilidades de concentracin y precisin en cada una de las tareas a d
encomendadas, ya que la saturacin y dispersin de trabajos suele a menudo, si no est
www.FreeLibros.me
tu._______CAPfflH O ?: ttBOVTOtjOGtA PUL AUDITOR IXPOKMXTICO YCOIGOS TICOS 1*1
deilamcoic controlada, provocar la conclusin de los mismos sin las debidas
pnetas de seguridad.
A C'te efecto, el auditor deber sopesar las posibles consecuencias de una
cumulacin excesiva de trabajos a fin de no asumir aquellos que objetivamente no
tof. tiempo de realizar con las debidas garantas de calidad, debiendo rechazar o
posponer los que en dichas circunstancias se le ofre/can.
Asimismo deber evitar la desaconsejable prctica de ahorro de esfuerzos basada
en la reproduccin de partes significativas de trabajos o conclusiones obtenidas de
trabajos previos en otros posteriores elaborados como colofn de nuevas auditoras.
Por el contraro, s es admisible el que. una vez analizados en profundidad los
aspectos a tener en cuenta y obtenidas las correspondientes conclusiones, se contrasten
las rmunas a tenor de la experiencia adquirida y reflejada en anteriores informes, ya
que este modo de actuar permite detectar posibles omisiones en el estudio, completar
les trabajos sobre el objeto de la auditora incompletamente ejecutado y cubrir las
previsiones detectadas por medio de esta comparacin.
Este comportamiento profesional permitir al auditor dedicar a su cliente la
ttayor parte de lo* recursos posibles obtenidos de sus conocimientos y experiencias
prevu* con una completa atencin durante la ejecucin de la auditora n injerencias
o detenciones originadas por prestaciones ajenas a la misma.
72.7. Principio de confianza
El auditor deber facilitar c incrementar la confianza del auditado en base a una
actuacin de transparencia en su actividad profesional sin alardes cen:ffico-tcnicos
qoe. por su incomprensin, puedan restar credibilidad a los resultados obtenidos y a
la directrices aconsejadas de actuacin.
Ee principio requiere asimismo, por paite del auditor, el mantener una confianza
ea las indicaciones del auditado aceptndolas sin reservas como vlidas a no ser que
observe datos que la* contradigan y previa confirmacin personal de la inequvoca
veracidad de lo* mismos.
Para fortalecer esa confianza mutua se requiere por ambas partes una disposicin
de diilojo sm ambigedades que permita aclarar las dudas que. a '.o largo de la
auditora, pedieran surgir sobre cualesquiera aspecto* que pudieran resultar
eoflictivo*. todo ello con la garanta del secreto profesional que debe regir en su
www.FreeLibros.me
IfcJ M DHOKlA inhwmAi k a un e\toqce PRCIKO
El auditor deber, en consonancia con esta forma de actuar, adecuar su lenguije
al nivel de comprensin del auditado, descendiendo y detallando cuanto haga falta c*
mi explicacin debiendo solicitar, cuando lo considere necesario, la presencia de
alguno de los colaboradores de confianza de su cliente que pudiera aprtei*
determinados aspectos tcnicos cuando precise informarle sobre cuestione* de cm
especial complejidad cientfica.
7.2.8. Principio de criterio propio
El auditor durante la ejecucin de I auditora deber actuar con criterio propo jr
no permitir que ste est subordinado al de otros profesionales, aun de reconocido
prestigio, que no coincidan con el mismo.
En los casos en que aprecie divergencias de criterio con dichos profesional
sobre aspectos puntuales de su trabajo, deber reflejar dichas divergencias de jas
plenamente de manifiesto su propio criterio e indicando, cuando aqul est sustentado
en metodologas o experiencias que difieran de tas corrientes profesional
mayoritaramctitc asumidas, dicha circunstancia.
Lo defensa a ultranza del propio criterio no es bice para respetar las critica
adversas de terceros, aunque el auditor debe evitar que. si una vez. analizadas concinta
discrepando de tas mismas, stas puedan seguir influyendo en su trabajo, ya que li
libertad de criterio impone al auditor la obligacin tica de actuar en todo momento es
la forma que l considere personalmente ms beneficiosa para el auditado, aun cuan)
terceras personas le inciten a desarrollar lineas diferentes de actuacin.
Este principio exige asimismo del auditor una actitud cuasibcligcrante en k
casos en que llegue al convencimiento de que la actividad que se le solicita,
presuntamente para evaluar y mejorar un sistema informtico, tiene otra finalidad
ajena a la auditora, en cuyo caso deber negarse a prestar su asistencia poniendo de
manifiesto el porqu de dicha negativa.
De igual forma cuando el auditor observe que. de forma reiterada, el auditado *
niega, sin justificacin alguna, a adoptar sus propuestas, deber plantearse U
continuidad de sus servicios en funcin de las razones y causas que considere puedia
justificar dicho proceder.
7.2.9. Principio de discrecin
El auditor deber en todo momento mantener una cierta discrecin en b
divulgacin de datos, aparentemente inocuos, que se le hayan puesto de manifiesto
durante la ejecucin de la auditora.
www.FreeLibros.me
CApm.nu ? DtovmtxKilA mu. Aturro intokmatkt v coijos fenoos im
Este cuidado deber extremarse cuando la divulgacin de dichos ditos pudiera
afectar a derechos relacionados coo la intimidad o profesionalidad de las personas
ceudas por los mismos o a intereses empresariales, y mantenerte tinto durante la
realizacin le la auditoria como tras su finalizacin.
7.2.10. Principio de economa
El auditor deber proteger, en la medida de sus conocimiento, tos derechos
eMtfmfo de) audiiado evitando enerar gastos innecesarios en el ejercicio de su
actividad.
En cumplimiento de este principio deber procurar evitar dilacin innecesarias
en la realizacin de la auditora. Esta economa de tiempos permitir al auditado
reducir los plazos de actuacin tendentes a solventar los problemas detectados o a la
adecuacin a los nuevos mtodos propuestos aportando un determinado valor aadido
i) trabajo del auditor.
De igual forma, el auditor deber tener en cuenta la economa de medios
sute rales o humanos, eludiendo utilizar aquellos que no se precisen. k> que redundar
a reducciones de gastos no justificados.
Conviene, en virtud de este principio, delimitar en la forma mi s concreta posible
ab Uifu) el alcance y lmites de la auditora a efectos de evitar tener que realizar
estudios sobre aspectos colaterales no significativos, que detraen tiempo y medios para
w anlisis, y emitir informes sobre temas circunstanciales o ajeno a la finalidad
perseguid*.
El auditor deber rechazar las ampliaciones del trabajo en marcha aun a peticin
del editado, sobre asuntos no directamente relacionados con la auditora, dejando que
de ellos se encarguen los profesionales ad hoc. y evitar entrar :n discusiones,
comentarios, visitas de cortesas, etc. que no estn justificadas con la ejecucin de la
En las recomendaciones y conclusiones realizadas en base a su trabajo deber
asmino eludir, incitar o proponer actuaciones que puedan generar gastos
incccsanos o desproporcionados.
7.2.11. Principio de formacin continuada
Este principio, intimamente ligado al principio de capacidad y vinculado a la
ceotinua evolucin de las tecnologas de la informacin y la-, metodologas
relacionadas con las mismas, impone a tos auditores el deber y la responsabilidad de
www.FreeLibros.me
IM M tUTOftU IVKIftVUHCA l'N I.M<XJll ntACTlCO
mantener una permanente actualizacin Je sus conocimientos y mtodo a f e dt
adecuarlos a las necesidades le la demanda y a Las exigencias le la competencia de h
oferta.
La progresiva especializacin de sus clientes exige asimismo de k atxtecn^
para poder mantener el grado de confan/a que se precita pan dejar en sus marte* d
anlisis de las prestaciones de los sistemas informticos, un continuo piar dt
formacin personal que implique un seguimiento del desarrollo y oportunidades de la
nuevas tecnologas de la informacin para poder incorporar dichas innovaciones, um
vez consolidadas, a los sistemas le sus clientes, evitando de esta forma a
obsolescencia.
7.2.12. Principio de fortalecimiento y respeto de la profesin
l-J defensa de los auditados pasa por el fortalecimiento de la profesin de b
auditores informticos, lo que exige un respeto por el ejercicio. globjJmette
considerado. Je la actividad desarrollada por los mismos y un comportamiento ac<*e
con los requisitos exigibles para el idneo cumplimiento de la finalidad de fai
auditoras.
En consonancia con el principio de defensa de la profcsii de los auditores, toa
debern cuidar del reconocimiento del valor de su trabajo y de la correcta valonad*
le la importancia de los resultados obtenidos con el mismo.
En cuanto a la remuneracin por su actividad profesional sta debera esta
acorde con la preparacin del auditor y con el valor aadido qu; aporta al auditado ca
su trabajo, siendo rechazable el establecimiento de ac lerdos que impliques
remuneraciones al auditor manifiestamente desproporcionada* tanto por insuficiente
como por abusivas, ya que a largo plazo, tanto las unas como lis otras redundan e* ta
debilitamiento del reconocimiento y aprecio de la profesin.
El auditor deber, por tanto, en prestigio de su profesin, evitar competir
deslealmente con sus compaeros rebajando sus precios a lmites impropios dd
trabajo a realizar con la finalidad de eliminar competidores y reducir la competencia
profesional, e igualmente evitar abusar de su especializac.n para impooer un
remuneracin como contrapartida a su actividad profesin^ que manifiestamente
exceda del valor objetivo de su trabajo.
Como integrante de un grupo profesional, deber promover el respeto mutuo y b
no confrontacin entre compaeros. Este respeto no est rertio. sin embargo, coa b
denuncia de comportamientos indebidos, parasitarios o dolos. en los casos en qsr
stos le hayan quedado patentes, ya que estas denuncias dehen contemplarse eo d
marco de la defensa te la propia profesin como forma de elevar su reconocimiento
www.FreeLibros.me
En sus relaciones profesionales deber exigir asimismo um reciprocidad en el
eocnpxumicnto (ico de sus colegas y facilitar bu relaciones de confraternidad y
ano apoyo cuando asi se lo soliciten. Este mutuo apoyo no debe entender* en
iiagn caso como conuaprestacin gratuita de asesoramiento, sino como cauce de
elaboracin en temas puntuales que precisen de una cierta especializacin o
coacratacio de opiniones.
_______ CAHU I O 7. tHXATOLOPA PCI- AtlDTTO* IXOftMATKO Y CODKXK ETICO* M
7.2.13. Principio de independencia
Este principio, muy relacionado con el principio de criterio propio, obliga al
adtfcc, tanto si acta como profesional externo o con dependencia laboral respecto a
b empresa en la que deba realizar la auditoria informtica, a exigir una total
teoen-.ia e independencia en su trabajo, condicin sta imprescindible para
permtete aduar libremente segn su leal saber y entender.
La independencia del auditor constituye, en su esencia, la garanta de que los
ereses del auditado sern asumidos con objetividad; en consecuencia el correcto
tercio profesional de los auditores es antagnico con la realizacin de su actividad
tejo cualesquiera condicione que no permitan garantizarla.
Esta independencia implica asimismo el rechazo de criterios con los que no est
ptaamerte de acuerdo, debiendo reflejar en su informe final tan slo aquellos que
CMMdcre pertinentes, evitando incluir en el mismo aquellos otros con los que disienta
oque sea impelido a ello.
El auditor igualmente deber preservar mi derecho y obligacin de decir y poner
de manifiesto todo aquello que segn su ciencia y conciencia considere necesario, y
iboten de adoptar mtodos o recomendar lneas de actuacin que. segn su
etettiei. pudieran producir peijuicios al auditado, aunque ste asi se lo solicite.
A efectos de salvaguardar su independencia funcional, deber eludir establecer
dependencias con firmas que la limiten a fin de evitar que. aun subjetivamente, pueda
fmhcine una reduccin de su libertad de actuacin profesional.
Conviene, sin embargo, diferenciar esta independencia en su trabajo de la
oigeiKu de utilizar el resultado del mismo, lo que obviamente entra en el campo
oompetencial de la potestad de actuacin del auditado, el cual puede seguir o ignorar,
por las razone* que estime convenientes, sus informes, recomendaciones,
ariettackots o consejos sin que ello suponga merma alguna en la independencia del
www.FreeLibros.me
Iftfc Al'DtTORlA IMORMATICA HX tMOQt' f WtCTKO
7.2.14. Principio de informacin suficiente
Este principio de primordial nteres para el auditado. obliga al auditor a ser
plenamente consciente de mi obligacin de aportar, en forma pormenori/julamente
clara, precisa e inteligible pora el auditado, informacin tanto sobre todos y cada uno
de los puntos relacionados con la auditora que puedan tener algn inters para L
como sobre las conclusione* a las que ha llegado, c igualmente informarle sobre b
actividad desarrollada durante la misma que ha servido de base para llegar a d icta
conclusiones.
Dicha informacin deber estar constituida por aquella que el auditor considere
conveniente o beneficiosa para los intereses o seguridad de su diente y estar ei
consonancia con la utilidad que pueda tener, en el presente o en el futuro, para d
mismo. Junio a dicha informacin deber asimismo facilitar cualquier otra que le sa
requerida por el auditado, aunque la considere intranscendente o poco significatisi
siempre y cuando sta tenga una relacin directa y no meramente circunstancial con d
objeto de la auditora y no afecte a datos nominativos cuyo deber de secreto le se
exigibte.
En dichas informaciones deber evitar aportar datos intrascendentes para ui
cliente (datos que slo afecten a su propia imagen comercial o profesional del audilce
-autopropaganda-, dalos comerciales no pertinentes, etc.), que slo persigjo
incrementar el volumen del informe o justificar la ausencia de determinad
precisiones de singular importancia medanle la aportacin de otras de menor inters jr
de ms fcil elaboracin pora el auditor.
El auditor deber asimismo comprometerse con sus conclusiones, debiente
indicar en ellas los defectos observados en el sistema informtico, las lnea de
actuacin que recomienda y las dudas que respecto a las mismas se le plantea*
indicando en este ltimo caso si la causa excepcional que las produce se denva de uu
insuficiencia de datos sobre el propio sistema, de una falta de conocimientos tcnica
del propio auditor que le impide decidirse, con una mnima garanta de fiabilklid.
sobre la conveniencia de inclinarse preferentemente por alguna de ellas, o de una
inccrtidumbrc sobre posibles evoluciones a medio o largo plazo de los avances
tecnolgicos.
Ciertamente el auditor debe ser consciente de que la exp]citacin de sus dula
afectar a la confianza del auditado, pero en cualquier caso es preferible transmitir oa
informacin veraz, entendida sta como la que es exigiblc a lodo huen profesional a
el ejercicio de su actividad a tenor de sus conocimientos, que trasmitir, como opiiuii
experta, una informacin de la que no pueda garantizar personalmente su exactitud
1
www.FreeLibros.me
fcs impon ante asimismo que la informacin trasmitida al audiudo ponga de
manifiesto una pnidcncia y senado de la responsabilidad, caractersticas estas que
tuca deben esta reidas con los principios de suficiencia informativa y de veracidad,
vitando recrear los aspectos negativos o los errores humanos detectados que deben
quedar reflejados con un cieno tacto profesional.
El auditor debe evitar hacer rccacr la totalidad de inadaptaciones del sistema
totee algunos elementos singulares (personales o materiales), ignorando aquellos otros
que pudieran tener incidencia en los fallos o anomalas detectadas, por simple
ccerwdidad en la elaboracin de sus informes, y huir del eretismo tn cuanto a la
expticiiacin de los mtodos utilizados siendo inadmisible que se aproveche para ello
de la buena fe del auditado.
I-a Ubor informativa del auditor deber, por tanto, estar basada en la suficiencia,
coomfa y mximo aprovechamiento de la misma por pone de su cliente, debiendo
io&ar junto a sus juicios de valor, la metodologa que le ha llevado i establecerlos
pan. de esta forma, facilitar el que. en futuras auditorias, puedan apovccharsc los
cooodmkntos extrados de la as realizada, eludiendo monopolio Tcticos y
dependencias generadas por oscurantismo en la trasmisin de la informacin.
7.2.15. Principio de integridad moral
Este principio, inherentemente ligado a la dignidad de persona, obl ga al auditor a
ser honesto, leal y diligente en el desempeo de su misin, a ajustarse a las normas
morales, de justicia y probidad, y a evitar panicipor. voluntara o inconscientemente,
en cualesquiera actos de corrupcin personal o de terceras personas.
El auditor no deber, bajo ninguna circunstancia, aprovechar los conocimientos
adquiridos durante la auditora pora utilizarlos en contra del auditado o de terceras
personas relacionadas con el mismo.
Dorante la realizacin de la auditora, el auditor deber emplear la mxima
diligencia, dedicacin y precisin, utilizando para ello todo su saber y ctender.
7.2.16. Principio de legalidad
En todo momento el auditor deber evitar utilizar sus cono;imientos para
balitar, a los auditados o a terceras personas, la contravencin de la legalidad vigente.
Eo ningn caso consentir ni colaborar en la desactivacin o eliminacin de
positivos de seguridad ni intentar obtener los cdigos o claves de acceso a sectores
rearingidos de informacin generados para proteger los derechos, obligaciones o
Mereses de terceros (derecho a la intimidad, secreto profesional, propiedad
iMekctual. etc.).
Ui_______ CArtIVIXH:DC<A'TOtOOUDfXAt'DaOIWXMTICX)YCOKOSfeTKX>S l7
www.FreeLibros.me
De igual forma los auditores debern abstenerse de intervenir lincas de
comunicacin o controlar actividades que puedan generar vulneracin de derecho)
personales o empresariales dignos de proteccin.
La primaca de esta obligacin exige del auditor un comportamiento acuso de
oposicin a todo intento, por parte del auditado o de terceras personas, tendee i
infringir cualquier precepto integrado en el derecho positivo.
iw auditora isKxmA'nCA: un ENFOQtt Htcnco________________________eum
7.2.17. Principio de libre competencia
La actual economa de mercado exige que el ejercicio de la profesin se reala
en el marco de la libre competencia, siendo rechazables, xir tanto, las prfctk
colusorias tendentes a impedir o limitar la legtima competencia de otros profesional
y las prcticas abusivas consistentes en el aprovechamiento ea beneficio propio, y ea
contra de los intereses de los auditados, de posiciones predominantes.
En la comercializacin de los servicio de auditora informtica deben eviune
unto los comportamientos parasitarios como los meramente desleales, entendidos lo<
primeros como aprovechamientos indebidos del trabajo y reputacin de otros a
beneficio propio, y los segundos c o n intentos de confundir a los demandantes de
dichos servicios mediante ambigedades, insinuaciones o puMualizacioncs que sb
tengan por objetivo enmascarar la calidad y fiabilidad de la oferta.
7.2.18. Principio de no discriminacin
El auditor en su actuacin previa, durante y posterior a la auditora, deber evitar
inducir, participar o aceptar situaciones discriminatorias de ningn tipo, defecado
ejercer su actividad profesional sin prejuicios de ninguna clase y con independencia de
las caractersticas personales, sociales o econmicas de sus diettes.
Deber evitar cualquier tipo de condicionantes personalizados y actuar en lodw
las casos con similar diligencia con independencia de los beneficias obtenidos del
auditado, de las simpatas personales que tenga hacia ste o de cualquier otn
circunstancia.
Su actuacin deber asimismo mantener una igualdad de rato profesional eco li
totalidad de personas con las que en virtud de su trabajo tenga que relacionarse evo
independencia de categora, esutus empresarial o profesional, etc.
I
www.FreeLibros.me
IX) 7: OtONTOLOOtA DCL AlDtTOR INFORMATICO Y COPOOS ICTICOS tW
7.2.19. Principio de no injerencia
El auditor, dada la incidencia que puede derivarte de su tarca deber evitar
gerencias en los trabajos de otros profesionales, respetar su labor y eludir hacer
comntanos que pudieran interpretarse como despreciativos de la mi na o provocar
oa cieno desprestigio de su cualificacin profesional, a no ser que. por necesidades de
la auditora, tuviera que explicitar determinadas nidoneidades que pueran afectar a
las conclusiones o el resultado de su dictamen.
Deber igualmente evitar aprovechar los datos obtenidos de la auditora para
entrar en competencia desleal con profesionales relacionados con ella de oras reas
del conocimiento. Esa injerencia es mayormente reprobable en los casca en los que se
ircida en aquellos campos de actividad para los que el auditor no se encuentre
plenamente capacitado.
7.2.20. Principio de precisin
Este principio estrechamente relacionado con el principio de caldad exige del
auditor la no conclusin de su trabajo hasta estar convencido, en la medida de lo
poble. de la viabilidad de sus propuestas, debiendo ampliar el estudio del sistema
informtico cuanto considere necesario, sin agobios de plazos (coa la excepcin de lo
ya indicado anteriormente respecto al principio de economa) siempre que se cuente
ooo U aquiescencia del auditado, hasta obtener dicho convencimiento.
En la exposicin de sus conclusiones deber ser suficientemente crtico, no
efediendo poner de manifiesto aquellos aspectos concretos que coitsidcae puedan tener
ura cierta incidencia en la calidad y fiabilidad de la auditora, ni quedndose en
(tonalidades o indefiniciones que por su amplitud o ambigedad slo pretendan
cubrir al auditor de los riesgos derivados de toda concrecin en detrimento de los
derechos e intereses del auditado.
Ex exigible asimismo del auditor que indique como evaluado nicamente aquello
qoe directamente, o por medio de sus colaboradores, haya comprobado u observado de
i fenna exhaustiva, eludiendo indicar como propias y contrastadas las observaciones
! parciales o incompletas o las recabadas de terceras personas.
72.21. Principio de publicidad adecuada
La oferta y promocin de los servicios de auditora debern en iodo momento
ajotarse a las caractersticas, condiciones y finalidad perseguidas. sieado contrara a
www.FreeLibros.me
U etica profesional la difusin de publicidad falsa o engaosa que tenga como objcvo
confundir a los potenciales usuarios de dichos servicios.
1.a defensa del prestigio de la profesin obliga asimismo a los aminoro
informticos a evitar las campaas publicitarias que, por su contenido, pueda
desvirtuar la realidad de sus servicios, enmascaren los limites de los misad,
oscurezcan sus objetivos o prometan resultados de imprevisible, cuando no impcoafcle,
consecucin.
I AUDITORIA INFORMTICA UN llXHXftlt PRCTICO___________________________ >M
7.2.22. Principio de responsabilidad
El auditor deber, conto elemento intrnseco de todo comportamiento profcHorul.
responsabilizarse de lo que haga, diga o aconseje, sirviendo esta forma de actuar cccno
cortapisa de injerencias cxtraprofeaonales.
Si bien este principio aparentemente puede resultar especialmente gravoso a
auditoras de gran complejidad, que por otra parte son las habitual
encomendadas a los auditares informticos, es preciso tenerlo presente a fin de pote
garantizar su responsabilidad en los caso* en que. debido a errores humanos durante b
ejecucin de la auditora se produzcan daos a su cliente que le pudieran sor
imputados.
Por ello es conveniente impulsar la ormalizacin y suscripcin de seguro, i
adaptados a las peculiares caractersticas de su actividad, que cubrui h
responsabilidad civil de los auditores con una suficiente cobertura a fin de acrece
la confianza y solvencia de su actuacin profesional.
Obviamente las compaas aseguradoras podrn introducir determinados mWuta
correctores del coste de suscripcin de las correspondientes plizas a tenor de Ib
garantas que los auditores puedan aportar (certificaciones profesionales, aos de
experiencia, etc.), lo que avalara una ms racional estructuracin de la oferta
La responsabilidad del auditor conlleva la obligacin de resarcimiento de 1
daos o perjuicios que pudieran derivarse de una actuacin negligente o culposa i
bien debera probarse la conexin causa-efecto originaria del dao, siendo aconsej
estipular a priori un tope mximo de responsabilidad sobre los posibles daos accede
con la remuneracin acordada como contraprestacin por la realizacin de la auditorit
7.2.23. Principio de secreto profesional
La confidencia y la confianza son caractersticas esenciales de las relacinese
el auditor y el auditado c imponen al primero la obligacin de guardar en secretla
www.FreeLibros.me
caMtx i o ? nwxvrotocU uta. Atorro imohvtko v cooas Eneos m
hectos e informaciones que conozca en el ejercicio de su actividad profesional.
ScCamente por imperativo legal podr decaer esa obligacin.
F-vte principio, inherente al ejercicio de la profesin del auditor, estipulado en
beneficio de la seguridad del auditado, obliga al primero a no difundir a terceras
penon ningn dato que haya visto, odo, o deducido durante el desarrollo de su
trabajo que pudiera perjudicar a su cliente, siendo nulos cualesquiera pactos
coctrKtuaies que pretendieran excluir dicha obligacin.
El mantenimiento del secreto profesional sobre la informacin obtenida durante
k auditoria ve extiende a aquellas personas que. bajo la potestad organizadora del
mux. colaboren con l en cualesquiera de las activ idades relacionadas con la misma.
Si se produjese una dejacin, por parte de las personas que dependen del auditor.
U obligacin de mantener vecreto vobre los datos obtenidos de la auditoria, recaer
t f r e ellos la correspondiente obligacin de resarcimiento por los dallos materiales o
erales causados como consecuencia de la misma, obligacin que compartirn
nUiriamente con el auditor en virtud de la responsabilidad in eligendo o in vigilando
p e tac asume por los actos de sus colaboradores.
Este deber de secreto impone asimismo al auditor el establecimiento de las
afeis y mecanismos de seguridad pertinentes para garantizar al auditado que la
crmacio documentada, obtenida a lo largo de la auditoria, va a quedar almacenada
m etttenov o sopones que impidan la accesibilidad a la misma por terceras persona*
I autorizadas. El auditor tan slo deber permitir el acceso y conocimiento de la
ama a los profesionales que. bajo su dependencia organizativa, estn igualmente
jos al deber de mantener el secreto profesional y en la medida en que. por las
aeccsidxJct de informacin de los mismos, sea preciso.
No debe considerarse, por el contrario, como vulneracin del secreto profesional,
k tnesnuun de datos confidenciales del auditado a otros profesionales cuando eMa
cunsxKia se origine por expresa peticin del mismo; la conservacin de los
formes durante un plazo prudencial, siempre y cuando se cuente con las medidas de
pridad adecuadas; la difusin, con una finalidad cientfica, o meramente
wlgativa. de los problemas detectados en la auditoria y las soluciones a los mismos
previamente se disgregan los dato de forma tal que no puedan asociarse en ningn
oso los mismos a persona o empresas determinadas; ni. por ltimo, la revelacin del
creto por imperativo legal siguiendo los cauces correspondientes, debindose, aun
as. mantener al mximo la cautela que impooc dicho levantamiento del secreto.
En los casos en que el auditor acte por cuenta ajena en el marco contractual
oblecido con la empresa por medio de la cual presta sus servicios al auditado, la
tacwusn de la informacin recogida durante la auditora a su empresa deber
www.FreeLibros.me
i nAtron! jxyoRMncA: fx lixrogw practico
circunscribirte nicamente a los d a o s administrativos reguladores de su actividad
<precio de la auditoria, gastos generados tiempo empleado, medios de la empresa
utilizados, ele.), excluyendo de d k l u informacin los datos tcnicos observados en d
sistema informtico o lo* relacionados con cualesquiera otros aspectos, a no ser que d
auditado consienta fehacientemente en que dichos datos sean entregados a l*
responvahles de la empresa que. en este caso, quedarn a su vez obligados a mantener
el secreto profesional sobre los mismos.
7.2.24. Principio de servicio pblico
La aplicacin de este principio debe incitar al auditor a hacer lo que est ea n
mano y sin perjuicio de los intereses de su cliente, para evitar danos sociales como los
que pueden producirse en los casos en que. durante la ejecucin de la audrtcri
descubra elementos de software dainos (virus informticos) que puedan propagare i
otros sistemas informticos diferentes del auditado. F.n estos supuestos el atxbur
deber advertir, necesariamente en forma genrica, sobre la existencia de dichos vira
a fin de que se adopten las medidas sociales informativas pertinentes para a
prevencin, pero deber asimismo cuidar escrupulosamente no dar indicio* qoe
permitan descubrir la procedencia de su informacin.
F.I auditor deber asimismo tener presente la ponderacin entre sus criterios nea
personales y los criterios ticos subyacentes en la sociedad en la que presta
servicios, debiendo poner de manifiesto sus opciones personales cuando entren a
contradiccin con la tica social que el auditado pueda presumir que mi
implcitamente aceptada por el auditor.
F.ste principio de adaptabilidad u oposicin constructiva tanto a los principa
ticos sociales, asumidos como vlidos por la comunidad, como a las costuatm
dimanantes de los mismos, facilita la necesaria y permanente crtica social sote
dichos principios y costumbres, permitiendo su adaptacin a las nuevas necesidades y
perspectivas abiertas con el progreso tecnolgico regional o mundial.
La consideracin del ejercicio profesional de los auditores como servicio pM a
globalmente considerado, exige igualmente una continua elevacin del arte de te
ciencia en el campo de la auditoria informtica, lo que nicamente puede lograrse ea
la participacin activa de los profesionales de dicho sector en la definicin de I*
caractersticas y exigencias de su actividad profesional y. por ende, en la cUboraafc
de los cdigos deontolgicos reguladores del ejercicio responsable de dicha activi*
www.FreeLibros.me
<M'IHH ) ~ DtOMtXCXiKDtl. At IMtOlt IMOKMVtltO VUHIMIS fTXTIS JJ
7.2.25. Principio de veracidad
El auditor en sus comunicacin con el auditado deber tener siempre presente
U obligacin de asegurar la veracidad de sus manifestaciones con los lmites
infoestos por los deberes de respeto, correccin y secreto profesional.
El principio de veracidad no debe, sin embargo, considerarse como constreido a
expresar nicamente aquello sobre lo que se tenga una absoluta y total certeza, sino
tfx implica, con el grado de subjetividad que esto conlleva, poner de manifiesto
aquello que. a tenor de sus conocimientos y de lo considerado como "buena prctica
profesional", tenga el suficiente grado de fiabilidad como para ser considerado
comnmente como veraz mientras no se aponen dalos o pruebas que demuestren lo
contrano.
Es conveniente tener presentes los criterios expuestos por nurstro Tribunal
Constitucional al respecto, generalmente asociado con la actividad de kx profesionales
de U comunicacin, que indican que la obligacin de veracidad impone un especfico
deber de diligencia que se puede y debe exigir al profesional en la transmisin de la
nfcrtnacin sobre hechos que deben haber sido necesariamente contrastados con datos
efejetivos. excluyendo por tanto de dicha calificacin de veracidad a aquella
formacin basada en conductas negligentes" del profesional y an ms a aquella
r proveniente "de quien comunique como hechos simples rumores o. peor an.
raer invenciones o insinuaciones insidiosas", considerando como admisible y
presuntamente veraz "la informacin rectamente obtenida y difundida, aun cuando su
Mal exactitud sea controvertible" (STC de 21 de enero de 1988). ya que. como la
citada sentencia indica, "las afirmaciones errneas son inevitables en m debate libre,
de tal forma que de imponerse la verdad como condicin para reconocimiento del
derecho protegido por el artculo 20.l.d) de la Constitucin (a comuikar y recibir
formacin veraz) la nica garanta de la seguridad jurdica sera el teicio".
Lo* criterios del Tribunal Constitucional sobre el alcance de la obligacin de
veracidad han sido reiterados animismo en sucesivas sentencias en las que se expresa
que informacin veraz, en el sentido del artculo 20. l.d) significi informacin
cemprotvida segn los cnones de la profesionalidad informativa, excluyendo
venciones, rumores o meras insidias", y que una cosa es efectuar tna evaluacin
pencoal. por desfavorable que sea. de una conducta y otra muy dixinta es emitir
expresiones, afirmaciones o calificativos claramente vejatorios desvinculados de esa
formacin. y que resultan proferidos, gratuitamente, sin justificacin alguna" (STC
l(6l990 de 6 de junio); que el derecho a la informacin no puede restringirse a la
coeaunicjcin objetiva y asptica de los hechos, sino que incluye tambin la
vestigacio de la causacin de hechos, la valoracin probabilstica de rstas hiptesis
y la formulacin de conjeturas sobre esa posible causacin" (STC 171/1990 de 12 de
wriembre); que la descripcin de hechos y opiniones que ordinariameite se produce
b t informaciones determina que la veracidad despliegue sus efectos legitimadores
www.FreeLibros.me
174 AtOCTUKA INtOKMTICA UN t.MOQt'H HtCIlCO
en relacin con los hechos, pero no respecto de las opiniones que los acoinpafett
valoraciones que de los mismos se hagan, puesto que U* opiniones, croen
personales o juicios de salor no son susceptibles de verificacin, y ello determina qoe
el mbito de proteccin del derecho de informacin quede delimitado, respecto de cw
elementos salorativos, por la ausencia de expresiones injuriosas que rcvdua
innecesarias para el juicio critico" (STC 172/1990 de 12 de noviembre; y que Ti
regla constitucional de la veracidad de la informacin no >a dirigida tanto a h
exigencia de la total exactitud en la informacin cuanto i negar la garanta
proteccin constitucional a quienes, defraudando el derecho de todos a mito
informacin veraz, actan con menosprecio de la veracidad o falsedad de I
comunicado, comportndose de manera negligente o irresponsible (STC 4(VI992de
30 de marzo.
As pues, la aplicacin de este principio exige que el aud tor, en el marco de n
obligacin de informar al auditado sobre el trabajo realizado, comunique a este ditas
sus conclusiones, diferenciando los hechos consulados de las opiniones, propuesta y
valoraciones personales, debiendo actuar en la comprobacin de los primeros y ea b
fundamentacin de las restantes con una suficiente diligencia profesional pm
garantizar el cumplimiento de su obligacin de informar sera/ircnte.
7.3. CONCLUSIONES
FJ auditor informtico debe ser plenamente consciente de <ue su coenportanaen
profesional presen la dos facetas. ntimamente ligadas, que configuran el rgimen de n
responsabilidad frente a terceros.
La primera corresponde a la aplicacin de sus conocimientos tcnicos coa b
finalidad de determinar, en base a los mismos, las condiciones de seguridad, fiabilidad
y calidad de kw medios, elementos o productos que conforman el sistema informtico
auditado y recomendar las medidas que estime convenienies para su mejora o
adaptacin a los objetivos pora los que ha sido disertado o que. > tenor de la coyurxsn
actual y previsible a medio plazo, constituyan sus perspectivas de futuro.
La segunda debe poner de manifiesto la aplicacin de los fundamenten
humansticos que como persona y como profesional le son ticamente exigibes par,
en funcin de los mismos, coadyuvar al desarrollo integral de la sociedad en la
prestacin de sus servicios y de b cual ha tomado, para la formacin de un
conocimientos y desarrollo de su propia personalidad, las ideas integradas en d
patrimonio cultural comn aportado por sus antecesores.
lis. por tanto, inexcusable tener presente dicha dualidad de facetas a efectos de no
ignorar ninguna de ellas so pretexto de que condicionamientos contractuales, jurdicos,
sociales o morales, le obliguen a excluir de su comportamiento profesional alguna de
www.FreeLibros.me
CaKTV'LO 1: IXOSTOtOCU DU. AtUXTOK IVFCKtM\TKX> Y COMOOS ETICOS 173
eflas debiendo tener siempre presente, que si bien la aplicacin de mi* conocimientos
tcnicos ayuda al desarrollo tecnolgico de la sociedad, la aplicacin de su
faldamentos humansticos ayuda a la configuracin de la conciencia moral de la
ni uni. sirviendo como elemento de formacin de los usos y costumbres que
cwuituyen una de las fuentes del derecho regulador de la convivencia entre las
peruxu* que la integran.
En los casos de producirse algn conflicto entre ambas facetas, la ponderacin de
t e derechos en juego deber dar primaca a los valores morales sobre los materiales,
ja que el fundamento intimo de las personas descansa en k primeros como
oacaestacin de su propio (ttm vital, y que asimismo su transposicin al entorno
social debe imponer su prevalcncia sobre los segundos, evitando que el desarrollo
tecnolgico pueda desvirtuar el desarrollo social que es. en suma, el mximo
expooentc del grado de evolucin de la humanidad.
Como colofn a esos planteamientos cabe reflejar, como ejemplos representativos
de la Normalizacin y aplicacin de cdigos de deontologia profesional, el "Cdigo de
tica profesional" de la ISACF (Information Systems Audit and Control Foundation)
para orientar la conducta de los auditores informticos miembros de dicha asociacin,
y d 'Cdigo de Conducta" de The British Computer Society, que establece los
estndares profesionales de competencia, conducta y tica de la prctica informtica
ea el Reino Unido.
La ISACF propone el siguiente Cdigo de tica Profesional para orientar a la
coolucta profesional, personal de los miembros de la Information Systems Audit and
Cauro! Association y/o de los poseedores del Certified Information Systems Auditor
*OSA).
"Los Auditores Certificados de Sistemas de Informacin debern:
1. Apoyar el establecimiento y cumplimiento de normas, procedimientos y
controles de las auditoras de sistemas de informacin.
2. Cumplir con las Normas de Auditora de Sistemas de Informacin, segn las
adopte la Information Systems Audit and Control Foundation.
3. Actuar en inters de sus empleadores, accionistas, clientes y pblico en
general en forma diligente, leal y honesta, y no contribuir a sabiendas en
actividades ilcitas o incorrectas,
www.FreeLibros.me
176 AUDITORIA IVHWMTK'A UN HMHiqCfc PKAtUCt
4. Mantener la confidencialidad de la informacin obtenida en el curso de m
deberes. La informacin no deber ser utilizada en beneficio propia *
divulgada a terceros no legitimados.
5. Cumplir con mis deberes en forma independeme y objetiva y evitar todi
actividad que comprometa o parezca comprometer su independencia.
6. Mantener su capacidad en los campos relacionados con la auditoria y la
Memas de informacin mediante la participacin en actividades de
capacitacin profesional.
7. Ejercer sumo cuidado al obtener y documentar material suficiente sobre d
cual basar sus conclusiones y recomendaciones.
8. Informar a las partes involucradas del resultado de los tarcas de auditoria q*
se hayan realizado.
9. Apoyar la entrega de conocimientos a la gerencia, clientes y al pblico a
general pora mejorar su comprensin de la auditoria y los sistemai de
informacin.
10. Mantener altos estndares de conducta y carcter tanto en las actividads
profesionales como en las privadas."
The Bntish Computer Society por su pane establece un Cdigo de Condu
cuyos principios se esquematizan a continuacin.
1. Conduela Profesional: La conducta de los miembros de la Axociacifc
mantendr la dignidad, reputacin y alta evaluacin social de la profesin.
2. Integridad profesional: Ningn miembro intentar, en forma desleal, realiza
actos en detrimento de la reputacin, inters o perspectivas de r
miembros, y actuar, en todo momento, en forma ntegra con la Asociacin
sus miembros y los miembros de otras profesiones con los que pxdi
relacionarse en su ejercicio profesional.
3. Inters Pblico: Todo miembro en cumplimiento y/o exoneracin de a
responsabilidad para con sus empleadores o clientes cuidar adecuadamertc
los intereses pblicos y los derechos de terceras personas y. en particular, x
asegurar de que los derechos de propiedad intelectual de terceros no se vea
perjudicados por sus actos.
www.FreeLibros.me
CAKtn t o ; n o M i i i i x i U m i . m m i i m < v i k y crtomosmros 177
4. Fidelidad: Los miembro^ cumplirn sin obligaciones con sus empleadores o
clientes con una completa fidelidad pora con los mismos. Asimismo
evitarn divulgar la informacin confidencial relacionada con dichas
personas.
5. Competencia Tcnica: Todo miembro deber ofertar nicamente aquellos
servicios para los que se considere competente e informar a sus
empleadores o clientes sobre el nivel de preparacin y capacitacin que l
posee cuando sus servicios hayan sido solicitados.
6. Imparcialidad: Los miembros, cuando trabajen para un determinado cliente,
debern informarle fehacientemente y por escrito sobre aquellos intereses
que tengan y que puedan perjudicar o incidir en la imparcialidad de su
dictamen u originar conflictos de inters entre ambos.
(tasara Rodrigue/. Miguel ngel. Derecho informtico. Edit- Aranzadi. Pamplona.
1993.
Ptso Navarro. Emilio del. Deoruologfa y seguridad en el mundo informtico. Res isla
Base informtica, n * 15. junio. 1991.
Pe Navarro. Emilio del y Ramos Gonzlez. Miguel ngel: Confidencialidad y
teguridad de la informacin: La LOfiTAD y tus implicaciones socioeconmicas.
Ediciooes Dfaz de Santos. Madrid. 1994.
Ramos Gonzlez. Miguel ngel. Contribucin a la mejora de las tcnicas de
auditoria Informtica mediante la aplicacin de mtodos y herramientas de
Ingeniera del Conocimiento. Tesis docioral. Facultad de Informtica de la
Universidad Politcnica de Madrid, septiembre. 1990.
Vzquez. Jess Marta y Barroso. Porfirio. Deontologa de la informtica (Esquemas).
Instituto de Sociologa Aplicada. Madrid. 1993.
1. Principios deoniolgicos aplicables a los auditores informativos.
2. Principio de calidad.
3. Principio de criterio propio.
www.FreeLibros.me
I AUPtTORlA INFORMTICA: L~XENFOQCE PRACTICO
4. Qu significa d principio de economa?
5. Importancia de la formacin continua del auditor informtico.
6. Grado de independencia del auditor informtico.
7. Qu es el prncipto de legalidad?
| 8. Responsabilidad del auditor informtico.
9. A qu obliga el secreto profesional?
10. Facetas que configuran el rgimen de responsabilidad frente a terceros.
www.FreeLibros.me
CAPTULO 8
LA AUDITORA FSICA
f abr itl Desmonto Basilio
8.1. INTRODUCCIN
Lo fsico en Informtica. hasta ahora, ha tenido una importancia relativa: no en
loo Je ha visto siempre como algo que soporta lo que. en realidad, es la Informtica,
y que ocupa un lugar en la mesa.
La UCP (enorme), la pantalla, el teclado, la impresora. cables... y. adems, el
rata con su alfombrilla que impiden extender libros y papeles sobre un espacio que.
incomprensiblemente. por grande que sea. no existe.
Pero lo fsico en Informtica no se reduce nicamente a lo expuesto. esto es: dar
m soporte tangible, un continente o vehculo a lo etreo del software, verdadera
cseacia informtica. Todo cuanto rodea o se incluye en el computado-, tambin este
Btuno. sen lo fsico como tal. as como otros conceptos o virtualidades que. de una u
etn forma, influyen o toman su razn de ser en el Hntomo Fsico d:l computador
como generalidad o en el del CPD como Unidad Fsica Informtica.
Si se ha dicho que lo fsico es algo tangible que proporciona un cortincnte. medio
o vefcxulo y que. adem*. acoge al CPD dentro de su entorno, una vez conseguido y
establecido debera dejar de preocupar. El paso siguiente es asegurar de que va a
seguir dando servicio siempre que se le necesite y de una manera segura ya que. como
ta toda actividad, se mezcla lo fsico con lo funcional y con lo humano.
La Auditora es el medio que va a proporcionar la evidencia o no de la Seguridad
finca en el mbito en el que se va a desarrollar la labor profesional. Es por tanto.
asumir que la Auditora Fsica no se debe limitar a compraba! la existencia
www.FreeLibros.me
de lo* medios fsicos, sino tambin su funcionalidad. racionalidad y seguridad, patita
esta ltima que puede resumir o incluir a las anteriores y llevar a un subttulo de eat
capitulo que prolongue el ya establecido de Auditoria Fsica con el de Auditoria Jt la
Seguridad Fsica.
" 1
112 AUDITORIA tNromAnCAr t.X RNIOOCE PRACTICO___________________________ t u
8.2. LA SEGURIDAD FfSICA
No eun muy claras las fronteras que delimitan, si es que lo hacen, los domina
y responsabilidades de los tres tipos de seguridad que a los usuarios de la Informa
deben interesar: seguridad lgica, seguridad fsica y seguridad de las ComunicacKoa.
Quiz fuera mis prctico aunarlas y obtener una seguridad integral, aunque hay qte
reconocer las diferencias que, evidentemente, existen entre sofi. hard. hard-sofi, her
que soporta al sofi y sofi que mueve al hard.
La seguridad fsica garantiza la integridad de los activos humanos, lgKO j
materiales de un CPD. Si se entiende la contingencia o proximidad de un daio cas
la definicin de Riesgo de Fallo, local o general, tres serian las medidas a prepanr
para ser utilizadas en relacin con la cronologa del fallo:
8.2.1. Antes
Obtener y mantener un Nivel adecuado de Seguridad Fisica sobre los activos.
El Nivel adecuado de Seguridad Fsica, o grado de seguridad, es un conjunto e
accione utilizadas para evitar el Fallo o. en su caso, aminorar las consecuencias qce
de l se puedan derivar.
Es un concepto general aplicable a cualquier actividad, no slo informtica, ea la
que las personas hagan uso particular o profesional de entornos fsicos.
Ubicacin del edificio.
Ubicacin del CPD dentro del edificio.
Compartirne nt acin.
Elementos de construccin.
Potencia elctrica.
Sistemas contra incendios.
Control de accesos.
Seleccin de personal.
Seguridad de los medios.
Medidas de proteccin.
Duplicacin de medios.
www.FreeLibros.me
12-2. Durante
Ejecutar un PUn <le Contingencia adecuado
En general, desastre es cualquier evento que. cuando ocurre, tiene la capacidad de
aiemimpir el normal procedo de una empresa.
La probabilidad de que ocurra un desabre es muy baja, aunque. si se diera, el
iapKto podra ser tan grande que resultara fatal para la organizacin. Como, por otra
pire, ao es corriente que un negocio responda por s mismo ante un acontecimiento
ccrao el que se comenta, se deduce la necesidad de contar con los medios necesarios
pwa afrontarlo. Estos medios quedan definidos en el Plan de Recuperacin de
Desastres que. junto con el Centro Alternativo de Proceso de Datos, constituye el Plan
te Contingencia que coordina las necesidades del negocio y las operaciones de
recuperacin del mismo.
El Plan de Contingencia inexcusablemente debe:
Realizar un Anlisis de Riesgos de Sistemas Crticos que determine la
Tolerancia de los Sistemas.
Establecer un Perodo Crtico de Recuperacin en el cual los procesos deben
ser reanudados antes de sufrir prdidas significativas o irrecuperables.
Realizar un Anlisis de Aplicaciones Crticas por el que se establecern las
Prioridades de Proceso.
Determinar las Prioridades de Proceso, por das del arto, que indiquen cules
son las Aplicaciones y Sistemas Crticos en el momento de ocurrir el devastre
y el orden de proceso correcto.
Establecer Objetivos de Recuperacin que determinen el perodo de tiempo
(horas, das, semanas) entre la declaracin de Desastre y el momento en que el
Centro Alternativo puede procesar las Aplicaciones Crticas.
Designar, entre los distintos tipos existentes, un Centro Alternativo de Procedo
de Datos.
Asegurar la Capacidad de las Comunicaciones y
Asegurar la Capacidad de los Sen icios de Back up.
www.FreeLibros.me
m AIlHTOUlA IMOttMATKA: l'V l'MOQtl, PKACllCO
8.2.3. Despus
Los Contratos de Seguros vienen a compensar, en mayor o menor
prdidas, gasto o responsabilidades que se pueden derivar para el CPD ora
detectado y corregido el Fallo.
De entre la gama de seguros existentes, se pueden sealar:
Centros de proceso y equipamiento: Se contrata cobertura sobre da fio fsico
el CPD y el equipo contenido en l.
Reconstruccin de medios software: Cubre el dafto producido sobre medw
soft tanto los que son propiedad del tomador del seguro como aquellos que
constituyen su responsabilidad.
Gastos extra: Cubre los gastos extra que se derivan de la continuidad de la
operaciones tras un desastre o dao en el CPD. Es suficiente para coinpenur
los costos de ejecucin del Plan de Contingencia.
Interruf/cin del negocio: Cubre las prdidas de beneficios netos causadas p*
las cadas de los medios informticos o por la suspensin de las operaciones.
Documentos y registros valiosos: Se contraa para obtener una compcnsxi
en valor metlico real por la prdida o dao fsico sobre documentos y
registros valiosos no amparados por el seguro de Reconstruccin de Medios
Software.
Errores y omisiones: Proporciona proteccin legal ante la responsabilidad en
que pudiera incurrir un profesional que cometiera un acto, enor u omisin que
ocasione una prdida financiera a un cliente.
Cobertura de fidelidad: Cubre las prdidas derivadas de actos deshonestos o
fraudulentos cometidos por empleados.
Transporte de medios: Proporciona cobertura ante prdidas o datos a tos
medios transportados.
Contratos con proveedores y de mantenimiento: Proveedores o fabricantes que
aseguren la existencia de repuestos y consumibles, as como garantas de
fabricacin.
www.FreeLibros.me
CaHTUX>K LA AlCTOIlUt<aCA I
Contratos de mantenimiento que garanticen la asistencia tcnica a los equipos e
instalaciones una vez extinguidas las garantas de fabricacin.
No son realmente Seguros, ya que:
Los primeros se ubicaran en Nivel adecuado de Seguridad Fsica (el antes).
Los segundos pueden localizarse tanto en el Nivel adecuado (el ante) como
en el Plan (el durante).
No obstante, dada su forma y su control administrativo, se les puede considerar
como Seguros.
8.3. REAS DE LA SEGURIDAD FSICA
Se ha expuesto, hasta el momento, un estudio de las tres medidas a preparar para
icr utilizadas segn el momento del Fallo: nesgo de que se produzca, si se es t
produciendo y cuando ha pasado. Todo ello partiendo, como primer paso, de la
tocacin del edificio y las circunstancias externas e internas que le afectan.
Nada se ha dicho del edificio en s mismo: sera capaz el Auditor Informtico de
revisar la construccin y el estado actual de su infraestructura con sus defectos, vicios
y posibles enfermedades? Ms an: es capo/ de diagnosticar en este tema?
E valentemente. como tal auditor, carece de la capacidad y preparacin necesarias pora
(o. Por tanto, debe considerarse al edificio como la primera de las reas a tener en
cuenta en una Auditora Fsica y prever para ella el auxilio de Peritos independientes
que den respuestas a las preguntas a plantear durante la Fase 2 del Procedimiento de
Ac&ora Adquisicin de Informacin General y certificaciones que puedan ser
ischi idas como pruebas, en uno o en otro sentido, en la Fase 9 Informe Final tras la
Discusin con los Responsables si hubiera lugar.
Las reas en las que el Auditor ha de interesarse personalmente, una vez que la
pine del edificio ha sido encargada al juicio del Perito, tendrn relacin directa con el
hecho informtico, siempre considerando el aspecto fsico de la seguridad, y que sern
Ufes como:
Organigrama de la empresa
ir l ve conocern las dependencias orgnicas, funcionales y jerrquicas de los
imcntos y de los distintos cargos y empleos del personal podiendo analizar, con
www.FreeLibros.me
I At'DITOttlA IKHOKMAUCA: t~K EXIOQtt PRACTKX)
ayuda de documentacin histrica. I apropiadas Separacin <!e Funciones y RotaoJi
en el Trabajo.
Da la primera y ms amplia visin de conjunto del Centio de Proceso.
Auditora interna
Departamento independiente o subordinado al de Auditora Financiera, si use,
y colaborador de ste en cualquier caso, debe guardar las auditoras pasad, la
Normas, Procedimientos y Planes que sobre la Seguridad Fsica y su Auditor 4>
emitido y distribuido la Autoridad competente dentro de la Enpresa.
Administracin de la seguridad
a
Vista desde una perspectiva general que ampare las funciones, dcpcadcnci,
cargos y responsabilidades de los distintos componentes:
Director o Responsable de la Seguridad Integral.
Responsable de la Seguridad Informtica.
Administradores de Redes.
Administradores de Bases de Datos.
Responsables de la Seguridad activa y pasiva del Entorno fsico.
Normas. Procedimientos y Planes que. desde su propia responsabilidad hqa
emitido, distribuido y controlado el departamento.
Centro de proceso de datos e instalaciones
Entorno en el que se encuentra incluso el CPD como elemento fsico y eo t qae
debe realizar su funcin informtica.
Las instalaciones son elementos accesorios que deben ayudar a la realizante fc
la mencionada funcin informtica y. a la sez. proporcionar seguridad a las per*,
al soft y a los materiales.
Sala del Host.
Sala de Operadores.
Sala de Impresoras.
Cmara Acorazada.
Oficinas.
www.FreeLibros.me
Almacenes.
Sala de aporamenta elctrica.
Sala de Aire Acondicionado.
rea de descanso y servicios...
Equipos y comunicaciones
Son los elementos principales del CPD: Host. terminales, computadores
penotulev. equipos de almacenamiento masivo de datos, impresoras, medios y
aterras de telecomunicaciones...
El Auditor debe inspeccionar su ubicacin dentro del CPD as como el Control de
Acceso a los mismos como elementos restringidos.
Computadores personales
Especialmente cuando estin en red. son elementos muy potentes e indiscretos que
peeden acceder a prcticamente cualquier lugar donde se encuentren los Datos (primer
objetivo de toda seguridad). por lo que merecern especial atencin tanto desde el
pulo de vista de acceso a los mismos como a la adquisicin de copias (hard .v sofu no
aitoruadas. Es especialmente delicada su conexin a los medios de telecomu
nicaciones.
Seguridad fsica del personal
Accesos y salidas seguras as como medios y rutas de evacuacin, extincin de
Bctojos y medios utilizados para ello (agua en lugares con conducciones y aparatos
elctricos, gases asfixiantes...). sistemas de bloqueo de puertas y ventanas, zonas de
descanso y de servicios...
Normas y Polticas emitidas y distribuidas por la Direccin referentes al uso de
lu ftttibciones por el personal.
14. DEFINICIN DE AUDITORIA FISICA
La Auditora Fsica, interna o externa, no es sino una auditora parcial, por lo que
difiere de la auditora general mis que en el Alcance de la misma.
www.FreeLibros.me
IM AliPnOUlA IMOWMTKA UN NFOQtt PVAC~TK~Q
Riesgo ------- Co n t ro l ------ Pruebas
8.5. FUENTES DE LA AUDITORA FSICA
Ya se ha comentado, brevemente en kw prrafos anteriores. cules pueden jo
algn de las Fuentes donde la Auditora va a encontrar la informacin necesaria p
organizar y desarrollar la Fase 4 del Procedimiento o Ciclo de Vida de la AodiKra
"Plan de Auditora" que le llevar a realizar las pertinentes FYuehas de C'umpliroeru
y Sustantivas.
Un CPD. en esencia, sigue un modelo organizativo mis o menos estndar. *aqx
debido a diferentes causas, como puede ser el tipo de empresa a la que pcncnect,
situacin econmica, disponibilidades de espacio, actitud de la Direccin, etc. hace*
que. en realidad, los C'PD's difieran bastante los unos de los otros.
Se sealan a continuacin algunas Fuentes que deben estar accesibles en tote
Centro de Proceso de Datos.
Polticas. Normas y Planes sobre Seguridad emitidos y distribuidos tanto por
la Direccin de la empresa en trminos generales cono por el Departamento
de Seguridad siguiendo un enfoque ms detallado.
Auditorias anteriores, generales y parciales, referentes a la Seguridad Fsica
a cualquier otro tipo de auditora que. de una u otra manera, est relacieaadi
con la Seguridad Fsica.
Contratos de Seguros, de Proveedores y de Mantenimiento.
Entrevistas con el personal de segundad, personal informtico y de otnt
actividades, responsables de seguridad de otras empresas dentro del ediftnoj
V la vguridad p i y r j l del mitmo. penconal contratado para la Unifica j
mantenimiento de locales, etc.
Actas e Informes de tcnicos y consultores. Peritos que diagnostiques d
estado fsico del edificio, electricistas, fontaneros, tcnicos dd ais
acondicionado, especialistas en electrnica que infornen sobre la calidad y
estado de operatividad de los sistemas de seguridad y alarma, agencias de
seguridad que proporcionan a los Vigilantes jurados, bomberos, etc.
Plan de Contingencia y valoracin de las Pruebas.
www.FreeLibros.me
Informes sobre accesos y visitas. Fjtistencia <le un sistema de control de
entradas y salidas diferenciando entre reas Pcrimetral. Interna ) Restringida.
Informes sobre prueh** de evacuacin ante diferentes tipo de amenaza:
incendio, catstrofe natural, terrorismo, etc.
Informes sobre evacuacin?* reales.
Polticas de Personal. Revisin de antecedentes personales y labrale*,
procedimientos de cancelacin de contratos y despidos, rotacin en el trabajo,
planificacin y distribucin de tareas, contratos fijos y temporal;*.
Inventarios de Sopones (papel y magnticas): cintotcca. back-up.
procedimientos de archivo, controles de salida y recuperacin de soportes,
control de copias, etc.
16- OBJETIVOS DE LA AUDITORA FSICA
Ms arriba, en reas de la Seguridad Fsica prrafo Computadores Personales, se
dx qoe los Datos son el primer objetivo de toda seguridad. Bien entendido que
hac referencia a toda seguridad informtica, la Segundad Fsica es ms amplia y
aloraa otros conceptos entre los que puede haber alguno que supere en importancia a
ks propios datos.
Sin otro nimo ms que el mero orden basado en una lgica "de fiera adentro".
?Kdn indicados estos Objetivos como sigue:
Edificio.
Instalaciones.
Equipamiento y telecomunicaciones.
Datos.
Personas.
17. TCNICAS Y HERRAMIENTAS DEL AUDITOR
Como se ver, no se diferencian de las tcnicas y herramientas ts icas de toda
toerfa y. como en ellas, su fin es obtener la Evidencia fsica.
www.FreeLibros.me
KO At'DTORlA INFORMTICA LX rxrOQlT PHACDCO
Tcnicas:
Obsenwin J e las instalaciones, sistema*, cumplimiento de Nctmu j-
Procedimientos, ctc. no ik> como espectador sino umbin con KMr,;
comprobando por si mismo el perfecto funcionamiento y utilizacin de ta"
conceptos anteriores.
Revisin analtica de:
- Documentacin sobre construccin y preimulacionos.
- Documentacin sobre secundad fsica.
- Polticas y Normas de Actividad de Sala.
- Normas y Procedimientos sobre seguridad fsica de los dalos.
- Contratos de Seguros y de Mantenimiento.
Entrevistar con directivos y personal, fijo o temporal, que no d la *cr.saci4t
de interrogatorio pai vencer el natural recelo que el auditor suele despertara
los empleados.
Consultas a tcnicos y peritos que formen pane de la plaatilU o
independientes contratados.
Herramientas:
Cuaderno Je campo / grabadora Je audio
Mquina fotogrfica/cmara de video
Su uso debe ser discreto y siempre con el consentimiento del personal si ste m
quedar identificado en cualquiera de las mquinas.
8.8. RESPONSABILIDADES DE LOS AUDITORES
El Auditor Informtico, en especial el Interno, no debe desarrollar su activid
como una mera funcin policial dando la impresin a los usuarios informticos y 4
resto de empleados de que se encuentran permanentemente vigilados. Esto crej ix
ambiente tenso y desagradable que en nada favorece ni a las relaciones personales*
al buen desarrollo del trabajo.
El auditor debe esforzarse ms en dar una imagen de colaborador que atoa
ayudar que en la de fiscalizador o caza-infractores. Para ello es necesario que n la
Normas y Procedimientos emitidos por la Direccin figuren las funciones j
responsabilidades de los auditores y que anrfws sean distribuidas y conocidas por lo
la plantilla de la empresa.
www.FreeLibros.me
CAPfTfLO: LA AL DfTORlA HSICA ll
Dentro del campo de responsabilidades de los auditores, las referentes a
Segcridad Fsica, quedan establecidas las siguientes para cada tipo de auditor:
Aaditor informtico interno
Revisar los controles relativos a Seguridad Fsica.
Revisar el cumplimiento de los Procedimientos.
Evaluar Riesgos.
Participar sin perder independencia en:
- Seleccin, adquisicin c implantacin de equipos y materiales.
- Planes de Seguridad y de Contingencia, seguimiento, actualizacin,
mantenimiento y pruebas de los mismos.
Revisin del cumplimiento de las Polticas y Normas sobre Seguridad Fsica
asi como de las funciones de los distintos Responsables y Administradores de
Seguridad.
Efectuar auditorias programadas e imprevistas.
Emitir informes y efectuar el seguimiento de las recomendaciones.
Aaditor informtica externo
Revisar las funciones de los auditores internos.
Mamas responsabilidades que los auditores internos.
Revisar los Ptanes de Seguridad y Contingencia. Efectuar Pruebas.
Emitir informes y recomendaciones.
U FASES DE LA AUDITORA FSICA
Siguiendo la Metodologa EDPAA y sin perjuicio de alguna peque Aa diferencia,
fe que nada en el orden o el mbito de las fases, el Ciclo de Vida quedara:
Fase 1: Alcance de la Auditora
Fase 2: Adquisicin de Informacin General
Fase 3: Administracin y Planificacin
Fue 4: Plan de Auditoria
Fase S: Resultado de las Pruebas
Fase 6: Conclusiones y Comentarios
Fase 7: Borrador del Informe
Fase 8: Discusin con los Responsables de rea
Fase 9: Informe Final
www.FreeLibros.me
m AtpmmU nhmimiica un kmoqu p*chcu
Informe
Anexo al Informe
Carpeta de Evidencias
1-aselO: Seguimiento de las Modificaciones acordadas.
8.10. DESARROLLO DE LAS FASES DE LA AUDITORA
FSICA
Resulta clara la prctica identidad entre el Ciclo de Vida de la Auditoria Roa
con cualquier otro de una auditoria diferente.
Con la intencin de ofrecer algo prctico dentro de tanta teora, se expone i
continuacin el desarrollo de la Fase 2 Adquisicin de Infomun um rclcicntc a un P
de Contingencia, siguiendo la tcnica del check-list para un nxjor ctik-ndimkaio
los conceptos.
La lista ex. naturalmente, orientatisa y en ningn caso se puede oonudem
completa.
Auditora del plan de contingencia
Fase 2 Adquisicin de Informacin
Acuerdo de Empresa para el Plan de Contingencia
Hay algn acuerdo oral o escrito por paite de la Direccin?
Ha emitido y distribuido la empresa Polticas o Normas dirigidas al Plan de
Contingencia?
Qu persona o departamento tiene la responsabilidad del Plan?
Estn las responsabilidades de Planeamiento bien definidas, difundidu j
entendidas por todo el personal?
Se mantiene una estrategia corporativa en el Plan? Todos los depanametm
deben cooperar en el Plan desde su propia especialidad o responsabilidad.
www.FreeLibros.me
CAHniX) LAAtDCTOItlArtSICA l>
Incluyen los presupuestos empresariales fondos destinados l desarrollo y
mantenimiento del Plan de Contingencia?
cutrdo Je un Proceso Alicnw/iro
Est el Acuerdo obligado e impuesto legalmente cuando * produce un
desastre?
Es compatible el equipamiento del Proceso de Datos en el Ccrtro Alternativo
con el equipamiento en el CPD?
Proporciona el Centro Alternativo suficiente capacidad?
Cundo fue la ltima ve* que se prob el Centro Alternativo?
Cules fueron tos objetivos y el alcance de la prueba?
Cules fueron los resultados de la prueba?, quedaron tos resultados bien
documentados?
Han sido implementadas acciones correctivas o estn previstas para una
futura implementacifl?
Est prevista una prxima prueba de uso del Centro Alternativo?
Utiliza la empresa algn equipamiento de proceso que pueda no estar
soportado por el Centro Alternativo?
Prtteccin Je Dalos
Tiene la empresa un Centro Externo para el almacenamiento de los back-up?
Se ha realizado alguna vez una auditora de las cintas y disccs almacenados
en el Centro Back-up Externo?
: * Cul es el Procedimiento de Acceso al Centro Extemo para li obtencin de
i Jos back-up en el caso de un desastre?
Cul es el Procedimiento de Transporte de los back-up desde el Centro
Externo al Centro de Proceso Alternativo?
www.FreeLibros.me
Cul es la estrategia para la Restauracin de programas?. serie ihm
nadas las aplicaciones simultneamente o en fases basadas en prioridad?
Ha .sido asignada prioridad de restauracin a cada aplicacin?
Han sido identificados todos los archivos crticos? I
Se han creado los back-up de los archivos crticos segn una base mtttial
Existe un mnimo de tres ciclos de copias de bck-up en el Centro Euera?
Existen copias actualizadas de los Informes del Sistema de Gestin de Cu
almacenadas en el Centro Back-up Extemo?
Manual del 'tan de Contingencia !
Cmo est estructurado el Plan?
Ex fcil de seguir el Plan en el caso de un desastre?
Indica el Plan quin es el responsable de desarrollar tarcas especficas?
Cmo se activa el Plan ante un desasir?
Cmo esiin contenidos estos procedimientos de activacin en fai
procedimientos de emergencia normales de la empresa?
Han sido probados estos procedimientos en un test de desastre simulado?
Contiene el Plan procedimientos que fijen los daos en las etapas iniciales*
las Operaciones de Recuperacin?
Incluye el Plan procedimientos para trasladar el proceso desde el Can
Alternativo al Centro Resiaurado o Nuevo?
Contiene el Plan lisiados del Inventario del proceso de datos y hard de coa
nicaciones, software, formularios preimpresos y stock de popel y accesorios?
Estn actualizados los listines telefnicos del personal de Recuperacin a
como empleados del Proceso de Datas, alta direccin, usuarios finales y
vendedores y suministradores?
www.FreeLibros.me
Cmo est mantenido d Plan?
Quin es el responsable de actualizar el Plan?
Se mantiene el Log de distribucin del Plan?
Cundo fue actualizado el Plan por ltima vez?
Existe una copia del Plan en el Centro Externo de Back-ttp?
Thxnai. A. J. y Douglas. I. ). Auditora Informtica. Paraninfo. Madrid. 1987.
Contingtncy Ptanning. Auerbach Publisherx.
1. Diferencie entre seguridad lgica, seguridad fsica y seguridad de las
comunicaciones, poniendo varios ejemplos de cada tipo.
2. Explique el concepto de "nivel adecuado de seguridad fsica.
3. Cmo definira lo que constituye un "desastre"?
4. Qu tipos de seguros existen?
5. Qu medios de extincin de fuego conoce?
6. Por qu es importante la existencia de un sistema de control de entradas y
salidas?
7- Qu tcnicas cree que son las ms adecuadas para la auditora fsica?
8. Cules suelen ser las responsabilidades del auditor inforntico interno
respecto a la auditora fsica?
9. Qu aspectos considera ms importantes a la hora de auditar el plan de
contingencia desde el punto de vista de la auditora ffsica?
10. Qu riesgo* habra que controlar en el centro de proceso alternativo?
m u CAPtnu> l a Att>wolA Hsic* m
www.FreeLibros.me
CAPTULO 9
AUDITORA DK LA OFIMTICA
Mantel Gmez Vaz
9.1. INTRODUCCIN
El trmino ofimtica, comnmente utilizado en diferente* mbitos profesionales,
so apvecc definido, sin embargo, en el diccionario de la Real Academia Espartla de
b Lengua. Aunque el objetivo de este captulo no consiste en determinar el concepto
de ofimtica ni en profundizar sobre el mismo, resulta imprescindible disponer de una
deakin que sirv a de punto de partida para el desarrollo del tema que nos ocupa. A
Jo efectos, partiremos de la definicin realizada por Schill. entendiendo ofimtica
amo el sistema informatizado que genera, procesa, almacena, recupera, comunica y
presenta dos relacionados con el funcionamiento de la oficina.
El concepto de ofimitica nace a comienzos de la posada dcadi y las primeras
{tocaciones se desarrollan sobre los computadores centrales de las organizaciones.
Ataque las oficinas siempre han sido consideradas como pioneras en la utilizacin de
herramientas informticas para el desarrollo de sus actividades; desde comienzos de
les noventa se ha producido un espectacular crecimiento en la demanda de sistemas
(Amlicos que todava contina acrecentndose. Ejemplos de ello son: las
apbcarne* especficas para la gestin de tareas, como hoja} de clculo o
procesadores de textos: herramientas para la gestin de documentos, como control de
expedientes o sistemas de almacenamiento ptico de informacin: agenda* y bases de
do* personales; sistemas de trabajo en grupo como el correo electrnico o el control
de flujos de trabajos: etc.
Ij evolucin sufrida en el entorno mkroinformiico ha condicionado el
desarrollo de los sistemas ofimticos actuales. El aumento de la potencia de clculo,
b alta calidad de los productos y la reduccin de costes de k s computadores
www.FreeLibros.me
i Ainnrau isroM\Tic,i un e *hx?w rnXrnco___________________________ em
personales y las estaciones <le trabajo, ha desplazado el desarrollo de aplicaciones
ofinticas a plataformas mieroinformticas y redes de rea local. Hoy en da. partee
incuestionable que los productos desarrollados en plataformas microinfonnUai
ofrecen unas prestaciones y una relacin coste/beneficio muy superior a las soluciono
sobre computadores centralizados. Este desarrollo de sistemas ofimticos h>
mantenido dos paradigmas fundamentales: el escritorio virtual y el trabajo cooperato
(CSCW. Contpuiftl Supported Cooperis* Work).
Podemos aproximar el concepto de escritorio virtual como un nico pand
representado por la pantalla del computador, que sustituya la mesa de tratap
tradicional, y donde *c encuentren disponibles todas las herramientas necesarias pao
desarrollar las actividades del oficinista. La interfaz debe parecer natural al usuario y
debe ser fcil de aprender y utilizar. Las diseas aplicaciones, adems de realizar las
tareas para las que han sido diseadas de un modo eficaz y eficiente, deben integrare
perfectamente entre s.
El CSCW podra considerarse como una extensin del concepto de integracin de
aplicaciones. De acuerdo con Kracmer, podramos definirlo como una multiplicidad
de aclividades coordinadas, desarrolladas por un conjunto de participantes y
soportadas por un sistema informtico. Por consiguiente, el enlomo ofinitiro.
adems de posibilitar la realizacin del trabajo personal de cada empleado, debe
permitir intercambiar la informacin necesaria en los disertos procesos de la
organizacin, as como posibles interacciones con otras organizaciones.
La prctica totalidad de los paquetes ofimticos presentes en el mercado h
desarrollado siguiendo el paradigma del escritorio virtual alcanzando un grado de
desarrollo aceptable incluso facilitando la integracin con otros producios de
diferentes fabricantes. Asimismo, durante los ltimos artos se ha incrementado la
oferta de aplicaciones CSCW. debido principalmente al desarrollo espectacular sufrido
en las comunicaciones. Este tipo de aplicaciones han incrementado s
funcionalidades y estn avanzando en la implantacin de estndares para la
integracin entre sistemas ofimticos de distintas organizaciones.
9.2. CONTROLES DE AUDITORA
La mayora de los problemas que se producen en la informatizacin de oficinal
no difieren su vtanc talmente de los encontrados en otros mbitos de la organiz*.-i&
Sin embargo, existen dos caractersticas peculiares de los entornos ofimticos: la
distribucin de las aplicaciones por los diferentes departamentos de la organizacin et
lugar de encontrarse en una nica ubicacin centralizada: y el traslado de la
responsabilidad sobre ciertos controles de los sistemas de informacin a usuarios
www.FreeLibros.me
CATfTVtO AUDtTOftlAIX lAOMMMKA 199
fiMks no dedicados profesionalmente a la informtica. que pueden no comprender de
m ndo adecuado la importancia de los mismos y la forma de realizarlos.
Como consecuencia de los dos factores enunciados, se ha generado una
peeNemhca propia en este lipo de emomos: adquisiciones poco planificadas:
desarrollos ineficaces e ineficientes, incluso ea procesos crticos pa el correcto
(unciocamcnto de la organizacin; falta de conciencia de los usuarios acerca de la
eguridad de la informacin; utilizacin de copias ilegales de aplicaciones;
procedimientos de copias de seguridad deficientes; escasa formacin del personal;
t w u u de documentacin suficiente; etc.
Considerando los problemas expuestos y dejando al margen los conceptos
desarrollados en el captulo correspondiente a la auditora de redes para evitar
sebjumientos. hemos elaborado una relacin de controles de auditoria bsicos. Los
(trotes seleccionados, sin conformar una relacin exhaustiva, han sido descritos de
Ul modo que puedan ser de aplicacin a cualquier organizacin, adatndolos a las
canctcrfsticas de la misma. En algunos entornos ser necesario algn control
adicional que no se encuentre entre los propuestos y en otros entornos alguno de los
(entrles puede no resultar adecuado.
Los controles, que se presentan agrupados siguiendo criterios relacionados con
aspeaos de economa, eficacia y eficiencia; seguridad y condicionantes legales, son lo
suficientemente generales para servir de base en la elaboracin del guin de trabajo de
lt labor del equipo auditor.
9.2.1. Economa, eficacia y eficiencia
Determinar si el inventario ofimtico refleja con exactitud lo equipos y
aplicaciones existentes en la organizacin.
A causa del bajo coste de muchos componentes, resulta difcil mantener un
registro fiable de todas la* compras que realiza la organizacin. Con frecuencia
ilgunos departamentos sortean los procedimientos de autorizaciones de compra
establecidos dentro de la organizacin, por ejemplo, utilizando factur* de adquisicin
de material no inventariable.
Un inventario poco fiable puede repercutir en el balance de a organizacin,
posibilitando que no se detecten sustracciones de equipamiento informtico o de
hcetKias de programas contratadas. Hemos seleccionado este control en primer lugar,
y qee la fiabilidad del inventario resultar indispensable para auditar otros controles
presentados posteriormente.
www.FreeLibros.me
no AimWHKUlMOHMTICA fNrMOQUEHtCnCO
El equipo auditor comprobar que se han definido mecanismos para garanta
que todo* lo* equipos adquirido en la organizacin wn dcbtdancrtc inventariado!
Despus, constatar la conciliacin realizada en la ltina auditora financien
entre el inventario oficial y las adquisiciones efectuadas. Ms tarde, revisando Kdu
las dependencias, almacenes y archivos, elaborar una relacin exhaustiva de k*
equipo informticos y de las aplicaciones y archivos que residen en los mismo Ea
esta relacin debe quedar reflejada tambin la versin correspondiente a cada uxu de
I las aplicaciones instaladas.
Finalmente, identificar las diferencias reales entre la rebein elaborada por d
equipo auditor y el inventaro oficial para proceder a la subsanacin de tas errores
detectados.
Determinar v evaluar el procedimiento de adquisiciones de equipos j
aplicaciones.
Una poltica de adquisiciones descentralizada en la que cada departamento se
encargue de realizar sus compras, ofrece ventajas en cuanto a fexibilidad y capacidid
de reaccin de los mismos, pero podra acarrear significativa! prdidas econmicas
para el conjunto de la organizacin.
El equipo auditor comprobar que en el procedimiento de adquisicin se valona
aspectos relativos a la necesidad real de los equipos solicitados y a la integracin de
dichos equipos con el sistema existente. En el caso de contra de paquetes o de
contratacin de desarrollos externos, determinar si las prestaciones ofrecidas pe* d
producto solicitado se ajustan a las actividades que se pretenden desarrollar con l; s
las plataformas en las que van a ser instaladas las aplicaciones tienen suficiente
capacidad pora soportarlas de un modo eficiente: si los nuevos productos pueden
configurarse, en cato de necesidad, pora obtener suficientes pistas de auditora que
permitan efectuar un seguimiento de las anomalas producidas durante su ejecucin; y
la experiencia y solvencia del proveedor.
Pul itndo. dl inventario actualizado, analizar lo-. proccdincoiot
pora la adquisicin de los productos seguidos en los diversos departamentos de b
organizacin y determinar la existencia de equipos y aplicaciones similares. En caso
de que los diversos departamentos de la compaa realicen pedidos sobre equipos y
complementos de manera independiente, estudiar si se est desaprovechando U
posibilidad de negociar descuentos mediante la aplicacin de una poltica centralizad!
de compras. Del mismo modo, considerar otros mecanismos que pudieran reducir k
costes de la organizacin como podra ser la negociacin centralizada de compra de
licencias de aplicaciones.
www.FreeLibros.me
Determinar y evaluar la poltica de mantenimiento definid i en la O r ea
lizacin.
Los procedimientos dcscentraliz-idos han pfopicixlo que. en ocasiones, los
eqoipos adquiridos no sean incluidos ni en el inventario ni en los contratos de
manienimicnto. Incluso podra llegar a suceder que el personal de ki organizacin
encargado del mantenimiento no dispusiera de los conocimientos recesarios para
levarlo a cabo.
El equipo auditor examinar la utilizacin de las garantas de los productos
adquiridos. comprobando que no se realizan pagos innecesarios por asistencias de
eqpos y aplicaciones que se encuentren en garanta. Para ello, deber verificar que
le usuarios finales conocen el estado de las garantas de cada uno de los productos
(fie uilizan y los mecanismos para hacerlas efectivas.
Por lo que respecta a productos cuya garanta haya caducado, determinar cules
disponen de contratos de mantenimiento vigentes con empresas extenus y cules son
aquellos en los que la responsabilidad del mantenimiento recae en la propia
organizacin. En las contrataciones de mantenimiento con empresas externas,
verificar si se han incluido en el contrato aspectos como el tieirpo mximo de
respuesta, recambios y mano de obra, mantenimiento preventivo, etc. Tambin
comprobar que el personal, tanto interno como externo, asignado en tareas de
mantenimiento tiene suficientes conocimientos de las plataformas que debe mantener,
y que recibe la formacin adecuada sobre los nuevos productos instalados en la
organizacin.
En relacin con la gestin de incidencias producidas, el equipo auditor
ccmpeobar la existencia de un registro de las mismas, los procedimientos
establecidos para asignar recursos para solucionarlas, los guiones preparados para
solventar las incidencias ms frecuentes y el seguimiento de las mismas hasta su
radiacin. Tambin valorar si el tiempo empleado para atender las solicitudes y
resolver las incidencias producidas puede llegar a afectar al funcionamiento de la
organizacin.
Evaluar la calidad de las aplicaciones del entorno ofimtico desarrollada por
personal de la propia organizacin.
La utilizacin de herramientas climticas por los usuarios finales aa propiciado el
desarrollo de aplicaciones, en muchos casos sin las debidas garantas de fiabilidad,
covo real funcionamiento puede repercutir significativamente en la actividad de la
organizacin cuando se trate de aplicaciones que gestionen procesos cticos. Por otra
pane, tambin es comn que los desarrollos en estos entornos no luyan seguido los
controles de calidad y seguridad suficientes, posibilitando que algn programador
haya introducido "puertas traseras", bombas lgicas o cualquier otro mecanismo que
putera perturbar el buen funcionamiento de la aplicacin desarrollada
cum__________________________________ CATfTVlX) AtlDnOHlADgLAOtlMATK'A 3>l
www.FreeLibros.me
XC AtPnOItlN IMORMA1KA: L~NKNKXJCE PBAtHOO
El equipo auditor determinar la existencia de un departamento responsable de
controlar el desarrollo de aplicaciones de toda la orgamzaoa. y que se han cfmtk
procedimientos generales de peticin, autorizacin, asignacin de prioridad*
programacin y entrega de aplicaciones, o bien si los departamentos han desarrollad
aplicaciones de uso interno, bajo sus propios criterios, sin cortrol de un depamnea
responsable. En el caso de desarrollos realizados por p:rsonal de los peopo
departamentos, el equipo auditor tendr que determinar si la metodologa empcate y
los test de pruebas se ajustan a lo dispuesto en la organizacin.
Al igual que en el caso de las aplicaciones adquiridas o desarrolladas fuera de ti
organizacin, comprobar que las aplicaciones desarrolladas internamente puedes
configurarse para obtener las suficientes pistas de auditoria q je permitan efectuar
seguimiento de las anomalas producidas durante su ejecucin. Asimismo, verificad
que los desarrollos se realizan sobre un entorno de desarrollo, evitando opa*
directamente sobre los datos reales de explotacin.
Tambin es tarea del equipo auditor examinar el repone de incidencias de 1
aplicaciones, as como las reclamaciones manifestadas por los clientes y u s u r
como indicios para detectar aquellas aplicaciones que podran rstar funcionando de u
modo anmalo.
K valuar la correccin del procedimiento existente para la realizacin de le
cambios de versiones y aplicaciones.
Los cambios de aplicaciones o de versiones pueden prodicir situaciones de ika
de integracin y de incompatibilidad entre los nuevos productos instalados y ka
existentes con anterioridad. Prcticamente la totalidad de las nuevas versiones n t
capaces de manejar los formatos utilizados por versiones anteriores, pero no sieiapct
ocurre en sentido contrario.
El equipo auditor determinar la existencia de procedimientos formal roen*
establecidos para la autorizacin, aprobacin, adquisicin de nuevas aplicaciones y
cambios de versiones. Asimismo, comprobar que las aplicaciones instaladas y Im
i~mhrw A t v m m m bis segiiirfn trwtnv los trmites exigid) en el procedimxato
establecido.
Tambin se ocupar de determinar si se han analizado los problemas de
integracin y las incompatibilidades que pueden plantear los nuevos productos
previamente a su implantacin; si se ha establecido algn plan para la formacin de
los usuarios finales que vayan a utilizar estos nuevos producs; y si los encargados de
mantenerlos han adquirido los conocimientos suficientes para cue los cambios que va
a producirse no impacten negativamente en el funcionamiento de la organizacin.
www.FreeLibros.me
ItVLO AlPtTOKA l>F. t-AOFlMATKA
Determinar si los usuarios cuentan con suficiente formacin y la
documentacin de apoyo necesaria para desarrol lar tus t areas de un modo eficaz
y eficiente.
Un conocimiento deficiente de las funcionalidades de las aplicaciones por parte
& los usuarios finales o de los encargados del mantenimiento, picdc ocasionar
prdida de eficacia y eficiencia en la utilizacin de las mismas. No debemos olvidar
que carecer de los conocimientos necesarios puede ser debido tanto a qoc los usuarios
to han sido formados como a que no han aprovechado debidamente los cursos de
formacin recibidos.
FJ equipo auditor determinar la exiMencia de un plan de formacin para
garantizar que todo el personal conoce los productos que tiene que utilizar, incluyendo
bs nuevas aplicaciones y las versiones instaladas. Tambin comprobar que tras la
b o d n de los cursos, se aplica algn mecanismo para determinar el
aprovechamiento conseguido por los alumnos, y si se entrega a los usuarios
documentacin bsica de la operativa del producio. o si pueden acceder a ella
fcilmente en caso de necesidad.
Igualmente, comprobar que los empleados utilizan las posibilidaJes que ofrece
el producto y no simulan procedimientos utilizados en versiones previas o en
afcacioncs utilizadas con anterioridad. Asimismo, evaluar los mecanismos y
rcalos establecidos para solucionar las dudas y problemas planteados determinando
a la responsabilidad de solucionarlos corresponde a un equipo de soxirte comn a
toda la organizacin, o bien, recae sobre el propio departamento.
Determinar si el sistema existente se ajusta a las necesidades reales de ln
trpnizacin.
La exigencia de equipos obsoletos o infrautilizados puede ocasionar situaciones
qce, por nula distribucin de los equipos a las necesidades de la organizacin,
irpcreuun en el correcto funcionamiento de la misma.
El equipo auditor valorar el uso que se realiza de los equipos existentes,
elaborando una relacin de aquellos computadores que no se encuentren operativos.
Asimismo, revisar las actividades que se ejecutan en cada equipo, determinando
apello* puestos de trabajo que. por las urcas que desempean, necesitan ser
atomatizados o precisan actualizar los equipos existentes: as como lucilos puestos
qoe, debido a su escasa actividad, se encuentran sobredimensionados.
A la vista de los resultados obtenidos, elaborar una relacin con
ecsendacioocs sobre descatalogacin de productos obsoletos, redistribuciones y
adquisiciones de nuevos equipos y aplicaciones.
www.FreeLibros.me
9.2.2. Seguridad
Determinar d existen KiianliiH sufiricntrs para proteger lov acceso no
autorizados a la informacin reservada de la empresa y la integridad de b
misma.
Las aplicaciones ofimineas gestionan informacin reservada como agendas de
contactos, informes sobre temas confidenciales, estadsticas obtenidas coa
informacin extrada de la base de datos corporativa, etc. Los accesos no autorizad
o las inconsistencias en este tipo de informacin pueden comprometer el boa
funcionamiento de la organizacin.
Al margen de los requerimientos que. en un futuro, disponga el reglamento de
seguridad en desarrollo del articulo 9 de la Ley Orgnica 5/1992. de regulacin dd
tratamiento automatizado de datos de carcter personal, pendiente de aprobacin, h
organizacin ha de establecer las polticas y procedimientos de seguridad necesario*
pora garantizar la confidencialidad, integridad y disponibilidad de la informacia
almacenada.
Las funcionalidades en materia de segundad de las aplicaciones climticas y loa
sistema operativos de los computadores personales se han incremntalo
significativamente en h ltimos artos, ofreciendo un nivel de seguridad aceptable.
No obstante, garantizar el cumplimiento de algunas de las medidas de seguridad
expuestas a continuacin exigir recurrir a la adquisicin de paquetes adicionales y.
sobre todo, la adopcin de medidas organizativas.
FJ equipo auditor examinar la documentacin en materia de seguridad existente
en la organizacin y comprobar que han sido definidos, al menos, procedimientos de
dasificadn de la informacin, control de acceso, identificacin y autenticacin,
gestin de sopones, gestin de incidencias y controles de auditoria. Coa
posterioridad, pasar a comprobar si las medidas de seguridad definidas se encuentras
realmente operativas.
En primer lugar, determinar si el procedimiento Je lanificacin de U
informacin establecido ha sido elaborado atendiendo a la sensibilidad e importancia
de la misma, y comprobar que toda la informacin se ha clasificado en funcin de loa
criterios establecidos.
Tras verificar que las fundones, obligaciones y responsabilidades, en materia de
seguridad, de cada puesto de trabajo estn claramente definidas y documentadas,
comprobar que se han adoptado las medidas necesarias para que todo el personal
conozca tanto aquellas que afecten al desempeo de su actividad como las
responsabilidades en que pudiera incurrir en caso de incumplirlas.
X MIPtTWtlA INKXtMTKA CN*t-NWXJt1*: MlCTtOO___________________________ IUIU
www.FreeLibros.me
rAHTtLO AUOrTORlA IXi LA oi mhca a
Examinando la relacin actualizada de usuarios del sistema y de derechos de
ioeo establecidos, comprobar que cada usuario tiene autorizacin para acceder
incamemc a aquellos datos y recursos informticos que precisa para el desarrollo de
u t funciones.
El equipo auditor deber comprobar si se han establecido procedimientos de
identificacin y autenticacin para el acceso al sistema. Cuando el mecanismo de
Mtnticacin se base en contraseas, determinar si el procedimiento de creacin,
nacenamiento. distribucin y modificacin de las mismas garantiza su
confidencialidad. Tambin, determinar si los usuarios desconectan sus puestos de
tatujo al finalizar la jomada, y si existe algn mecanismo que produzca la
escooexin automtica de un usuario tras un periodo de inactividad determinado, o
lien, que precise introducir una contrasea para poder reanudar el trabajo.
En ningn caso olvidar verificar el cumplimiento de los procedimientos
estiblecidos para solicitar nuevos accesos o modificaciones sobre los derechos
definidos para un usuario, y que. exclusivamente, el personal autorizado se ocupar de
cooceder. alterar o anular los derechos de acceso sobre los datos y recursos
rfocmiticos.
El equipo auditor analizar el procedimiento de notificacin y gestin de
incidcncias definido en la autorizacin, determinando cules son las incidencias
registradas, el momento en que se producen, la persona que realiza la notificacin, a
quta le son comunicadas, el responsable asignado para revisarla y corregirla, los
eectos producidos y las actuaciones que ha provocado.
Finalmente, comprobar que lodos los sopones informticos permiten identificar
b informacin que contienen, son inventariados y se almacenan en un lugar con
icceso restringido nicamente al personal autorizado. Igualmente, verificar que la
uUa de sopones informticos fuera de la organizacin es debidamente autorizada.
Determinar si el procedimiento de generacin de las copias de respaldo es
fu ble y garantiza la recuperacin de la informacin en caso de necesidad.
La informacin generada por el sistema debe estar disponible en todo momento.
U no disponibilidad de datos, especialmente de aquellos procedimientos crticos para
b organizacin, adems de las consabidas prdidas econmicas, podra llevar, en el
urtmo. a la paralizacin del departamento.
12 equipo auditor examinar el procedimiento de copias de seguridad seguido en
borginizacin. verificando la suficiencia de la periodicidad, la correcta asignacin de
mpontabilidadex y el adecuado almacenamiento de los soportes.
www.FreeLibros.me
g DITORU ISKHtMATK V UN IVKXX'f HtCTICP
bit primer lugar, comprobar que la responsabilidad de realizar las copias de
seguridad est asignada y que cada responsable realiza copias de la informacin que k
encuentra bajo su responsabilidad, de tal forma que lodos los datos ica
salvaguardados. A continuacin, verificar la existencia de un inventario de 'a
soportes que contienen las copias de seguridad y de la informacin salvaguardada.
Posteriormente, determinar si la seguridad impkmentada para garantizar h
confidencialidad e integridad de las copias de salvaguarda ofrece ginota
I equivalentes a las definidas pira la informacin que contienen, tanto en los sopona
que ve mantienen en los locales de la empresa como en aquellos que se trasladan a ata
ubicacin externa.
l-inalmcnie. controlar la eficacia del procedimiento definido para la recuperado
de las copias de seguridad, determinando si los soportes contienen la informacin qse
est previsto que contengan, y si es posible la recuperacin de la misma, de forro 9a
el resultado final sea un fiel reflejo de la situacin anterior.
Determinar si est garantizado el funcionamiento ininterrumpido de
aquellas aplicaciones cuya cada podra suponer prdidas de integridad de b
informacin y aplicaciones.
En las organizaciones se desarrollan procesos en los que una cada de tenst
podra ocasionar prdidas de integridad de la informacin y aplicaciones ituncpju,
en ocasiones irrecuperables.
El equipo auditor determinar la existencia de sistemas de alimentante
ininterrumpida, y si stos cubren el funcionamiento de aquellos equipos en ios que k
ejecutan procesos cuya intemipcn podra ocasionar graves repercusiones.
Asimismo, debe ocuparse de similar una cada de tensin, verificar si los equpa
de alimentacin ininterrumpida entran en funcionamiento y comprobar si el tiempo de
actividad proporcionado por el sistema de alimentacin ininterrumpida es sufwieaie.
para la finalizacin de los procesos crticos y la desconexin del sistema.
Determinar el grado de exposicin ante la posibilidad de intrusin de virus.
Los costes derivados de la intrusin de virus informticos se han multiplicado a
k* ltimos artos: prdida de la informacin y empleo de recursos y tiempo pm
restablecer el sistema, llegando en algunos casos a la paralizacin temporal dd
departamento.
El equipo auditor analizar la proteccin establecida en cada uno de los piona
del sistema por los que podran introducirse virus: disqueteras. mdem, accesm a
www.FreeLibros.me
CAPiiVLO AtommiAi. iaoummica xi?
les. etc.: y revisar la normativa para la instalacin y actualizacin peridica de
prodo:tos antivirus, prestando especial atencin a aquellos casos en que la
formacin manejada puede ser crtica para el funcionamiento de la organizacin.
Asimismo, analizar la configuracin de los equipos y la iMtalacin de
ffogramas que permitan detectar la existencia de virus, evitar su ir t m i n en el
Ksicrru y eliminar aquellos que se hayan introducido.
En caso de que detectara algn virus en alguno de los equipos, el equipo auditor
itfc*mar inmediatamente al responsable autorizado sugiriendo las medidas que
estime pertinentes pora evitar la propagacin del mismo.
9.2.3. Normativa vigente
Determinar si en el entorno ofimitico se producen situaciones que puedan
aponer infracciones a lo dispuesto en la ij t y Orgnica 51/1999. de proteccin de
latos de carcter personal (I.OPD).
La I.OPD establece una serie de principios y derechos de los ciudadanos en
dacin con sus datos de carcter personal incluidos en archivos automatizados.
Adems, aquellos afectados que sufran daAo o lesin en sus bienes o derechos
coco consecuencia del incumplimiento de k> dispuesto en la LOPD. purden reclamar
h correspondiente indemnizacin ante los Tribunales de Justicia.
El equipo auditor deber comprobar la existencia de un inventar) de archivos
qoe manejan datos de carcter personal y constatar que este inventario contiene todos
bs archivos gestionados en los entornos ofimticos. Aunque en la mayora de los
casos estos entornos gestionan archivos que se constituyen como meramente auxiliares
* otros existentes en la organizacin, en algn supuesto podran tratarse datos
personales que no se encontraran incluidos en ninguno de los archivas o bases de
*os corporativas. La tarea del equipo auditor consistir en determinar que los
chivos que gestionan datos personales en entornos ofimticos se encuentran bajo
oirol y que han sido notificados al Registro General de la Agencia de Proteccin de
Dmos.
Los controles para verificar que los archivos existentes cumplen los preceptos
otibiecidos en la LOPD no pueden excluirse de los procedimientos generales para
lodi la organizacin, excediendo, por consiguiente, del alcance del presente capitulo.
www.FreeLibros.me
Basic recordar que el equipo auditor deber comprobar la adecuacin y valida*
los proced miemos establecido* en la organizacin pora garantizar el cumplimiento*
los principios (calidad de los datos, informacin en la recogida, consentimiento dri
afectado para el tratamiento y la cesin, seguridad de datos, deber de secreto, ele.);
derechos (acceso, rectificacin y cancelacin) recogidos en la mencionada Ley.
Determinar si en el entorno ofimtico se producen situaciones que potda
suponer infracciones a lo dispuesto en el Real Decreto legislativo 1/19%, i t U
I de abril, sobre la propiedad intelectual.
La mayorfa de las copias ilegales utilizadas en las organizaciones corresponde!
aplicaciones mkroinftxmticas. en especial a aplicaciones ofimticas. Este hetto
puede provocar que aquellos afectados que sufran algn tipo de dato o perjuicio ccot
consecuencia del incumplimiento de lo dispuesto en el Real Decreto Legislativo sobit
la propiedad intelectual, presenten reclamaciones ante los Tribunales de Justicia
puedan derivar incluso causas criminales.
El equipo auditor deber elaborar una relacin exhaustiva de las aplicackoa,
residentes en equipos ofimtico s. que precisen licencia para su utilizacin. bu
relacin se contrastar con el inventaro de la organizacin para verificar <pe
coinciden, y. en caso contrario, deber averiguar cules son las copias ilegalmetft
utilizadas.
FJ equipo auditor se ocupar de verificar la definicin y aplicacin de medri*
con carcter preventivo, tales como: la existencia de un rgimen disciplinario if* ta
conocido por todos los empleados, la inhabilitacin de las disqueteras y otros pucm
de entrada y salida, y las limitaciones en el acceso a redes externas a la organizante.
Igualmente, verificar las medidas defectivas existentes ules como: la asignad*
de responsables que se ocupen de efectuar exploraciones peridicas de las aplicacin
contenidas en cada computador y de analizar los niveles de utilizacin de la
aplicaciones compartidas en la red.
Finalmente, comprobar la definicin de medidas correctivas tales cocnoc h
eliminacin de las copias ilegales que se localicen: los procedimientos pora detereior
el modo de intrusin y. en consecuencia, definir medidas para evitar que esta sitwci*
se repita: y adoptar las acciones disciplinarias pertinentes.
y * AtlMTOKtA INIOHMTK'A UN fc-OQt-'E HtACTKO___________________________ CU*
9.3. CONCLUSIONES
La mayora de las aplicaciones de auditora en entornos ofimticos no difiot
sustancial mente de las actuaciones necesarias para auditar sistemas centralizados Fi
ambos casos, la experiencia profesional del auditor supone el elemento fndame!
www.FreeLibros.me
pus U seleccin de los controles objeto de verificacin y la adecuacin de los mismos
1sistema a auditar, teniendo presente en lodo momento que la evolucin sufrida por
tos enlomo ofimticos exigir conocimientos especficos y tcnicas novedosas.
La presentacin de los controles muestra una secuencia en las actuaciones a
(alizar en la auditora. Como paso previo al inicio de la auditora propiamente dicha,
el equipo audito debe comprender en profundidad el funcionamiento del sistema y del
so que se hace del mismo, ari como analizar los riesgos a los que est expuesto. Para
cada uno de los aspectos a revisar, debe comprobar la definicin de controles
preventivos, defectivos y correctivos. Acto seguido, debe verificar si los controles
defendos son realmente aplicados por los usuarios durante el desarrollo de sus
wividades. Finalmente, deber emitir una valoracin acerca de la suficiencia y
adecuacin de los controles definidos c implantados para la prevencin de los riesgos
a k que se encuentra sometido el sistema.
Dorante la exposicin de los controles, nos hemos referido con frecuencia a
| documentos, procedimientos y polticas de actuacin definidas e implantadas en la
organizacin; sin embargo, es un hecho habitual que algunos de ellos no hayan sido
definidos. Es labor del auditor, adems de constatar tales deficiencias en su informe,
pwxipur en la elaboracin de los mismos. Es decir, el auditor debe ocuparse de
detectar las deficiencias presentes en el funcionamiento de la organizacin, pero,
adems. debe contribuir con su experiencia y conocimientos en la elaboracin de los
procedimientos y recomendaciones que permitan subsanarlas.
Como consideracin final, recomendar que la auditora ofimitica no debe
tta'-msc de un modo independiente. Nos parece ms adecuada la integracin de los
esetroles ofimticos dentro de un plan de auditora de mayor alcance, principalmente
per activos de eficacia y eficiencia en la preparacin y desarrollo de la misma.
Itocus, A J Douglxs, I. J. Auditora informtica. Paraninfo. 1987.
Roa Weber EDP auditing. Conceptual foundations and practice. McGravv Hill.
1988.
tremer, K. L.. King. J. L. Compute r-Based systems f o r Cooperalive Work and
H Groap Dectsions Moking. ACM Comp. Survcys, sol. 20. n.* 2. junio 1988. pp.
; 115-146.
B l a c t t e c h PuNicactions. EDP Auditing. 1993. Captulos 74-01-01. 74-01-05. 74-
>01744)1-30.74-01-65. 74-01-71 y 75-01-15.
ctH__________________________________CAPtTVlO AUDTKXtlA DE LA (X1MTICA 30V
, Alexander. Cooperative office systems: Concepts. Prentice Hall. 1995.
www.FreeLibros.me
I- Qu elementos de un sistema informtico se contemplan dentro de k
ofi mtica?
2. Explique el paradigma de escritorio virtual.
3. Qu distingue la auditora de ofimtica de la ce otros entornos tafo-
mticos?
4. Analice la repercusiones que poede tener en un empresa un inventan
poco fiable bajo las perspectivas de la economa, la eficacia y la eficiencia.
5. Cmo debera ser un procedimiento para la realizacin de cambio it
versiones de paquetes ofimticos?
6. Calcule el coste real de un computador personal pan una empresa deagt et
cuenta el hardware, software, mantenimiento, formacin, de.).
7. Qu mecanismos de seguridad de los que conoce se pueden aplicar a k*
computadores personales?
8. Escrba un procedimiento para la utilizacin de equipos ofimitico* q*
pueda ser entendido por usuarios finales.
9. Analice las principales "vacunas'' existentes en el mercado contra virus <pe
afecten a computadores personales.
10. Qu consideraciones al entorno ofimtico se encueitran en la LOPD?
www.FreeLibros.me
CAPTULO 10
AUDITORA DK LA DIRECCIN
Juan Miguel Ramos Eseobout
10.1. INTRODUCCIN
S*mpre se ha dicho que una organizacin es un reflejo de las caractersticas de
direccin. Los modo* y maneras de actuar de aqulla cun influenciados por la
fibwfa y la personalidad de la segunda.
Obviamente, los departamentos informticos no son una excepcin. Aunque
fuede argumentarse con razn, que. a su vez. estos departamentos estn integrados en
crpeuacioncs mayores y que. por tanto, son destinatarios de un sinfn de estmulos
de las mismas, qu duda cabe de que. dado el mbitq tecnolgico tan particular de la
Somtica, la principal influencia que dichos departamentos reciben viene inducida
desde la propia direccin de informtica. F.n cualquier caso, es en lo que se centra este
aplalo: en la auditora de la Direccin entendida como gestin (en el resio del
ciftaiSo se intercambiarn los dos trminos) de la Informtica.
Las enormes sumas que las empresas dedican a las tecnologas de la informacin
cu un crecimiento del que no se vislumbra el final y la absoluta dependencia de las
sumas al uso correcto de dicha tecnologa lucen muy necesaria una evaluacin
independiente de la funcin que la gestiona. Rilo constituye, de hecho, la razn
piKipal de este libro. La direccin de informtica no debe quedar fuera: es una pieza
cinc del engranaje.
Sin entrar en discusiones profundas sobre el alcance y significado detrs del
voto dirigir (no es el objetivo de este libro y existen multitud de plumas ms
preparadas que la ma para disertar adecuadamente sobre este apartado), de una
www.FreeLibros.me
manera general, se podra decir que algunas de las actividades hisicas Je todo pwa
de direccin son:
Planificar
Organizar
Coordinar
Controlar
"1
211 AUDITORA INFORMTICA- UN KSKIQt'E WtCnCO vm
10.2. PLANIFICAR
En grandes lneas, se trata de prever la utilizacin de las tecnologas de b
informacin en la empresa. Existen varios tipos de planes informticos. El priaripl
y origen de todos los dems, lo constituye el Plan Estratgico de Sistemas 6c
Informacin.
10.2.1. Plan Estratgico de Sistemas de Informacin
Es el marco bsico de actuacin de los Sistemas de Informacin en la empeca
Debe asegurar el alineamiento de los mismos con los objetivos de la propia empresa.
Desgraciadamente, la transformacin de los objetivos de la empresa en objetiva
informticos no es siempre una tarea fcil. Mucho se ha escrito sobre el contenido)
las ventajas e inconvenientes de las diversas metodologas de realizacin de este 6po
de planes. No se trata en estos breves apuntes de terciar en dicha polmica. El leda
encontrar abundante bibliografa sobre la materia. El auditor deber evaluar si l i a
metodologas se estn utilizando y/o pueden ser de utilidad para su empresa.
Estrictamente hablando, estos planes no son responsabilidad exclusiva de b
Direccin de Informtica. Su aprobacin final probablemente incumbe a cor
estamentos de la empresa: Comit de Informtica (ver ms abajo) e incluso en ltia
trmino de la Direccin General. Sin embargo, la Direccin de Informtica debe ser d
permanente impulsor de una planificacin de Sistemas de Informacin adecuadi y i
tiempo.
Aunque se suele definir la vigencia de un plan estratgico como de 3 a 5 aAos,de
hecho tal plazo es muy dependiente del entorno en el que se mueve la empresa. Kij
muchos factores que influyen: la cultura de la propia empresa, el sector de actividad
es decir, si la empresa se encuentra en un sector en el que el uso adecuado de h
tecnologa informtica es un factor estratgico - el sector financiero, por ejemplo . Ix
acciones de la competencia, etc. Cada empresa tiene su equilibrio natural y el ao&r
deber evaluar si los plazos en uso en su empresa son los adecuados.
www.FreeLibros.me
En cualquier caso, independientemente de la metodologa, 1 plazo y la
roones concretas, llevad a cabo, debe existir un proceso, con participacin activa
te los usuarios, que regularmente elabore planes estratgicos de Sistemas de
kfcmucin a largo plazo, cualquiera que vea ese largo, y el auditor deber evaluar su
tocacin.
Cw de auditora
El auditor deber examinar el proceso de planificacin de sistemas de
fcrmxia y evaluar si razonablemente se cumplen los objetivos pora el mismo.
Etttc otros aspectos, deber evaluar si:
Durante el proceso de planificacin se presta adecuada atencin al plan
estratgico de la empresa, se establecen mecanismos de sincronizacin entre
sus grandes hitos y los proyectos informticos asociados y se tienen en cuenta
aspectos como cambios organizativos, entorno legislativo, evolucin
tecnolgica, organizacin informtica, recurvo*, etc., y sus impactos estn
adecuadamente recogidos en el Plan Estratgico de Sistemas de Informacin.
Igualmente, el auditor deber evaluar si se presta adecuada consideracin a
nuevas tecnologas informticas, siempre desde el punto de vista de su
contribucin a los fines de la empresa y no como experimentacin
tecnolgica.
Las tareas y actividades presentes en el Plan tienen la correspondiente y
akcuada asignacin de recursos para poder llevarlas a cabo. Asimismo, si
tienen plazos de consecucin realistas en funcin de la situacin actual de la
empresa, de la organizacin informtica, del estado de la tecnologa, etc.
Entre las acciones a realizar, se pueden describir
Lectura de actas de sesiones del Comit de Informtica dedicadas a la
planificacin estratgica.
Identificacin y lectura de los documentos intermedios prescritos por la
metodologa de planificacin.
Lectura y comprensin detallada del Plan e identificacin de las
con udc raciones incluidas en el mismo sobre los objetivos empresariales.
' cambios organizativos, evolucin tecnolgica, plazos y niveles de recursos,
etc.
Realizacin de entrevistas al Director de Informtica y a otros miembros del
Comit de Informtica participantes en el proceso de elaboracin del Plan
Estratgico Igualmente, realizacin de entrevistas a representantes de los
usuarios con el fin de evaluar su grado de participacin y sintona con el
contenido del Plan.
www.FreeLibros.me
Identificacin y comprensin de lo* mecanismos existentes de seguimiento;
actualizacin del Plan y de su relacin con la evolucin de la empresa.
' AKUTOKlA IMOMTK~A UN tMoqcii H u m e o
10.2.2. Otros planes relacionados
Como se ha comentado ms arriba, normalmente, deben existir otros plua i
informticos, todos di o s nacidos al amparo del Plan Estratgico. Entre otros, le* ttk
habituales suelen se r
Plan operativo anual
Plan de direccin tecnolgica
Plan de arquitectura de la informacin
Plan de recuperacin ante desastres
Algunos de ellos (Plan tecnolgico. Plan de arquitectura) aparecen a vera
integrados en el propio Plan Estratgico. En este capitulo, se tratarn slo dos de e*
planes, los ms comunes y que. adems, siempre tienen vida propia: Plan operativo y
Plan de recuperacin.
Plan operativo anual
El Plan operativo se establece al comienzo de cada ejercicio y es el que marca la
pautas a seguir durante el mismo. Debe estar, obviamente, alineado con d Ra
Estratgico. Asimismo, debe estar precedido de una recogida de necesidades de Va
usuarios.
El Plan operativo de Sistemas de Informacin describe las actividades a reatar
durante el siguiente ejercicio natural. Entre otros aspectos, debe sealar los aiienu
de informacin a desarrollar, los cambios tecnolgicos previstos, los recursos y I
plazos necesarios. e(c.
El auditor deber evaluar la existencia del Plan y ni nivel de calidad Debed
estudiar su alineamiento con el Plan Estratgico, su grado de atencin a I*
necesidades de los usuarios, sus previsiones de los recursos necesarios pora llevar * -
cabo el Plan. etc. IVberi analizar si los plazos descritos son realistas teniendo a
cuenta, entre otras cosas, las experiencias anteriores en la empresa, etc.
www.FreeLibros.me
>IO AL DITtmlA Dfc 1.ADHtfcCqN II?
Han de recuperacin ante desastres
Una instalacin informtica puede vene afectada por desabres de variada
Wunlc/a: incendio, inundacin, fallo de algn componente crtico de hardware, robo,
ubotaje. acto de terrorismo, etc., que tengan como consecuencia inmediata la
disponibilidad de un servicio informtico adecuado. La Direccin debe prever esta
potabilidad y. por tanto, planificar para hacerle frente.
En otro captulo de este libro se cubren los aspectos relativos a la auditora de un
Plan de recuperacin ante desastres. Sin embargo, se quiere sealar aqu que dicho
Flu es responsabilidad directa de la Direccin y no del responsable de la seguridad
10.3. ORGANIZAR Y COORDINAR
El proceso de organizar sirve para estructurar los recursos, los flujos de
(formacin y los controles que permitan alcanzar los objetivos marcados durante la
(Unificacin.
10.3.1. Comit de Informtica
Una de las acusaciones mis comnmente lanzadas contra la informtica y los
nformticos es la falta de comunicacin y entendimiento que se establece entre el
departamento de informtica en la empresa y el resto de la misma. El Comit de
Momifica es el primer lugar de encuentro dentro de la empresa de los informticos y
m usuarios: es el lugar en el que se debaten los grandes asuntos de la informtica que
tfectan a toda la empresa y permite a los usuarios conocer las necesidades del
coajunto de la organizacin - no slo las de su rea- y participar en la fijacin de
prioridades. Se evitan as acusaciones de favoritismo entre unas reas y otras, en
csanoo al trato recibido de informtica, y. en definitiva. se atiende a la mejor
Bfcacio de los recursos informticos. tradicMnalmente escasos.
Si toen estrictamente el nombramiento, la fijacin de funciones, etc. del Comit
4c Informtica no son responsabilidades directas de la Direccin de Informtica, sino
de la Direccin General fundamentalmente, la Direccin de Informtica se ha de
ftovertir en el principal impulsor de la existencia de dicho Comit.
Aunque no existe regla fija, el Comit debera estar formado por pocas personas y
fMidido por el director ms snior, dentro de la empresa, responsable en ltimo
iriao de las tecnologas de la informacin. El Director de informtica debera
kom como secretario del Comit y las grandes reas usuarias deberan estar
ftptxttadas al nivel de sus directores ms snior. Asimismo, el director de
Aitoria lr:cma debera ser miembro del Comit. Otras personas de la organizacin
www.FreeLibros.me
tambin pueden integrarse en el Comit conto miembros temporales cuando se tra
asuntos de su incumbencia o de su especialidad.
Se ha escrito mucho sobre las funciones que debe realizar un Coecit 4
Informtica y parece existir un cieno consenso en. al menos, los siguientes aspectoci
Aprobacin del Plan Estratgico de Sistemas de Informacin.
Aprobacin de las grandes inversiones en tecnologa de la informacin. !
Fijacin de prioridades entre los grandes proyectos informticos. ^
Vehculo de discusin entre la Informtica y sus usuarios. ^
Vigila y realiza el seguimiento de la actividad del Departamento de
Informtica.
Gua de auditora
Al tratarse del mximo rgano decisorio sobre el papel de las tecnologa de k
informacin en la empresa, ninguna auditora de la Direccin de Informtica deberlt
soslayar su revisin, lil auditor deber asegurar que el Comit de Informtica existe j
cumple su papel adecuadamente.
Para ello, deber conocer, en primer lugar, las funciones encomendadas 4
Comit. En este punto, difieren los accione* concretas que el auditor debed
emprender ya que dependern, en gran manera, del grado de Normalizacin impera*
en la empresa. En unos casos, existir una normativa interna explicando los objetivo, j
responsabilidades, componentes, etc. del Comit y en otros no existir nada de eso y '
no habr ms que reuniones aperidicas del mismo.
Entre las acciones a realizar, figuran:
Lectura de la normativa interna, si la hubiera, para conocer las funciones qx
debera cumplir el Cocnill d* Informtica.
Entrevistas a miembros destacados del Comit con el fin de conocer 1*
funciones que en la prctica realiza dicho Comit.
Entrevistas a los representantes de los usuarios, miembros del Comit, pin
conocer si entienden y estn de acuerdo con su papel en el mismo.
Una vez establecida la existencia del Comit de Informtica, habr que evahur U
adecuacin de las funciones que realiza. Para ello, el auditor, mediante un conjunto de
entrevistas, lecturas de documentacin interna del Comit, etc., deber establecer a
juicio sobre la validez, adecuacin, etc. de las actuaciones del Comit. Uno de kt
www.FreeLibros.me
ispectos. furxlamenules que deber revivar ev el que hace referencia a la presencia y
pxticipacin efectiva de las reas usuarias.
Entre las acciooes a realizar, figuran:
Lectura de las actas del Comit y entrevistas a los miembros del mismo, con
especial incidencia en los representantes de los usuarios para comprobar que:
El Comit cumple efectivamente con las funciones enunciadas ms amba.
Los acuerdos son tomados correctamente y lo puntos de vista de los
representantes de los usuarios son tenidos en cuenta.
10.3.2. Posicin del Departamento de Informtica en la
empresa
El secundo aspecto importante a tener en cuenta a la hora de evala el papel de
li informtica en la empresa, es la ubicacin del Departamento de Informtica en la
euriKtura organizativa general de la misma. El Departamento debera estar
nficientemente alto en la jerarqua y contar con masa critica suficiente para disponer
de Mondad c independencia frente a los departamentos usuarios.
Tradicionalmcntc. la informatizacin en las empresas comenz por el
epiumcnio financiero o de administracin y. por tanto, el esquema tradicional era
caconirar al departamento de informtica integrado dentro del financiero o
idninistrativo. Hoy en da. la informtica da soporte a un conjunto mucho mayor de
k m empresariales y. por ello, cada vez es ms habitual encontrar a departamentos de
afcrmtica dependiendo directamente de Direccin General. Incluso, en las grandes
pnizacioncs. el Director de Informtica es miembro de derecho del Comit de
Direccin u rgano semejante. Siempre que el departamento de informtica est
Migrado en algn departamento usuario, pueden surgir dudas razonables sobre su
ecMJnmidad a la hora de atender las peticiones del resto de departamentos de la
espesa
Usa vez ms. estrictamente hablando, la posicin del Departamento de
fcfccmlicj no incumbe su Direccin sino a otros estamentos empresariales.
(Rtiblemente, la Direccin General. Sin embargo, se trac a colacin en este captulo.
prqoe el auditor debe evaluar si las necesidades de los diferentes departamentos de la
ap es* son tratadas equitativamente por Informtica y no existe un sesgo demasiado
lito hacia en departamento de la misma. Si esto ltimo ocurriera, una de las primeras
para ello puede ser la ubicacin incorrecta de dicho Departamento.
www.FreeLibros.me
H AUEHTOWAIVFOHMAIKTA IV h.\K>QCK HlCtKX)
Gua de auditora ^
El auditor deber revisar el emplazamiento organizativo del Ocpirumcao di
Informtica y evaluar su independencia frente a departamentos usuarios. Para a
proceso, ser muy til realizar entrevistas con el Director de Informtica y direetsm
de algunos departamentos usuario* pora conocer su percepcin sobre el grado dt
independencia y atencin del Departamento de Informtica.
10.3.3. Descripcin de funciones y responsabilidades del
Departamento de Informtica. Segregacin de
funciones
Es necesario que las grandes unidades organizativas dentro del De partimento dt
Informtica tengan sus funciones descritas y sus responsabilidades claran*
delimitadas y documentadas. Igualmente, es necesario que este conocimimo x
extienda a todo el personal perteneciente a Informtica: todos ellos deben conocer a
funciones y responsabilidades en relacin con los sistemas de informacin. Y x>
ello es una labor que compete, en gran medida, a la Direccin de Informtico.
Por otro lado, es de todo punto ciencia! para tener un entorno controlado qae
exisla una divisin de funciones y responsabilidades. La filosofa bsica que d*
orientar e*ta separacin de papeles es impedir que un solo individuo pueda traslow
un proceso crtico. Adems, se debera asegurar que el personal de Informtica act
nicamente dentro de la descripcin de las funciones existente pora su puesto de
trabajo concreto.
En particular, se debera asegurar la segregacin entre las funciones de de<arrcU)
de sistemas de informacin, la de produccin o explotacin y los depanamentm de
usuarios. Adems, la funcin de administracin de la seguridad debera a a
claramente separada de la de produccin.
Aseguramiento de la Calidad
I-i calidad de los servicios ofrecidos por el Departamento de Informtica deSt
estar asegurada mediante el establecimiento de una funcin organizativa de
Aseguramiento de la Calidad. Cada vez ms hoy en da. se asiste, en te
(vgMi/aticmts M/armt-JS ryvfwrorudxr. a h jfitricnfn de e s a nK'a <ie cocad
de calidad de los servicios informticos, a imagen y semejanza de las organizara*
en c\ mundo industrial. Esta funcin de control l u de sct independiente de la actividad
diaria del departamento y ha de depender directamente de la Direccin de Informtica.
www.FreeLibros.me
Es muy imprtame que n u funcin, de relativa nueva aparicin c i el mundo de
1 organizaciones informticas, tenga el total respaldo de la Direccin y vea percibido
i por el resto del Depariamemo.
Cu de auditora
No es propsito de este captulo describir las funciones de un dcMrtamcnm de
informtica. Ello se describe en otros captulos de este libro, adems de que existe una
pisima bibliografa sobre la materia. El aspecto fundamental que queremos
resaltar aqu es que el auditor deber comprobar que las descripciones estn
documentadas y son actuales y que Uv unidades organizativas informticas las
comprenden y desarrollan su labor de acuerdo a las mtsmav.
Entre las tareas que el auditor podr realizar, figuran:
Examen del organigrama del Departamento de Informtica e identificacin de
las grandes unidades organizativas.
Revisin de la documentacin existente pora conocer la descripcin de las
funcionen y responsabilidades.
Realizacin de entrevistas a los directores de cada una de las grandes unidades
organizativas para determinar su conocimiento de las responsabilidades de su
unidad y que stas responden a las descripciones existentes en la
documentacin correspondiente.
Examen de las descripciones de lav funciones para evaluar si existe adecuada
segregacin de funciones, incluyendo la separacin entre desarrollo de
sistemas de informacin, produccin y departamentos usuarios. Igualmente,
ser menester evaluar la independencia de la funcin de segundad.
Observacin de las actividades del personal del Departamento pora analizar,
en la prctica, las funciones realizadas, la segregacin entre las mismas y el
grado de cumplimiento con la documentacin analizada.
Aseguramiento de la Calidad
Ei auditor deber evaluar la independencia de la funcin frente al retto de reas
eperatisas del Departamento de Informtica, su dotacin de recursos humanos, la
experiencia de los mismos, la existencia de mtodos y procedimientos formales de
www.FreeLibros.me
actuacin, las posibilidades reales de realizar mi trabajo, el contenido de lo* nonto
elaborados por la funcin, etc.
Entre las acciones a llevar a cabo, se pueden considerar
Conocimiento de la posicin de la Funcin en el organigrama dd
Departamento de Informtica.
Anlisis del grado de cumplimiento de las actividades del Departamento es
relacin con las polticas, estndares y procedimientos existentes tasto
generales del Departamento como especficos de sus funciones organizatim
De particular importancia es el grado de cumplimiento de la metodoioga dd
ciclo de vida de los sistemas de informacin, de los procedimientos qoc
gobiernan la explotacin del computador y de la investigacin de la calidad de
los datos que se envan a los usuarios.
Revisin de algunos informes emitidos por la Funcin con el fin de evaluir
su estructura y contenido son adecuados. Analizar la existencia de acciones de
seguimiento basadas en dichos informes.
10.3.4. Estndares de funcionamiento y procedimientos.
Descripcin de los puestos de trabajo
Deben existir estndares de funcionamiento y procedimientos que gobiernen li
actividad del Departamento de Informtica por un ludo, y sus relaciones con k
departamentos usuarios por otro. Estos estndares son el vehculo ideal p*i
transmitir al personal de Informtica la filosofa, mentalidad y actitud hacia bs
controles necesarios con la finalidad de crear y mantener un entorno controlado para U
vida de los sistemas de informacin de la empreo.
De particular importancia son los aspectos relacionados con la adquisicin de
quipos o material pun el Deprtamenlo. con el dixfu y el cMniulIsVinodificaciOnd;
sistemas de informacin y con la produccin o explotacin.
Adems, dichos estndares y procedimientos deberan estar documentados,
actualizados y ser comunicados adecuadamente a todos los departamentos afectados.
La Direccin de Informtica debe promover la adopcin de estndares y
procedimientos y dar ejemplo de su uso.
Por otro lado, deben existir documentadas descripciones de los puestos de trabajo
dentro de Informtica delimitando claramente la autoridad y responsabilidad en cada
www.FreeLibros.me
CAiiwt.u :o M ixnmlA m-1 a ntuFcrirtN :: i
caso. Las descripciones deberan incluir los conocimiento tcnicos y/o experiencia
secciono* para cada puesto de trabajo.
Guia de auditora
U auditor deber evaluar la existencia de estndares de funcionamiento y
procedimiento y descripciones de puesto* de trabajo adecuados y actualizado*.
Entre las acciones a realizar, se pueden citar
Evaluacin del proceso por el que los estndares, procedimientos y puestos de
trabajo son desarrollado, aprobados, distribuidos y actualizados.
Revisin de los estndares y procedimientos existentes para evaluar si
transmiten y promueven una filosofa adecuada de control. Evaluacin de su
adecuacin, grado de actualizacin, y nivel de cobertura de las actividades
informticas y de las relaciones con los departamentos usuarios.
Revisin de las descripciones de los puestos de trabajo para evaluar si reflejan
las actividades realizadas en la prctica.
10.3.5. Gestin de recursos humanos: seleccin, evaluacin
del desempeo, formacin, promocin, finalizacin
La gestin de los recursos humanos es uno de los elementos crticos en la es-
reciura general informtica. La calidad de los recursos humanos influye directamente
ca localidad de los sistemas de informacin producidos, mantenidos y operados por el
Departamento de Informtica. Adems, parte de los recursos humanos necesarios en
ni instalacin informtica son grandes expertos tcnicos. Seleccionarlos, mante-
trios y motivarlos adecuadamente puede ser crucial pora la buena marcha de la
tfamltica y su papel en la empresa.
Geia de auditoria
Entre otro aspectos, el auditor deber evaluar que:
La seleccin de personal se basa en criterios objetivos y tiene en cuenta la
formacin, experiencia y niveles de responsabilidad anteriores.
El rendimiento de cada empleado se evala regularmente en base a estndares
establecidos y responsabilidades especficas del puesto de trabajo.
www.FreeLibros.me
Existen procesos para determinar las necesidades de formacin de loa
empicados en bate a su experiencia, puesto de trabajo, responsabibdad y
desarrollo futuro personal y tecnolgico de la instalacin. Se planilla
cobertura ordenada de estas necesidades y se lleva a la prctica.
Existen procesos para la promocin del personal que tienen en cuenta n
desempeo profesional.
Existen controles que tienden a asegurar que el cambio de puesto de trabajo y
la finalizacin de los contratos laborales no afectan a los controles internos y 1
la seguridad informtica.
Adems, el auditor deber evaluar que todos los aspectos anteriores estn en lnea
las polticas y procedimientos de la empresa.
Entre las acciones a realizar, se pueden citar:
Conocimiento y evaluacin de los procesos utilizados para cubrir vacante* ea
el Departamento de Informtica, bien sea por promocin interna, bvjoeda
directa de pervonal extemo, utilizacin de empresas de seleccin de personal o
de trabajo temporal.
Anlisis de las cifras de rotacin de personal, niveles de absentismo laboral y
estadsticas de proyectos terminados fuera de presupuesto y de plazo. Si kt
nmeros son anormales (muy altos), podran constituir una seal de falta de
liderazgo por parte de la Direccin de Informtica y/o de motivacin por pane
del personal.
Realizacin de entrevistas a personal del Departamento para dctcrnurur a
conocimiento de las responsabilidades asociadas a su puesto de trabajo y de
los estndares de rendimiento, y analizar si los resultados de sus cviluackoes
de desempeo han sido comunicadas de una manera acorde coe ta
procedimientos establecidos.
Revisin del calendario de cursos, descripciones de los mismos, mtodos y
tcnicas de enseanza, para determinar que los cursos son consistentes coa los
conocimientos, experiencia, responsabilidades, etc. asignadas al persona! y
con la estrategia tecnolgica marcada para los sistemas de informacin de U
empresa.
Revisin de los procedimientos para la finalizacin de contratos. Evaluar i
dichos procedimientos prevn que los idcnhficadorcs de usuario, passwoedsy
prevn otros dispositivos necesarios para tener acceso a los locales y sistema
AUWTOHA INFORMTICA- UN ENFOQUE PKCTICO___________________________m
www.FreeLibros.me
I informtico* son cancelados, devuelto*, ele., con efectividad inmediata tras la
> finalizacin del contrato de un empleado.
W.3.6. Comunicacin
Es necesario que exista una comunicacin efectiva y eficiente entre la Direccin
fc hformitica y el resto del personal del Departamento. Entre lo* aspecto* que c*
hpcrur.te comunicar se encuentran: actitud positiva hacia lo* controles, integridad,
(ta. cumplimiento de la normativa interna -entre otra*, la de seguridad informtica-,
tanpronuso con la calidad, etc.
Ca de auditora
El auditor deber evaluar las caractersticas de la comunicacin entre la Direccin
7 el personal de Informtica. Para ello se podr servir de tareas formale* como la*
facntas hasta ahora y de otras, por ejemplo, a travs de entrevistas informales con el
penonal del Departamento
10.3.7. Gestin econmica
Eue apartado de la* responsabilidad?* de la Direccin de Informtica tiene varas
Ktus: presupueMacin. adquisicin de bienes y servicios y medida y reparto de
113.7.1. Pmupuestacin
Como todo departamento d< la empresa. el de Informtica debe tener un
presupuesto econmico, normalmente en base anual. Los criterios sobre cules deben
ser l * componentes del mismo varan grandemente. Un ejemplo tpico son lo* coste*
de bs comunicaciones: en uno* casos es el propio Departamento quien corre con ellos
j, es otros casos, puede ocurrir que la poltica de la empresa indique que sean pagados
por los departamentos usuario*. En otro ejemplo, tambin puede ocurrir que los
reinales (pantallas e impresoras) sean costeados por los usuarios en vez de serlo por
bfonniica. Sea cual sea la poltica .seguida en la empresa, el Departamento de
hfonnitica debe seguirla para elaborar su presupuesto anual.
No vamos a entrar aqu en los diversos mtodos existentes de presupoestacin.
pero d auditor deber juzgar si son apropiados. Lo que sf debera da e en todo
proceso de presupuestacin de un Departamento de Informtica es una previa peticin
fc necesidades a los departamentos usuarios. Adicionalmente. el Departamento tendr
www.FreeLibros.me
ili AIIDWOKiA IMOHM TICA US ENFOQth HtCTXX)
sus propias necesidades: cambio o ampliacin del computador o de los dita*,
instalacin de un robot manejador de cartuchos, de una unidad de comunicaciones, etc.
que te debern integrar en el presupuesto. Lo ms lgico es elaborar al mismo tiesyo
el presupuesto econmico y el Plan operativo anual.
Cuta de auditora
El auditor deber constatar la existencia de un presupuesto econmico, de
proceso para elaborarlo -que incluya consideraciones de los usuarios- y aprobarte, j
que dicho proceso est en lnea con las polticas y procedimientos de la empresa y cc*
los planes estratgico y operativo del propio Departamento.
10.3.7.2. Adquisicin de bienes y serv icios
Los procedimientos que el Departamento de Informtica siga para adquinr b
bienes y servicios descritos en su plan operativo anual y/o que se demuestra
necesarios a lo largo del ejercicio han de estar documentados y alineados c o kx
procedimientos de compras del resto de la empresa. Aqu, la variedad es infinita, coa
lo que es imposible dar reglas fijas.
Gua de auditora
Una auditora de esta rea no debe diferenciarse de una auditora tradicional dd
proceso de compras de cualquier otra rea de la empresa, con lo que el auditoc dehal
seguir bsicamente las directrices y programas de trabajo de auditora elaborados pa
este proceso.
I 0 J . 7 J . Medida y repart o de costes
La Direccin d* Informtica Aeb* en lodo momento gestionar loa ota
asociados con la utilizacin de los recursos informticos: humanos y tecnolgicos. Y
ello, obviamente, exige medirlos.
Un aspecto muy relacionado es el reparto de los costes del Departamento erot
los usuarios. Esta medida no est implantada en (odas las empresas y. adems, ticte
sus ventajas e inconvenientes que. tambtn. se encuentran fuera del alcance de eflt
libro. Normalmente, la existencia o ausencia de un sistema de este upo suele ettr
muy asociada a la propta cultura de la empresa. En cualquier caso, es cierto que,*
estar presente, se da en general, con mayor frecuencia, en grandes organizaciones coi
www.FreeLibros.me
caWuujO lo AUPrrowU tx: i a direcon m
pede* centros de proceso de dalo* centralizados. Es raro encontrar un sistema de
pino de costes en centros informticos de departamentos.
I
Coa de auditoria
El reparto de costes suele ser un tema delicado. En realidad, el asunto espinoso
tx e ser el llamado precio de transferencia, o tea el coste interno que el Departamento
de Informtica repercute a los departamentos usuarios por los servicios que les presta.
El auditor deber evaluar la conveniencia de que exista o no un sistema de reparto
de cotes informticos y de que ste sea justo, incluya los conceptos adecuados y de
que d precio de transferencia aplicado est en lnea o por debajo del disponible en el
aerado.
Entre las acciones a llesar a cabo, se pueden mencionar
Realizacin de entrevistas a la direccin de los departamentos usuarios para
evaluar su grado de comprensin de los componentes de coste utilizados en la
frmula de ckulo del precio de transferencia.
Anlisis de los componentes y criterios con los que est calculado el precio de
transferencia para esaluar su ecuanimidad y consistencia, y acudir al mercado
externo y a oferus de centros de proceso de datos independientes para
compararlas con dichos costes internos.
Conocimiento de los diversos sistemas existentes en el Departamento para
recoger y registrar la actividad del mismo (consumo de recursos de mquina,
nmero de lincas impresas, horas de programacin, de help-detk. etc.), para
procesarla y obtener la informacin de costes y para presentarla de una manera
apropiada.
10.3.8. Seguros
La Direccin de Informtica debe tomar las medidas necesarias con el fin de tener
sufickete cobertura de seguro* para los sistemas informticos. Aqu se incluyen no
(k> las coberturas ms tradicionales como la de lo* equipos (el hardware) o la de
ii&elidid de los empleados, sino tambin otro tipo de coberturas normalmente ms
itccitdis a la repentina interrupcin del serv icio informtico por causa de algn
desutrc Estas coberturas amparan riesgos tales como la posible prdida de negocio
denv*t de dicha interrupcin, los costes asociados al hecho de tener que ofrecer
tenido informtico desde un lugar alternativo por no estar disponible el sitio primario
www.FreeLibros.me
:6 AtlOtTOttlA INFORMTICA UN I .SI WI . 1HACUCO
los costes asociados a la regeneracin de datos por prdida o inutilizacin de los a
originales. etc.
Gua de auditora
El auditor deber estudiar las plizas de seguros y evaluar la cobertura existente,
analizando si la empresa est suficientemente cubierta o existen huecos en dkh
cobertura. Por ejemplo, algunas plizas slo cubren el reeniffazo del equipo, pero k
los otros costes mencionados, etc.
10.4. CONTROLAR
1.a tarca de dirigir no puede considerarse completa sin esia faceta que forma pwc
indisoluble de tal responsabilidad.
10.4.1. Control y seguimiento
Un aspecto comn a lodo lo que se ha dicho hasta el monento es la obligacin de
la Direccin de controlar y efectuar un seguimiento permaneno: de la distinta actividad
del Departamento. Se ha de v igilar el desarrollo de los planes estratgico y operativo
y de los proyectos que los desarrollan, la ejecucin del presupuesto, la evolucin de b
caera de peticiones de usuario pendientes, la evolucin de los costes, los planes de
formacin, la evolucin de la carga del computador y de los otros recursos (espacio ca
disco, comunicaciones, capacidad de las impresoras..., etc.
En esta labor, es muy conveniente que existan csindare? de rendimiento con k*
que comparar las diversas tareas. Son aplicables a las divers facetas de la actividad
del Departamento: consumo de recursos del equipo, desarrollo operaciones, etc.
Gua de auditora
Entre las acciones a realizar, se pueden mencionar:
Conocimiento y anlisis de los procesos existentes ei el Departamento pm
llevar a cabo el seguimiento y control. Evaluacin de la periodicidad de k*
mismos. Analizar igualmente los procesos de represupuestadn.
www.FreeLibros.me
Revisin de planes. proyectos, presupuestos de aftos anteriores y del actual
para comprobar que son estudiados, que xc analizan las desviacin y que se
toman las medidas correctoras necesarias.
MMW_________________________________ CAWnjLO 10 AtOCTKtlA Dti LA DIRECCIN r>
10.4.2. Cumplimiento de la normativa legal
La Direccin de Informtica debe controlar que la realizacin de sus actividades
k lleva a cabo dentro del respeto a la normativa legal aplicable. En particular, se
coonderan fundamentales los relativos a la seguridad c higiene en el trabajo,
lormiva laboral y sindical, proteccin de datos personales, propiedad intelectual del
software, requisitos definidos en la cobertura de seguros, contratos de comercio
electrnico, transmisin de datos por lneas de comunicaciones, as como normativa
eaitidi por rganos reguladores sectoriales.
Asimismo, deben existir procedimientos para vigilar y determinar permanen
temente la legislacin aplicable.
(ka de auditora
El auditor deber evaluar si la mencionada normativa aplicable se cumple.
Para ello, deber, en primer lugar, entrevistarse con la Asesora Jurdica de la
eaptesj. la Direccin de Recursos Humanos y la Direccin de Informtica con el fin
de conocer dicha normativa.
A continuacin, evaluar el cumplimiento de las normas, en particular en los
afectos ms crticos mencionados ms arriba. Si el auditor no es un tcnico en los
dstiatos aspectos legales, deber buscar asesoramiento adecuado interno a la empresa
o externo.
10.5. RESUMEN
La auditoria de la Direccin de Informtica es una tarca difcil. Sin embargo, la
ccotribucin que dicha Direccin de Informtica realiza (o debe realizar) al ambiente
de control de las operaciones informticas de una empresa es esencial. Desde un
pumo de vista de auditora, la calidad del marco de controles impulsado c inspirado
per U Direccin de Informtica tiene una gran influencia sobre el probable
comportamiento de los sistemas de informacin. Por parte del auditor, son ms
ecesarias las capacidades, de evaluar la *tson que las capacidades tcnicas muy
profundas.
www.FreeLibros.me
a auxtoeIa informtica un ENFOQCF. PRACTICO
FJ)P Auditing. Conceptual Foundation* and Practict. Ron Wcbcr. McGraw-W,
I993.
Control Obftrtives fo r Information and Rtlat td Trchnology. Information Sysev
and Control Foundation. 1996.
Control Objecth'fs. F.DP Auditor Associaiion. 1992.
Systems Audtlotnliiy and Control. The Institute of Intemal Auditor Re*e*ck
Foundation. 1991.
I . Descrbanse 1 actividades a realizar por un auditw para evaluar uo pbt
estratgico de u n c n u ' de informacin.
2. Descrbanse las funciones de un comit de informtica. Elabrete una lista
con las funciones empresariales que deberan estar representadas en dicto
comit. Qu objetivo tiene para los usuarios su presencia en el comit?
3. Descrbanse las ventajas de tener procedimientos. Elabrese un guin de Ip
que podran ser procedimientos de: a) diseo de sistemas b) programacin.
4. Qu evidencias deber buscar el auditor para poder evaluar si to
necesidades de los usuarios son tenidas en cuenta adecuadamente?
5. Identifiqense las actividades incompatibles desde un punto de vina de
control en un departamento de informtica. Raznese.
6. Qu ventajas de control aporta la existencia de la funcin de asegurarme
de la calidad?
7. Descrbanse los objetivo* de control a ser evaluados por el auditor en d
apartado de gestin de recursos humanos.
8. Qu tareas debe realizar un auditor para evaluar d plan de formacin dd
departamento de informtica? Cmo puede juzgar si dicho plan es acorde
con los objetivo* de la empresa?
www.FreeLibros.me
CAPm;u> io. auditoria t*. la direccin' a
9. Relacinense las actividades a realizar por un auditor para la evaluacin del
precio de transferencia de reparto de costes entre el departamento de
informtica y lo usuarios.
10. Cuites son las reas legales cuyo cumplimiento es el mis importante de
auditar?
www.FreeLibros.me
CAPTULO 11
AUDITOR A DE LA EXPLOTACIN
E'.oy Pea Ramoi
11.1. INTRODUCCIN
El nivel de competencia que existe, hoy en da. entre la* empresas les obliga a
tomar decisiones rpidas y acertadas. Es necesario, para ello, el funcionamiento
adecuado de los sistemas informticos (mediante la incorporacin de las nue\w
lecnoiotas) y su continua actualizacin. De esta forma, es decir, combinando esas
tealogiav con una adecuada organizacin y una gestin eficieni:. las empresas
podrn alcanzar sus objetivos de manera satisfactoria.
La auditoria informtica peridica es uno de los instrumentos ms eficaces con
qoe cuentan las empresas para asegurar su existencia y superar a sus competidores. La
deteccin oportuna de las debilidades del sistema permite mejorarlo racionalizando los
Ramos.
En este artculo se pretende elaborar el esquema de un procedimiento (Figura
11.1) p an llevar a cabo las auditorias de la explotacin de b s sistemas de
informacin' siguiendo la clasificacin de los controles que hace el Proyecto CobT.
www.FreeLibros.me
2)2AUPrroftlA FFORMATKTA: CN ENFOQIT. WtACTKX>___________________________ ctom
11.2. SISTEMAS DE INFORMACIN
En un sentido amplio se puede considerar un Sistema de liformacin (SI) con
un conjunto tic componentes que intcractan para que la empresa pueda alcanzar sus
objetivos satisfactoriamente (vase figura 11.2). Segn el Proyecto CobiT los
componentes o recursos de un SI son los siguientes:
Dimos. En general se considerarn datos tanto k*s estructurados como los no
estructurados, las imgenes, los sonidos, etc.
Aplicaciones. Se incluyen las aplicaciones manuales y lis informativas.
Tecnologa. El software y el hardware: los sistemas operativos; los sistemas
de gestin de bases de datos; los sistemas de red. etc.
Instalaciones. En ellas se ubican y se mantienen los sistemas de informacin.
www.FreeLibros.me
CArtn.Lo 11 Atimonu Dt. l a i *hx) t acin ;
Personal. Los conocimientos especficos que ha de tener el personal de los
sistemas de informacin pira planificarlos, orgam/arlos. administrarlos y
gestionarlo.
Esto* recursos de los sistemas de informacin se han de utilizar, -informe COSO
iCcwimiUcc of Sponsoring Orgam/ations of the Treadway Commission. Intemal
Control -Integrated Framework. 1992)-. de forma que permitan la eficacia y la
(ftckncia de la empresa; que los datos financieros elaborados por su sistema de
informacin: muestren una imagen fiel de la misma y que la empresa cumpla la
legislacin vigente. Por otra pane el sistema debe asegurar la confidencialidad de sus
ditos, aspecto este ltimo contemplado en la legislacin vigente
Para hacer el seguimiento y comprobar que el sistema de informacin est
actuando como es preceptivo, ste habr de disponer de un control interno que
prevenga (os eventos no deseados o en su defecto los detecte y los corrija.
Es conveniente recordar que el resultado de la auditora parcial de un sistema de
informacin no se puede extrapolar al conjunto del sistema, hl funcionamiento
aalecuado de alguno (o algunos) de los procesos y recursos que intervienen en otras
partes del Sistema (subsistemas) puede invalidar el sistema de informacin.
Figura 11.2. Sistema de Informacin
En el esquema que se ir desarrollando como procedimiento para auditar la
upteacin del sistema, se adoptarn las normas de ISACA. asi como otras Normas
www.FreeLibros.me
de Auditora de Sistemas de Informacin Generalmente Ace piadas y AplicaNa
(NAS1GAA)'.
11.3. CARTA DE ENCARGO
Las responsabilidades del trabajo de auditora deben quedar recogidas en ut
contrato o carta de encargo antes de comenzar su realizacin (la Norma Generad
nmero 12 de ISACA "Draft Standard * 12 se refiere a este aspecto slo en el caso de
la auditora interna; pero tambin es de aplicacin a la auditora externa, como qoei
de manifiesto en oros tipo de auditoras). En ese documente debe quedar reflejado
de la forma ms clara posible, entre otros aspectos, cul ser el alcance del trabajo del
auditor.
11.4. PLANIFICACIN
Segn la Norma General nmero 6 de ISACA las auditorias de los sistemas de
informacin deben planificarse y supervisarse para tener la seguridad de que kn
objetivos de las mismas se alcanzan y se cumplen las NASIGAA.
En la planificacin de la auditora vamos a considerar tres fases:
3.1. Planificacin estratgica.
3.2. Planificacin administrativa.
3.3. Planificacin tcnica.
11.4.1. Planificacin estratgica
Es una revisin global que permite conocer la empresa, el SI y su control interno
con la intencin de hacer una primera evaluacin de riesgos. Segn los resultados de
esa evaluacin se establecern los objetivos de la auditora y ve podr determiiur so
alcance y las pruebas que hayan de aplicarse, asf como el momento de realizarlas.
Para llevar a cabo esta tarca es necesario conocer entre otros aspectos los siguientes:
Las caractersticas de k equipos informticos.
El sistema o los sistemas operativos.
Caractersticas de los archivos o de las bases de datos.
l- i organizacin de la empresa.
La organizacin del servicio de explotacin.
'' El rnnao Nomat de Aadioxta de Sitieros de Infcemacifa Gcneraliwtue AeepalM j
Aplicables iwnc I iwunu Mido pe PHocipk de Contabilidad Genenlmene Acepcadot (PCGA)cn ti
www.FreeLibros.me
CAPfTXT-011: At'DITORlA Of l-A HXTtX>TA06y S
Las aplicaciones que el SI de la empresa ("auditario") que se est auditando o
que se vaya a auditar estn en explotacin.
El sector donde opera la empresa.
Informacin comercial.
La informacin puede obtenerse:
a) Mediante entrevistas y confirmaciones:
Con los responsables de explotacin.
Con los responsables del plan de contingencias.
Con los usuarios.
Con los proveedores de software y hardware.
b) Inspeccionando la siguiente documentacin:
Informes y papeles de trabajo de auditoras anteriores.
Las normas y procedimientos de la empresa relacionados con la
explotacin del sistema de informacin.
l.crs planes de contingencias.
Agenda de trabajo.
Instrucciones sobre el encendido y apagado de los equipos.
Contratos de mantenimiento con otras empresas.
Procedimientos de emergencia.
Instrucciones sobre seguridad fsica y lgica.
Instrucciones sobre la separacin de las bibliotecas de desarrollo y
produccin.
Una muestra representativa de las instrucciones operativas de las
aplicaciones ms importantes donde se incluyan: focha, entradas, tiempo de
proceso, mensajes de errores, instrucciones para finalizar tareas errneas y
diarios de operaciones.
1M.I.I. Clasificacin de los controles
En la auditora informtica se ha distinguido, tradicionalmente. entre controles
geaerales y controles de las aplicaciones.
* Auditar": Al <onoc uagdn Misino c<*i <1 que relenn* al wjeto de la auditoria fn
tiempo vtftoal. e <Ww. la pen<a fuoa o f i i U n t*tl c) miemi de u<mvKVo ha
a) asditado. ve etfi auditando o a a auditarse. I auk feupeoe. u ho eje* parescr. H ifrm.ro
'fJAirio" <omo susceptible de ta uuli/ado en ualîieu de etl Maaoonn
www.FreeLibros.me
M AUDtTOKlA INFORMTICA US PtKXHIh HCMUCU
La Norma tcnica nmero 3 de AICPA (American Inmute O Chaner Pubix
Accountants). Efectos del proceso electrnico de datos en el tundi y e\aluacin i d
control interno, publicada en 1974. distingue entre controles generales y controles de
las aplicaciones.
1.a AICPA public en 1984 la Norma nmero 48 (SAS - Stameni on Audttgf
Standard) L n efectos del proceso informtico en el anlisis de os Essaitu
Financieros. En ella se definen los controles generales como aquellos que cul
| relacionados con todas o con la mayora de las actividades a n u b l e s inlormatiudu,
que generalmente incluyen controles del desarrollo de las modificaciones y dd
mantenimiento de programas informticos y controles de la utdizactn y modilWacit
de lo* datos que se mantienen en archivos informticos.
En una lnea parecida se expresa el documento nmero I sobre El estudio y
evaluacin del control interno en entornos informatizados, publicado por el REA
(Registro de Economistas Auditores) en enero de 1996. siendo de inters para d
auditor informtico tener en cuenta este documento y sobre toda sus anexos.
El documento publicado por el REA dice: "los Controles Generales son una forte
del entorno general de control y son aquellos que afectan, en un centro de procew
electrnico de datos, a toda la informacin por igual y a la continuidad de este servicie
en la entidad. La debilidad o ausencia de calos con troles picdcn tener un mptKtt
significativo en la integridad y exactitud de los datos. Tambin se con sideral
controles generales aquellos relacionados con la proteccin de los activos: U
informacin resultante, los elementos ffsicos del hardware y el software (programas j
sistemas operativos).
Los Controles de las Aplicaciones son aquellos relacionado con la captun,
entrada y registro de datos en un sistema informtica, as como los relacionados con n
procesamiento, clculo y salida de la informacin y tu distribucin".
a l Controles generales
Los controles generales se pueden clasificar en las siguientes categoras:
I . Controles Operativos y de Organizacin:
Segregacin de Funciones entre el Servicio de Informacin y los usuarios.
Existencia de Autorizacin general en lo que respecta a la ejecucin y * la
transacciones del Departamento (por ejemplo: prohibir al Servicio de
Informacin que inicie o autorice transacciones).
Segregacin de funciones en el seno del Servicio de Infirmacin
www.FreeLibros.me
CArtmjon AtPtroniA tt la exhotaci6n :.'7
2. Controles sobre el desarrollo de programas y vu documentacin:
Realizacin de revisiones, pruebas y aprobacin de k n nuevos sistemas.
Controles de la* modificaciones de los programas.
Procedimientos de documentacin.
3. Controles sobre los Programas y los Equipos:
Caractersticas pora delectar, de manera automtica, errores.
Hacer mantenimientos preventivos peridicos.
Procedimientos pa n salir de los errores de los equipos (hardware).
Control y autorizacin adecuada en la implementacin de sistemas y en las
modificaciones de los mismos.
4. Controles de acceso:
Sirven para delectar y lo prevenir errores accidentales o deliberados,
causados por el uso o la manipulacin inadecuada de los archivos de datos
y por el uso incorrecto o no autorizado de los programas.
5. Controles sobre los procedimientos y los datos:
Manuales escritos como soporte de los procedimientos y los sistemas de
aplicacin.
Controles de las conciliaciones entre los datos fuente y los datos
informticos.
Capacidad para rc-uaurar archivos perdidos, deteriorados o imorrectos.
k) Controles de las aplicaciones
Los controles de las aplicaciones estn relacionados con las propias aplicaciones
fotmacizadas. Ix*s controles bsicos de las aplicaciones son tres: captura, proceso y
lula
L Controles sobre la captura de datos:
Altas de movimientos.
Modificaciones de movimientos.
Consultas de movimientos.
Mantenimiento de los archivos.
www.FreeLibros.me
:m AtDITOKlA INFORMATICA' l'S b.MO<Jti: rHACTK'O
2. Controles de proceso- Normalmente se incluyen <n los programas. Se
disertan para detectar o prevenir los siguientes tipos de mores:
Entrada de datos repetidos.
Procesamiento y actualizacin de archivo o archivo; equivocados.
Entrada de dalos ilgicon.
Prdida o distorsin de datos durante el proceso.
3. Controles de salida y distribucin. Los Controles de salida se disertan pao
asegurarse de que c resudado del proceso es exactc y que los informe y
dems salidas los reciben slo las personas que estn autorizadas.
En el Proyecto CobiT se establece una nueva clasificacin, donde se afirma qct
existen tres niveles en las Tecnologas de la Informacin a li hora de considera b
gestin de sus recursos: actividades y/o tareas, procesos y dominios.
ActMdades y tartas
Las actividades y las tareas son necesarias para alcanzar un resultad
cuantificabk. Las actividades suponen un concepto cclico, mientras que las tarcas
implican un concepto algo ms discreto.
Procesos
Los procesos se definen como una serie de actividades o tareas unidas por
interrupciones naturales.
Dominios
Los procesos se agrupan de forma natural dando lugar a los dominios, que se
cocifirmiin. grnrralmrne*. n a i u /ominioc de responsabilidad en las estructural
organizativas de las empresas y estn en lnea con el ciclo de gestin aplicable a los
procesos de las Tecnologas de la Informacin.
La Gua de Auditoria del Proyecto CobiT recoge 32 procesos de los Sistemas de
Informacin donde se sugieren los objetivos de control. Eso* procesos eti>
agrupados en cuatro dominios.
Dominios y procesos de las tecnologas de la informacin
www.FreeLibros.me
CAPtTVLO 11: AITXTOKIA DB LA BXPIOTMK
1. Planificacin y organizacin
I. I. Definir el plan estratgico de las Tecnologas de Informacin (TTIf.
1.2. Definir la arquitectura de la informacin.
1.3. Determinar la direccin tecnolgica.
1.4. Definir la organizacin y las relaciones.
1.5. Gestin de las inversiones.
1.6. Comunicar las tendencias a la direccin.
1.7. Gestin de recursos humanos.
1.8. Asegurarse del cumplimiento de los requisitos externos.
1.9. Evaluacin del riesgo.
1.10. Gestin de proyectos.
1.11. Gestin de la calidad.
2. Adquisicin e implementacin
2.1. Identificar las soluciones automatizados.
2.2. Adquirir y mantener el software.
2.3. Adquirir y mantener la arquitectura tecnolgica.
2.4. Desarrollar y mantener procedimientos.
2.5. Instalar y acreditar los sistemas.
2.6. Gestin de los cambios.
3. Suministro y mantenimiento
3. I. Definir el nivel de servicios.
3.2. Gestionar los servicios de las terceras partes.
3.3. Gestionar la capacidad y el funcionamiento.
3.4. Asegurarse del servicio continuo.
3.5. Asegurarse de la seguridad de los sistemas.
3.6. Identificar y localizar los costes.
3.7. Formacin terica y prctica de los usuarios.
3.8. Asistir y asesorar a los clientes.
3.9. Manejo de la configuracin.
3.10. Gestin de los problemas y de los incidentes.
3.11. Gestin de los datos.
3.12. Gestin de las instalaciones.
3.13. Gestin de la explotacin.
4. Monitorizacin
4.1. Monitorizar e l proceso.
4.2. Independencia.
www.FreeLibros.me
MO Al DfTOHlMNKMtVUnCA ir\ RXPOQtT. mACTICO
1 1.4. 1.2. Evaluacin de los controle interno
E funcin del auditor evaluar el nivel de control interno; tambin e* Je a
responsabilidad juzgar i los procedimientos establecido son los adecuada pn
salvaguardar el itema de informacin.
La naturaleza y la extensin de los controles que requieren los sistemas de
proceso de datos variarn de acuerdo con la clase de sistemas en uto.
El informe COSO define el CONTROL como "las normas, los procedmiettoi
las prcticas y las estructuras organizativas disertadas para proporcionar segundad
razonable de que los objetivos de las empresas se alcanzarn y que los eventos no
deseados se prevern, se detectarn y se corregirn".
Para evaluar los controles es necesario buscar evidencia sobre:
La terminacin completa de todos los proceso.
La separacin fsica y lgica de los programas fuentes y objetos y de la
bibliotecas de desarrollo, de pruebas y de produccin.
La existencia de normas y procedimientos para pasar los programa de un
biblioteca a otra.
Las estadsticas de funcionamiento, donde al menos se incluya:
- Capacidad y utilizacin del equipo central y de los perifricos.
- Utilizacin de la memoria.
- Utilizacin de las telecomunicaciones.
Las normas del nivel de servicios de los proveedores.
Los estndares de funcionamiento interno.
El mantenimiento y revisin de los dianos de explotacin (Oprration
La lealizacin del mantenimiento peridico de todos los equipos.
La evidencia de la rotacin de los tumos de los operadores y de las vacacin
tomadas.
Una forma de encontrar evidencia, como se comentaba en el punto 11.4.1. la. ei
nwAanlf wl*v*-. para llevarla r*ho v pau*<Vn laborar cutioi*rio <*
cuadro l l . l ) o listas de comprobacin (chtck listt) con el objetivo de no olvidar
detalles importantes4. Es conveniente que los cuestionarios y las listas de
comprobacin se elaboren de tal manera que de las respuestas negativas se infiera
debilidad, posibilidad de riesgo.
* En U h.M.op,fu qot t t TKomttrnm I leetc* podr enmurar Intat i t con*n*acKa j
cuntKxuiKH Je control interno
www.FreeLibros.me
Referencia: 3.13/CCI/1
Por Fha
r at i : Nombre de U empresa
Ftdta de auditora : 31/12/952
Dominio : Suministro y mantenimiento
Pro : Gestita de la explotacin
Titula : Cuestionario de Control Interno
Controlo sobre la explotacin drl Serteto de lo-
formacin
Si No
N/A Observadooe*
1. liuiaeo tiomu y procedimiento! escritos so
bre d fur*:icnanieiKo del Servicio de Wor-
anota?
2. El Strcio de Informacin, ert separado del
m u de tot departamento?
3. E* adecuada ia xpvtacita de func*es en
tre el Servicio de Informacin y los departa
mentos de tas usuarios?
4. JE] personal de explotacin participa en fan-
o oaa de ann y desanoUo de aplicaciones?
J. kxiste uarajTama del funoceimierto del
Ser vio de te/ormacita?
6. Se describen con detti Je las funciones y rrv
ponsafcibdades del pencoal?
7. El personal de explotacin conoce perfetta
mente culle* seo tus funciones y sus respon
sabilidades?
8. Ea imposible que k operadores acredui a
bajo?
9. e rotan la asignaciones de tritajo de lo
10. Eaisaen nonras de ct a deben hacerse los
canteo de nano para que exista la segundad
de * e Us vhcvMies contimi .jmee-
Cuadroll.l (Contina)
www.FreeLibros.me
U IXTORlA INTOKMATI
Pe Reta
B B
C'oniroles sobre 1* explotacin drl Servido de In
formacin
S
No N/A
Observadores
II. Efle personal con conocimientos y experiencia
vjfktcnlc que organ/a el trabajo pon que resulte lo
mis eficaz posible?
12.
Exten procedimientos de salvaguarda, fuera de la
instalacin, en relacin con fichttW nunBw, era-
n u l a y programas, que permiun reconstruir las
cpcracKoe* que sean necesarias?
IX
Se aprueha per penoeul autc*iado la solicitudes
de nuevas aplicaciones?
14. Existe pencnal cco autoridad srfcKcte que es ri qje
1$.
t fcxisten pnxcdiincnkn adecuado pora mantener
la documentacin al da?
16. tienen manuales tolas las apbcacione'*
17. Hurten controles que garantices el uso adecuado
de discos y cintas
18.
Existen procedimientos Jccuados para cokiw
y desconectar de los equipas remotos?
19. Se aprietan los programa* nuevos y k que se
revisan ames de ponerlos en funcxoamMMO?
20
Partkipin los departamentos de tucanos en la
o ahiacin de Im dalos de pnifNi
Cuadroll.l (continuacin)
www.FreeLibros.me
Ffctia dr auditoria
: Nombre de la empresa
Controle obre la cptotad*n del Servicio<1 In
formacin
SI N
N/A OMenactenn
21. Revivan y evalan k> departamento* de uvuano
lot multado* de b prueba finalev dando vu apro
bante aale de poner en funcaanamaemo las apixa
22. Al pooer en fvjncxumcrto njeva aptxacicoci o
x n x o n actualizadas. funcicean en paralelo Un
exivtmoev dnale an ciato tiempo
IX tSecompreehank resultados con daim reate?
21 Existe penonalre los cooiionlo y expeneo-
da adecuad que revisa coa periodicidad lo oxn-
poarom finco de lo* equipo* siguiendo lis ms-
mjatcoe de los (abocante*?
na n . turaedad. etc. que recocnenda d (Encante
para el equipo, cintas. <c.?
* Exnten controle* apropiado* para que fc> las
penen auton/adas tengan acceso a k equipo,
castas. diKo. documentacin de programas, ete.f
7. Exitlen norrnas setre hora extn y *e controlan
lu cefrada y tafeis dd penonal fuera de s i hora
rio detrahaf>?
Cuadroll.l (continuacinI
www.FreeLibros.me
144 Ali WR)lUA INFORMATICA UN bNIQQtlt ntACHOO
1 1.4.1 J . Establecimiento de objetivo*
En funcin de l i importancia de los riesgos que se hayan detectado, el t o t e
establecer los objetivo de la auditora, cuya determinacin concreta permitir dtfiai
con claridad el alcance de la misma.
Se considera que el riesgo es la presentacin negativa de un objetivo de audiurfi
Si la oracin negativa se transforma en oracin afirmativa, se tiene como resultado
objetivo de control. Veamos un ejemplo:
Una de las preguntas del cuestionario para la entrevista con el Dirette* k
Explotacin dice lo siguiente:
Tiene su empresa normas est rilas de cmo deben hacerse los trasposti it
programas en desarrollo a programas en explotacin?
Si la respuesta fuera negativa, se podra concluir que existe un riesgo por el htd
de que cada empleado podra hacer los trasvase* sin lomar las medidas de scgur>ld
necesarias y porque el proceso de trasvase no ha dejado pistas de auditora para poda
rehacer los pasos que se han dado y poder comprobar que el trabajo se ha realizado de
manera correcta. Por el solo hecho de no existir normas escritas no quiere decir que
los trasvases se realicen mal. No obstante es una posibilidad de riesgo por lo qw
debemos convertir este riesgo potencial en objetivo de auditora.
La debilidad sera la siguicmc:
!/> empresa no tiene normas escritas de cmo deben hacerse los Iraspatoi i t
programas t n desarrollo a programas en explotac in.
El objetivo de control sera:
Comprobar que la empresa tiene normas escritas de cmo deben hacerse bu
traspasos de programas en desarrollo a programas en explotacin.
Para alcanzar ese objetivo habr que disertar una serie de pruebas de
cumplimiento y sustantivan Cada una de esas pruebas es un procedimiento.
Los procedimientos podran ser:
a l Pruebas de cumplimiento
Si se confuira que realmente no existen manuales, no se pueden hacer pruebas de
cumplimiento, pues las pruebas de cumplimiento consisten en comprobar que se estl
cumpliendo las normas establecidas. El procedimiento podra ser como sigue:
www.FreeLibros.me
caHu i o 11: auxiokIa mi a kxwxhaoOn ;s
Comprobar fue tai normas para pasar un programa de desarrollo a explotacin
ion adecuadas y que la empresa tas est cumpliendo.
La inexistencia de manuales no implica, forzosamente, que los traspasos se llevan
* cabo inadecuadamente. Para confirmarlo, al no existir normas, se tendran que
realizar pruebas sustantivas.
b) Pruebas sustantivas
Revisar las aplicaciones - s i son pocas apticacimes se revisan todas; si son
muchas se elige una muestra representativa- que se han pasado de desarrollo a
explotacin y. revisar que antes de pasarlas han sido sometidas a un tote de pruebas y
iat han i upe rodo utlisfitctortmente. Que esas pruebas cumplen los requisitos y
estndares del sector. Que el traspaso ha sido autorizado por una persona con la
ufitienie autoridad.
As pues, elaborando un cuestionario que contemple todos los aspectos necesarios
para la buena explotacin del sistema de informacin y realizando las pruebas
oportunas se podrn establecer los objetivos de control de la auditora cuadro 1 1 .1).
Para comprender y evaluar los riesgos no siempre es suficiente con entrevistas,
inspecciones y confirmaciones: puede ser necesario realizar clculos y utilizar tcnicas
4e examen analtico.
La confirmacin consiste en corroborar la informacin -que existe en los
registros- con terceros, normalmente por escrito.
Los clculos consisten en la comprobacin de la exactitud aritmtica de k
registros de datos.
Las tcnicas de examen analtico consisten en la comparacin de los impones
registrados con las expectativas desarrolladas por el auditor al evaluar las
iMerrelaciones que razonablemente pueden esperarse entre las distintas partidas de la
formacin auditada.
Siempre que sea posible <y la naturaleza de los datos lo permita) es conveniente
otiluar tcnicas de examen analtico (Norma Tcnica nmero 5 de ISACA sobre la
| mfaacMn del trabajo: "The Use o Risk Assesment in Auditing Ptarming").
www.FreeLibros.me
11.4.2. Planificacin Administrativa
La Planificacin Administrativa no se debera hacer hasta haber coocluid %
Planificacin Estratgica. En esta fase de la planificacin pueden surgir t
problemas por coincidir las fechas de trabajo del personal de b empresa aud&acri
otros clientes. As en esta etapa deben quedar claros los siguieites aspectos:
Evidencia. En este punto se podr hacer una relacin con la d
disponible en la etapa anterior, documentacin que se utilizar indicando el k
donde se encuentra para que est a disposicin del equipo de aiditora.
Perumal. De qu personal se va a disponer, qu conocimientos y cxpcriencii
los ideales y si va a ser necesario o no contar con expcrtoi. tanto pcruxul de h I
empresa auditora como expertos extemos.
Calendario. Establecer la fecha de comienzo y de finalizacin de la audiioriij
determinar dnde se va a realizar cada tarca: en las dependencias del clicMe o es l
oficinas del auditor.
Coordinacin y cooperacin. Es conveniente que el auditor mantenga tactm
relaciono con el "auditorio", que se establezca, entre ambos, n nivel de cooperante
sin que deje de cumplirse el principio de independencia ( K o m u Generales minero
1.2 y 3 de ISACA) y que se defina con claridad el interlocutor del cliente.
AlOTTORlA INFORMATICA UN XTOQUIS PRACTICO_______________
11.4.3. Planificacin Tcnica
En esta ltima fase se ha de elaborar el programa de trabajo. En la fase de
Planificacin Estratgica se han establecido los objetivos de la auditora En la fae de
Planificacin Administrativa se han asignado los recursos de personal, tiempo, etc. &
esta fase de Planificacin Tcnica se indican los mtodos, -el mtodo de auditora q
se va a seguir, es decir, si se va a seguir un mtodo que se hasc en los controles, o per
el contrano la auditora se basar en pruebas sustantivas-, ios procedimientos, bi
herramientas y las tcnicas que se utilizarn para alcanzar los objetivos de la auditora
El programa de auditora debe set flexible y abierto, de tal forma que se pucdM u
introduciendo cambios a medida que se vaya conociendo mejor el sistema. 0
programa y el resto de los papeles de trabajo son propiedad del auditor. ste no tiene
la obligacin de mostrrselos a la empresa que se audita auditario). debiendo
custodiarlos durante el plazo que marque la ley.
www.FreeLibros.me
CAyfrvijO 11. AtronoftlA oc l a explotacin
Dedicarle a la planificacin el tiempo necesario permite vitar prdidas
innecesarias de tiempo y de recursos. E. Perry (Planing EDP Audiu. pgina 7) dice
ijoe la ibuhbucin ideal del tiempo empleado en realizar una auditora sera: un tercio
en planificar, un tercio en realizar el trabajo de campo y un tercia en hacer las
revisiones y en la elaboracin del informe o de lo informes.
Para elaborar el programa de trabajo se va a seguir la gua di auditora del
proceso Gestin de la Explotacin | "3.I3 Gestin de la Explottcn"]. Cienos
aspectos de la explotacin de un sistema de informacin pueden quetfcr al margen del
proceso 3.13. Esto es debido a la clasificacin que hace CobiT y que se ha comentado
iMeriormelnte. Seguro que aquellos otros aspectos que el lector eche de menos
quedan recogidos en otros procesos. sta es, pues, una de las grandes ventajas que
frsenla la Gula CobiT. facilita la comunicacin en el sentido de que podemos
determinar con claridad el alcance de la auditora.
11.5. REALIZACIN DEL TRABAJO (PROCEDIMIENTOS)
Consiste en llevar a cabo las pruebas de cumplimiento y sustantivas que se han
Minificado para poder alcanzar los objetivos de la auditora (Cuadro 11.2).
11.5.1. Objetivo general
Para el caso de la auditora de la explotacin hemos seguido las recomendaciones
qse se incluyen en la Gua del Proyecto CobiT. As el objetivo genera' de la auditora
cottustira en:
Augurarse de que las /unciones que sirven de apoyo a las Tecnologas de la
hformacin se realizan con regularidad, de forma ordenada, y satisfacen los
requintos empresariales.
11.5.2. Objetivos especficos
Para alcanzar el objetivo general, se puede dividir esc objetivo en diversos
Objetivos especficos sobre los que se realizarn las pruebas oportunas para asegurarse
de que el objetivo general se alcanza. El esquema de trabajo, para cada uno de los
otptivos. es el siguiente:
www.FreeLibros.me
Referencia: 3.13/1
Por M
Auditarlo : Noentwc de U empfcv
Fcdui d< auditora . JI/I2/XXXX
Dominio : Sum: antro y nuMMiimten
Prorao : OcMitfc. de la explotacin
Titulo : Programa de trabajo
Preparado I ~|
Reido | II |
Cuadro 11.2 (Contina)
www.FreeLibros.me
Referencia: 3.13/2
Por Fetha
Preparado I l I j
Auditarlo : Nombre de U eiaptu Rentado |
Fecha de auditoria JI/I2/XXXX
Dominio : Sumaruuro y naanieniraaenio
Pncrvi : Getiidn de la explotacin
Titulo : Programa de trabajo _________________________________________
Cuadro1.2(continuacin)
www.FreeLibros.me
Cuadro11.2{continuacin)
www.FreeLibros.me
Referencia: 3.13/4
Aatitarfo : Nombre de la etnpreta
Fku de auditora : 31/12/XXXX
Dcatoh : Suministro y nuatemirufn
Pi-ocmo : Getlido de la expkrtacido
TOulo___________: Programa de trabado
Cuadro 11.2 (continuado*)
www.FreeLibros.me
-1
Comprender las tareas, las actividades del proceso que se est auditando
Si fuera necesario ampliaramos lat entrevistas tftte hemos realizado en b
fase de planificacin estratgica.
Determinar si son o no apropiados los controles que estn instalados.
Si fuera necesario ampliaramos las pruebas que hemos realizado en la f ot
de planificacin estratgica.
Hacer pruebas de cumplimiento para determinar si los controles que etifa
instalados funcioaan segn lo establecido, de manera consistente y contimu.
El objetiw de las pruebas de cumplimiento consiste en analizar el nnrl t
cumplimiento de lat normas de control que tiene establecidas el auditorio",
Se supone que esas normas de control establecidas son eficientes y efectivas.
Hacer pruebas sustantivas para aquellos objetivos de control cuyo buea
funcionamiento con las pruebas de cumplimiento no nos ha satisfecho.
El objetno de las pruebas sustantivas consiste en realizar las pruebas
necesarias sobre los dalos para que proporcionen la suficiente seguridad a la
direccin sobre si se ha alcanzado su objetivo empresarial.
Habr que realizar el mximo nmero de pruebas sustantivas si:
No existen instrumentos de medida de los controles.
Los instrumentos de medida que existen se considera que no son tos
adecuados.
Las pruebas de cumplimiento indican que los instrumentos de medida de tos
controles no se han aplicado de manera consistente y continua.
F.l auditor debera haber realizado las suficientes pruebas sobre los resultados de
las distintas tareas y actividades <fc* la r*ptni.-u-in del *itema de informacin coso
para, poder concluir si los objetivos de control se han alcanzado o no. Con cu
informacin debe elaborar un informe y si procede hacer las recomendaciones
oportunas.
AiipmxtiA tsaotuTK~A u.v m o q o mtitco_________________
www.FreeLibros.me
APtTVLOII AUPHORtADfcLAUftXlIAHV y
11.6. INFORMES
11.6.1. Tipos de informes
Un* vez realizada toda esta fases, el auditor e*t en condiciones de emitir un
informe en el que exprese u opinin. Los tipos de opiniones bsicas generalmente
Keftadas en auditora, son cuatro: I. Si c concluye que el sitfema es satisfactorio, el
sa&tor dara una opinin favorable. 2. Si el auditor considera que d sistema es un
desastre, su opinin sera desfmvrable. 3. El sistema es vlido pero tiene algunos
fallos que no lo invalidan, opinin con sah-edades. 4. Tambin podra ocurrir que el
ao&tor no tenga suficientes elementos de juicio para poder opinar; en ese caso no
chinara: denegacin de opinin. A continuacin se muestra cmo podra redactarse
el prrafo de opinin en cada uno de los casos que hemos comentado jara el objetivo
{eneraI que se ha propuesto.
I. Favorable
En nuestra opinin d servicio de explotacin y las funcione* que rven de apoyo
a Us Tecnologa* de la Informacin se realizan con regularidad, de forma ordenada y
satisfacen los requisitos empresariales.
1 Desfavorable
En nuestra opinin, dada la importancia de lo* efecto* de las salvedades
comentada en lo* punto* X. XI.... de este informe, el servicio de explotacin y las
fiuKioees que sirven de apoyo a las Tecnologas de la Informacin NO se realizan con
regularidad. NI de forma ordenada y NO satisfacen los requisitos empresariales.
3. Con salvedades
En nuestra opinin, excepto por los efectos de las salvedades que se comentan en
I punto X de este informe... (en una parte del informe se indicarn cules son las
salvedades y en este mismo documento o en documento aparte se harn las
recomendaciones oportunas para mejorar el sistema, para que en una siguiente
anditora no existan las salvedades comentadas) el servicio de cxlotacin y las
tacione que sirven de apoyo a las Tecnologa* de la Informacin se realizan con
regularidad, de forma ordenada y satisfacen los requisitos empresariales
www.FreeLibros.me
4 . 1VncgiK n de opinin
En el caso de que las salvedades impidan hacemos una opinin del senicio de
explotacin, ya sea por falla de informacin o por no haber tenido acceso a ella porta
motivos que fueren, pero siempre ajenas a nuestra voluntad, y no obstante, hita
intentado hacer pruebas alternativas, el auditor denegar su opinin.
11.6.2. Recomendaciones
Hn el caso de que el auditor durante la realizacin de la auditora deteca
debilidades, ste debe comunicarlas al auditado con la mayor prontitud posible. Ui
esquema, generalmente aceptado, de cmo presentar las debilidades es el siguiente:
Describir la debilidad.
Indicar el criterio o instrumento de medida que se ha utilizado.
Indicar los efectos que puede tener en el sistema de informacin.
Describir la recomendacin con la que esa debilidad se podra eliminar.
A continuacin se completan las caractersticas que debe tener un buen infern
de auditora siguiendo Us normas que para tal efecto ha emitido ISACA.
11.6.3. Normas para elaborar los informes
La elaboracin y el contenido de los informes de auditora deben ajustarse a Im
Normas de Auditora de Sistemas de Informacin Generalmente Aceptadas y
Aplicables (NASIGAA). Entre otros motivos porque facilita la comparacin de Im
informes realizados por distintos auditores. Por tanto, siguiendo las normas nmeros 9
y 10 de "General Standards for Information Systems Auditing emitidas por ISACA
adems del prrafo de opinin antes indicado, el informe de auditora deber contener
otra informacin adicional.
El informe es el instrumento que se utiliza para comunicar los objetivos de 1>
auditora, el alcance que vaya a tener, las debilidades que se detecten y Us
conclusiones a las que se lleguen. A la hora de preparar el informe, el auditor debe
tener en cuenta las necesidades y caractersticas de los que se suponen sern wa
destinatarios. El informe debe contener un prrafo en el que se indiquen los objetivos
que se pretenden cumplir. Si. segn la opinin del auditor, alguno de cao s objetivos
no se pudiera alcanzar, se debe indicar en el informe.
En el informe de auditora se deben mencionar cules son las NASIGAA que st
han seguido para realizar el trabajo de auditora. Tambin se deben indicar: las
www.FreeLibros.me
CArtTIX 11: Al'DTTOHlA DK LA EXH-OTAOQS
acepciones en el seguimiento de extas normas le nicas, el motivo de ro seguirlas, y
cundo proceda, tambin je deben indicar k efectos potenciales que pudieran tee
ea los resoltados de la auditora.
En el informe de auditora se ha de mencionar el alcance de la auditora, as como
describir la naturaleza y la extensin del trabajo de auditora. En el p m f o de alcance
k deben indicar el reatyroceso. el perodo de auditora, el sistema, las plicacioncs y
k pnxesos auditados. Asimismo se indicarn las circunstancias que hayan limitado
d alcance cuando, en opinin del auditor, no se hayan podido completar todas las
pruebas y procedimientos disertados, o cuando el "auditario" haya impuesto
mtrkcione* o limitaciones al trabajo de auditora.
S durante el trabajo se detectaran debilidades en el sistema de infermacin de la
estafad auditada, stas debern indicarse en el informe, as como sus causas, sus
efectos y las recomendaciones necesarias para mejorar o eliminar las debilidades.
El auditor debe expresar en el informe su opinin sobre el iea o proceso
au&udo. No obstante, en funcin de lo objetivos de la auditora, esta jpinin puede
itr general y referirse a todas las reas o procesos en su conjunto.
El informe de auditora debe presentarse de una forma lgica y organizada. Debe
ccoicncr la informacin suficiente para que sea comprendido por el desnatano y ste
pjeda llevar a cabo las acciones pertinentes para introducir las correccicoes oportunas
que mejoren el sistema.
El informe se debe emitir en el momento ms adecuado para que permita que las
acooes que tenga que poner en prctica el auditano". tengan los mayores efectos
positivos posibles. Con anterioridad al informe, el auditor puede emitir, si lo
enmadera oportuno, recomendaciones destinadas a personas corcretas. Estas
recomendaciones no deberan alterar el contenido del informe.
En el informe se debe indicar la entidad que se audita y la fecha de emisin del
rimne. tambin se deben indicar las restricciones que fuesen convenientes a la hora
de dittriboir el informe para que ste no llegue a manos indebidas.
11.7. LA DOCUMENTACIN DE LA AUDITORA Y SU
ORGANIZACIN
11.7.1. Pap!es de trabajo
l a documentacin de la auditora de los sistemas de informacin es el registro del
tntap de auditora realizado y la evidencia que sirve de soporte a las debilidades
www.FreeLibros.me
:v> AUtMUmlA IMOKMTKAUSiXTOQUIimACTtCO
encontrada y I conclusiones a las que ha llegado el auditor. Esos dneummi
genricamente. se denominan ppelo de trabajo. Los papdes de trabajo te t a i
disertar > organizar segn las circunstancias y las necesidades del auditor. stos h i l
ser completos, claros y concisos. Todo el trabajo de auditoria debe quedar reflej
en papeles de trabajo por los siguientes motivos:
Recogen la evidencia obtenida a lo largo del trabajo.
Ayudan al auditor en el desarrollo de su trabajo.
Ofrecen un soporte del trabajo realizado para. . poder miliario a
auditorias sucesivas.
Permiten que el trabajo pueda ser revisado por tercera.
Para concluir la importancia que tienen los papeles de trabajo, digamos que tea
vez que el auditor ha finalizado su trabajo, los papeles de trakajo son la nica pneta
que tiene el auditor de haber llevado a cabo un examen adecaado. Siempre exioe h
posibilidad de que el auditor tenga que demostrar la calidat de su anlisis ante ta
tribunal.
11.7.2. Archivos
Los papeles de trabajo que el auditor va elaborando se rueden organizar en t a
archivos principales: el archivo permanente o continuo de auditoria y el arctiro
corriente o de la auditoria en curso.
11.7.2.1. Archivo permanente
El archivo permanente contiene todos aquellos ppele? que tienen un interfi
continuo y una validez plurianual ules como:
Caractersticas de los equipos y de las aplicaciones.
Manuales de los equipos y de las aplicaciones.
rV'-cripciAn del control interno.
Organigramas de la empresa en general.
Organigramas del Servicio de Informacin y divisin ce funciones.
Cuadro de planificacin plurianual de auditora.
Escrituras y contratos.
Consideraciones sobre el negocio.
Consideraciones sobre el sector.
Y en general toda aquella informacin que puede tener una importancia por
auditorias posteriores.
www.FreeLibros.me
CArtTVU!! AHWrottlADf.lJULXHXnACION 257
11.7.2.2. Archivo trnenle
Ene archivo, a su vez. se suele dividir en archivo general y en archivo de reas o
de procesos.
11.7.2 2.1. Archivo general
Los documentos que se suelen archivar aqu son aquellos que no tienen cabida
especifica en alguna de las reas/procesos en que hemos dividido el trabajo de
Mora ules como:
- 1 Informe del Auditor.
- La Carta de recomendaciones.
- Los Acontecimientos posteriores.
- El Cuadro de planificacin de la auditoria comente.
- 1 .a Correspondencia que se ha mantenido con la direccin de la empresa.
- El tiempo que cada persona del equipo ha empleado en caJa una de las
reas/procesos.
11.7.2.2.2. Arehiw por reas/procesos
Se debe preparar un archivo para cada una de las reas o prtcesos en que
tajamos dividido el trabajo e incluir en cada archivo todos los doaimcntos que
tajamos necesitado para realizar el trabajo de esa rea/proceso concreto. Al menos
debern incluirse los siguientes documentos:
- Programa de auditora de cada una de las reas/procesos.
- Conclusiones del rea/proceso en cuestin.
- Conclusiones del procedimiento en cuestin.
11.8. CONCLUSIONES
Podemos concluir diciendo que la labor del auditor informtico e esencial para
pnntizar la adecuacin de los sistemas informticos; pora ello el auditor debe realizar
a tratajo atenindose a las Normas de Auditoria de Sistemas de Informacin
Generalmente Aceptadas y Aplicables como requisito necesario que garantice la
ctidad del trabajo realizado y que la evidencia de este trabajo quede documentada.
E* funcin de que la sociedad se va informatizando cada ve* ms. <s necesario ir
cbborando normas para que la audiencia de la auditoria -que es toda la sociedad-
t t p la seguridad de que. los si<temas funcionan, sus datos se mantienen con la
detala confidencialidad y los informes de los distintos auditores se pued.-n comparar.
www.FreeLibros.me
General Standard* / o r Information Systems Auditing. Information Systems Audit aU
ControFoundation. Illinois, EE.UU.. 1987.
F.I estudio v evaluacin del control interno en entornos informatizados. Documeao
nmero 1 del REA (Registro de Economistas Auditores), enero 1996.
Resolucin de 19 de enero de 1991, del limitato de Contabilidad y Auditora de
Cuentas por la que se publican las Normas Tcnicas de Auditora.
F.DP Audit Woripapen. EDPAE Audii guide. EDP Auditori Foundation. Inc. Cari
Strcam. Illinois. EE.UU.. 1981.
Planning EDP Audi!. William E. Perry. Audit Guide Serie. EDP Aixbton
l-oundation, Inc.. Altamonte Springx, Florida. EE-UU.. 1981.
Computer Audit. Control, and Securih. Roben R. Moeller. John Wiley & Sons, b t
Nueva York. 1989.
Infonnation Systems Audit Process. S. Rao Vallabhaneni. The Auditori Foundation
Inc. 2'cd.. 1988.
CobT (Control Objeclh'es f o r Information and relates TechnologyK Informi!*
Systems Audit and Control Foundation. IL. EE.UU.. septiembre 1996.
1. Cules son los componentes de un SI segn el Proyecto CobiT?
2. Cul es el fio de la cana de encargo?
3. Cuites son las fase* de la planificacin de la auditora?
4. Qu categoras se pueden distinguir en los controles generales?
5. Defina "control". Cmo se evalan los controles?
6. Qu diferencias existen entre las pruebas sustantivas y las de cumpli
miento?
7. Cules son los tipos de informes de auditora?
www.FreeLibros.me
8. Cmo estructurara un informe de auditoria?
9. Defina los tipo de archivos principales y contenido de cada uno.
10. Especifique algunos objetivos de contro) a revisar en la auditora de la
explotacin de k sistemas informticos.
M>______________________________ CAPTULO 11: AUDITORIA DE LA EXPLOTAClOft f
www.FreeLibros.me
CAPTULO 12
AUDITORA DEL DESARROLLO
JoU Antonio Rodero Rodero
12.1. INTRODUCCIN
La necesidad de que una organizacin cuente con procedimieitos de control
temo es aceptada ampliamente como garanta de una gestin eficaz orientada a la
cocnecucin de lo* objetivo* marcados. La funcin auditora es precisamente la
margada de comprobar la existencia de estos procedimiento* de control y de verificar
so correcta definicin y aplicacin, determinando las deficiencias que existan al
respecto y lo* riesgo asociado* a estas carencias de control.
Teniendo en cuenta que cada organizacin puede descomponerse funcionalmente
en distinto* departamento*, reas, unidades, etc., es necesario que los mecanismos de
control interno existan y se respeten en cada una de las divisiones funcionales para que
Mas cumplan adecuadamente su cometido y hagan posible que la orginizacin en su
conjunto funcione de manera correcta.
Aplicando la divisin funcional al departamento de informtica de cualquier
entidad, una de las reas que tradlclonalmcnic aparece e* la de desarrollo. Kua
funcin abarca todas las fases que se deben seguir desde que aparece la necesidad de
poner de un determinado sistema de informacin hasta que ste es construido e
implantado. Para delimitar el mbito de este captulo sobre auditora del desarrollo, se
entender que el desarrollo incluye todo el ciclo de vida del software excepto la
explotacin, el mantenimiento y la retirada de servicio de las aplicaciones cuando sta
tenga lugar.
Si entiende por ingeniera del software "el establecimiento y u*o de principio*
de ingeniera robustos, orientados a obtener software econmico que sea fiable,
cumpla los requisitos prcv lamente establecidos y funcione de manera eficiente sobre
www.FreeLibros.me
MO Ai:DITtHtM INKXtMTK~A: tfN t-NSOQUF. HUCTtCt)
mquinas reales" <Frt/. Baucr). la auditoria del desarrollo tratar de verificar h
existencia y aplicacin de procedimiento! de control adecuados que pernio#
garantizar que el desarrollo de sistemas de informacin se lia llevado a cabo sejia
estos principios de ingeniera, o por el contrario, determinar las deficiencias existeetes
en este sentido.
F.I planteamiento de este captulo est orientado al desarrollo de sistemas de
informacin en el sentido tradicional, sin que se hayan tenido en cuenta la
peculiaridades del desarrollo de otro tipo de software como puedan ser sistemas
operativos, software de comunicaciones, software empotrado, etc. Tampoco se Va
tenido en cuenta la gestin de la calidad en el desarrollo, pues hay un capftb
dedicado a tal efecto, ni conceptos generales de control interno y auditora que ya te
abordaron en la pane I del libro (por ejemplo, criterios pora la realizacin del informe,
recomendaciones en el trato con los auditados, necesidad de independencia dd
auditor, preparacin y realizacin de las entrevistas, etc.).
12.2. IMPORTANCIA DE LA AUDITORA DEL DESARROLLO
Aunque cualquier departamento o rea de una organizacin es susceptible de sa
auditado, hay una serie de circunstancias que hacen especialmente importante al k t a
de desarrollo y. por tanto, tambin su auditora, frente a otras funciones o reas itero
del departamento de informtica:
1-os avances en tecnologas de los computadores han hecho que actualmente d
desafo ms importante y el principal factor de xito de la informtica sea la mejora de
la calidad del software.
El gasto destinado a software es cada vez superior al que se dedica a hard*art
A pesar de la juventud de la ciencia informtica, hace artos que se produjo la
denominada crisis del software". Incluye problemas asociados coa d
desarrollo y mantenimiento del software y afecta a un gran nmero de
organizaciones. En el rea del hardware no se ha dado una crisis equivalente
El software como produelo es muy difcil de validar. Un mayor control en d
proceso de desarrollo incrementa la calidad del mismo y disminuye los coda
de mantenimiento
El ndice de fracasos en proyectos de desamlo es demasiado alto, lo ral
denota la inexistencia o mal funcionamiento de los controles en cue procew
Los datos del Government Accounting Office Report (EE.UU.) sobre diverw
proyectos de software (valorados en 6.8 millones de dlares) son ilustrativos;
i
www.FreeLibros.me
CaHTU-O i I:AfPTTOHU Pfjl. OtSARHOlLO
Un 1.5 se us u l y como se entreg.
Un 3.0 % se us despus de algunos cambio*.
Un 19.5 % se us y luego se abandon o se rehizo.
Un 47 % se entreg pero nunca se us.
Un 29 % se pag pero nunca se entreg.
Las aplicaciones informticas, que son el producto principal obtenido al final
del desarrollo, pasan a ser la herramienta de trabajo principal de las reas
informatizadas, convinindote en un factor esencial para la gestin y U toma
de decisiones.
12.3. PLANTEAMIENTO Y METODOLOGA
Para tratar la auditora del rea de desarrollo es necesario, en primer lugar, acotar
las funciones o tareas que son responsabilidad del rea. Teniendo en cuenta que puede
tuba variaciones de una organizacin a otra, las funciones que tradicionalmente se
asignan al rea de desarrollo son:
Planificacin del rea y pan ic i pacin, en la medida que corresponda, en la
elaboracin del plan estratgico de informtica.
Desarrollo de nuevos sistemas. lsta es la funcin principal y la que da sentido
al rea de desarrollo. Incluir para cada uno de los sistemas, el anlisis,
diserto, construccin e implantacin. El mantenimiento se supondr funcin
de otra rea.
Estudio de nuevos lenguajes, tcnicas, metodologas, estndares, herramientas,
etc. relacionados con el desarrollo y adopcin de los mismos cuando se
considere oponuno para mantener un nivel de vigencia adecuado a la
tecnologa del momento.
Establecimiento de un plan de formacin para el personal adscrito al rea.
Establecimiento de normas y controles para todas las actividades que se
realizan en el rea y comprobacin de su observancia.
Una vez conocidas las tareas que se realizan en el rea de desarrollo, se abordar
b auditora de la misma desglosndola en dos grandes apaados, que ms urde se
nbdividirn con ms dculle:
- Auditora de la organizacin y gestin del rea de desarrollo.
- Auditora de proycclos de desarrollo de sistemas de informacin.
www.FreeLibros.me
4 ACOTTORIA INFORMTICA UN ESfOQtlF. HtCTICO
De cMos dos apartados se har ms nfasi-s en el gui d o por tratarse de b
funcin principal del rea, aunque ha de tenerse en cuenta que una buena organait
y gestin es imprescindible para que los proyectos tengan una calidad aceptable.
La metodologia que se aplicar ex la propuesta por la ISACA (Informi!ka
Systems Audit and Control Associatimi. que c a basada en la evaluacin de riesgo:
partiendo de lox riesgos potenciales a los que est sometida una actividad, en este caso I
el desarrollo de un sistema de informacin, xe determinan uni serie de objetivo de I
control que minimicen esos riesgos.
Para cada objetivo de control se especifican una o ms tcnicas de control
tambin denominadas simplemente controles, que contribuyan a lograr d
cumplimiento de dicho objetivo. Adems, xe aportan una serie de pruebas de
cumplimiento que permitan la comprobacin de la existencia y correcta aplicacin de
dichos controle. El esquema pora cada objetivo de control es:
OBJETIVO DE CONTROL X:
C-X-l: Tcnica de control i del objetivo de control x ...
Pruebas de cumplimiento de C-X*l
C-X-m: Tcnica de control m del objetivo de control x ..
Pruebas de cumplimiento de C-X-m
Una vez fijados los objetivos de control, ser funcin del auditor determinar d
grado de cumplimiento de cada uno de ellos. Para cada objetivo se estudiarn todos
los controles asociados al mismo, usando para ello las pruebas de cumplimiento
propuestas Con cada prueha de cumplimiento se obtendr algina evidencia, bien sea
directa o indirecta, sobre la correccin de los controles. Si una simple comprobacin
no ofrece ninguna evidencia, ser necesaria la realizacin de exmenes ms profundos.
En los controles en los que sea impracticable una revirin exhaustiva de los
>lrnu-nl<K rlr verificacin, bien porque lo recorto de auditora a n limitado', o
porque el nmero de elementos a inspeccionar sea muy clcvido. se examinar un
muestra representativa que permita inferir el estado de todo el ccnjunto.
El estudio global de todas las conclusiones, pruebas y evid:ncias obtenidas sobre
cada control permitirn al auditor obtener el nivel de satisfaccin de cada objetivo de
control, asi como cules son los puntos fuertes y dbiles del mismo. Con esta
informacin, y teniendo en cuenta las particularidades de la organizacin en estudio,
se determinar cules son los riesgos no cubiertos, en qu iKdida lo son y qu
www.FreeLibros.me
c a H u l o i aiimtohIa dh. ixaakkou-Q m
consecuencias se pueden derivar de esa situacin. Estas conclusiones. jumo con las
recomendaciones formuladas, sern las que se plasmen en el informe de auditoria.
En los apartados siguientes se agrupan los distintos objetivos de control en varias
Kries. detallndose para cada uno de ellos sus controles asociados y pruebas de
cumplimiento. El esquema seguido es el siguiente:
- Organizacin y gestin del rea de desarrollo (serie A. aptdo. 4)
- Proyectos de desarrollo de sistemas de informacin
Aprobacin, planificacin y gestin del proyecto (serie B. aptdo. S.l)
Anlisis
Anlisis de requisitos (serie C. aptdo. 5.2.1)
Especificacin funcional (serie D. aptdo. 3.2.2)
DiseAo
Diserto tcnico (serie E, aptdo. 5.3.1)
Construccin
Desarrollo de componentes (serie F. aptdo. 5.4.1)
Desarrollo de procedimientos de usuario (serie G. aptdo. 5.4.2)
Implantacin
Pruebas, implantacin y aceptacin (serie H. aptdo. 5.5.1)
12.4. AUDITORA DE LA ORGANIZACIN Y GESTIN DEL
REA DE DESARROLLO
Aunque cada proyecto de desarrollo tenga entidad propia y se gestione con cierta
autonoma. para poderse llevar a efecto necesita apoyarse en el personal del rea y en
k procedimientos establecidos. La importancia de estos aspectos ha motivado que se
dedique un apartado exclusivo a la organizacin y gestin del rea de desarrollo. Se
consideran ocho objetivos de control (serie A):
OBJETIVO DE CONTROL A!-. El rea de desarrollo debe tener unos cometidos
asignados dentro del departamento y una organizacin que le permita el cumplimiento
de tos mismos.
C-Al-1: Deben establecerse de forma clara las funciones del rea de desarrollo
dentro del departamento de informtica. Se debe comprobar que:
Existe el documento que contiene las funciones que son competencia del rea
de desarrollo, que est aprobado por la direccin de informtica y que se
www.FreeLibros.me
W AUWTMIl IWOHMTICA- US IMOQtli HUCTICO
C-AI-2: Debe especificarse el organigrama con la relacin de puesto del rea, al
como el personal adscrito y el puesto que ocupa cada persona. Debe existe a
procedimiento p a n la promocin de personal. Se debe comprobar que:
Existe un organigrama con la estructura de organizacin del rea Para cafe
puesto debe describir la* funciones a desempear, los requisitos minitros di I
formacin y experiencia. y la dependencia jerrquica del mismo.
Existe un manual de organizacin que regula las relaciones entre puestos.
Existe la relacin de personal adscrito al rea, incluyendo el puesto ocupad)
por cada persona. Se deben cumplir los requisitos de los puestos.
Estn establecidos los procedimientos de promocin de personal a puesta
superiores, teniendo siempre en cuenta la experiencia y formacin.
C-AI-J: El rea debe tener y difundir su propio plan a corto, medio y largo plazo,
que ser coherente con el plan de sistemas, si ste existe. Se debe comprobar que:
El plan existe, es claro y realista.
1.a* recurso* actuales, m* los que est planificado que se incorporen al rtt,
son suficientes para su cumplimiento.
Se revisa y actualiza con periodicidad en funcin de la* nueva* situaciones.
Se difunde a todos los empleados para que se sientan partcipes del mismo, al
resto del departamento y a los departamentos a hxs que Ies atae.
C-AI-4: El rea de desarrollo llevar su propio control presupuestario. Se debe
comprobar que:
Se hace un presupuesto por ejercicio, y se cumple.
El presupuesto est en consonancia con los objetivos a cumplir.
OBJETIVO DF. CONTROL A2: El personal del rea de desarrollo debe coctar
con la formacin adecuada y estar motivado para la realizacin de su trabajo.
C-A2-1: Deben existir procedimientos de contratacin objetivos. Se debe
comprobar que:
www.FreeLibros.me
Apnvto I ; At'IMIOKlA Dfl [AAHmH I O >7
Las of er ta de puestos del rea se difunden de forma suficiente fuera de la
organizacin > las .seleccin se hacen de forma objetiva.
Las pervon seleccionadas cumplen los requisito del puesto al que acceden.
C-A2-2: Debe existir un plan de formacin que est en consonancia con los ob
jetivos tecnolgicos que se tengan en el rea. Se debe comprobar que:
Se tiene aprobado un plan de formacin a cono, medio y largo plazo que sea
coherente con la poltica tecnolgica.
Incluye toda la informacin relevante para cada actividad formativa: fechas,
horarios, lugar, ponentes, asistentes, material, medios necesarios, etc.
Las actividad formaiivas se evalan por parte de los v i s t e n ! y esta
evaluacin se tiene en cuenta a la hora de redefinir el plan de formacin.
Contempla la formacin de todos los empleados y tiene en cuenta el puesto que
El plan de trabajo del rea tiene en cuenta los tiempos de formacin.
C-A2-3: Debe existir un protocolo de recepcin/abandono para las personas que
te incorporan o dejan el rea. Se debe comprobar que:
E1 protocolo existe y se respeta para cada incorporacin/abandono.
Para la incorporacin, incluye al menos los estndarcs definidos, manual de
organizacin del rea. definicin de puestos, etc.
En los abandonos de personal se garantiza la proteccin del rea.
C-A2-4: Debe existir una biblioteca y una hemeroteca accesibles por el personal
del rea. Se debe comprobar que:
Estn disponibles un nmero suficiente de libros, publicacin peridicas,
monogramas, etc. de reconocido prestigio y el personal tiene acceso a ellos.
C-A2-5: El personal debe estar motivado en la realizacin de su trabajo. Este
aspecto difcil de valorar y no puramente tcnico. Se debe comprobar que:
Existe algn mecanismo que permita a los empleados hacer sugerencias sobre
mejoras en la organizacin del rea.
www.FreeLibros.me
.'M AUUnURlA MCKHATm UN NIOQIH: PKACTKO
No existe una gran rotacin le personal y hay un buen ai
El rendimiento del personal no cae por debajo de uno
el absentismo Uboral es similar al del resto de la organizacin.
OBJETIVO DE CONTROL AJ: Si existe un (dan de sistemas, los proyectos qtt
se lleven a cabo se basarn en dicho plan y lo mantendrn actualizado.
C-A3-1: I j realizacin de nuevos proyectos debe basarse en el plan de sitiera*
en cuanto a objetivos, marco genera) y horizonte temporal. Se debe comprobar que:
Las fechas de realizacin coinciden con las del plan de sistemas.
La documentacin relativa a cada proyecto que hay en el plan de sistemas k
pone a disposicin del director de proyecto una vez comenzado el rasoe.
Esta informacin debe contener los objetivos, los requisitos generales y m
plan inicial.
C-A3-2: El plan de sistemas debe actualizarse con la informacin que se geneni
lo largo de un proceso de desarrollo. Se debe comprobar que:
Los cambaos en los planes de los proyectos se comunican al responsable de
mantenimiento del plan de sistemas por las implicaciones que pudiera tener.
OBJETIVO DE CONTROL A4: 1.a propuesta y aprobacin de nuevos proyecin
debe realizarse de forma reglada.
C-A4-I: Debe existir un procedimiento para la propuesta de realizacin de
nuevos proyectos. Se debe comprobar que:
Existe un mecanismo para registrar necesidades de desarrollo de nueva
sistemas y en todo caso se aportan los siguientes datos: descripcin
necesidad, departamento patrocinador, riesgos, marco temporal, coste de la t
r raliiar t. imlajM jiw pon. itapiarwVn Int piare* t i f nrgnrin. r t f
Se respeta este mecanismo en todas las propuestas.
C-A4-2: Debe existir un procedimiento de aprobacin de nuevos proyectos qat
depender de que exista o no plan de sistemas. Si hay un plan de sistemas se debe
comprobar que:
Se pane de las pautas, prioridades y planificacin que ste marque para d
desarrollo de cada nuevo sistema.
www.FreeLibros.me
imw_________________________________ CAOTvt-O i : AiononU do. o&Amtotxo x
Si no existe plan de sistemas se debe comprobar que:
Hay un procedimiento pora estudiar la justificacin y llevar a cabo el estudio
de viabilidad de cada nuevo proyecto, incluyendo un anlisis coste/beneficio y
teniendo siempre como alternativa la no realizacin del mismo.
Estn designadas a reas de la organizacin que tienen conpetencia para
aprobar formalmente la realizacin y prioridad de los nuevos proyectos, asi
como el cauce para reasignar prioridades si fuese necesario. La decisin,
afirmativa o negativa, se obtendr en un tiempo razonable y se comunicar a
los promotores.
OBJETIVO DE CONTROL AS: La asignacin de recursos a los proyectos debe
hacerse de forma reglada.
C-A5*l: Debe existir un procedimiento para asignar director y equipo de
desamlo a cada nuevo proyecto. Se debe comprobar que:
El procedimiento existe y se respeta.
Se tiene en cuenta a todas las personas disponible cuyo perfil tea adecuado a
los riesgos de cada proyecto y que tengan disponibilidad para participar.
Existe un protocolo pora solicitar al resto de las reas (sistemas,
comunicaciones, etc.) la participacin de personal en el proyecto, y se aplica
dicho protocolo.
C-A5-2: Debe existir un procedimiento para conseguir los recunos materiales
ecesarios para cada proyecto. Se debe comprobar que:
El procedimiento existe y se respeta.
OBJETIVO DE CONTROL A6: El desarrollo de sistemas de informacin debe
hacerse aplicando principios de ingeniera del software ampliamente aceptados.
C-A6-I: Debe tenerse implantada una metodologa de desarrollo Je sistemas de
formacin soportada por herramienta de ayuda (CASE). Se debe conprobar que:
La metodologa cubre todas Ixs fases del desarrollo y e adaptadle a distintos
pos de proyecto.
www.FreeLibros.me
1.a metodologa y las tcnicas asociadas a la misma U n adaptadas al ei
tecnolgico y de organizacin del rea de desarrollo.
Se ha adquirido, homologado e implan Lado segn las normas del irta m I
herramienta CASE que ve adapta a la metodologa elegida y que cumple a* 1
los requisitos mnimos cxigibles a una herramienta de este tipo.
Se ha formado al personal sobre esta metodologa y su adaptacin, asi cano
sobre las tcnicas asociadas y la herramienta CASE.
Existe un procedimiento que permita determinar en qu proyectos el uso de li
herramienta CASE es ventajoso.
Esti claramente especificado de qu forma el uso de la herramienta altera la
fases de desarrollo tradicionales.
La herramienta CASE es capaz de mantener el diccionario de datos.
La herramienta CASE mantiene los requisitos de confidencialidad necesario!
sobre la documentacin asociada al proyecio.
C-A6-2: Debe existir un mecanismo de creacin y actualizacin de estndares,
as como estndares ya definidos para las actividades principales. Se prestar upecl
atencin a las herramientas y lenguajes de programacin no clsicas. Se debe compro
bar que:
El mecanismo para creacin de nuevo estndares est documentado y a
conocido en el rea.
Hay un estndar para la realizacin del anlisis y diserto, c incluye las tcskat
y herramientas a usar. etc.
Hay un estndar de programacin para cada uno de los lenguija
hnnusln.irint Se prestar especial atencin a las herramientas denominad
RAD (Rapid Application DeveloprocM). ya que las secuencias posibles de
ejecucin son muy numerosas (normalmente se activan rutinas por eventos
i 'i g g t r t (disparadores) y el orden no se puede prever a priori) y la validacin y
depuracin es prcticamente imposible si no se estandariza la programacin.
Existen convenios sobre los aspectos mis importantes de la programacto:
modularidad. nomenclatura (de funciones, variables, tablas, columnas. etc.X
formato de los comentarios, documentacin asociada, estilo de programacin.
AtltHTOfclA INFORMATICA: l? ENFOQUE PRACTICO
www.FreeLibros.me
CAPITULO I I AUDTTORlA DW. OtiSAHROtlO 271
Hay un eslindar general para (oda la documentacin generada, incluyendo
documentacin tcnica (anlisis, diseo, documentacin de los programas,
cuadernos de carga, etc.), manuales de usuario, procedimientos de operacin.
ec.
Hay un estndar para la interfaz de usuario, incluyendo diserto de pantallas,
informes, etc.
Los estndares son conocidos por las personas que deben usarlos y se
respetan. Cuando se produce una modificacin, sta se difunde dentro del
C-A6-3: Los lenguajes, compiladores, herramientas CASE, software de control
de versiones, etc. usados en el rea deben ser previamente homologados. Se debe
comprobar que:
Existe un mecanismo para la adquisicin y homologacin de cualquier nuevo
producto software usado en el desarrollo. Se deben evaluar al menos los
siguientes parmetros: productividad, portabilidad a otros entornos, transicin
desde los productos actuales, solvencia del proveedor, riesgo del cambio,
cumplimiento de los estndares del rea, compatibilidad con el entorno
tecnolgico (SO. protocolos de comunicaciones. SGBD. etc.), coste, etc.
Cuando se homologa un nuevo producto de desarrollo se forma al personal del
rea que lo vaya a manejar.
Se registra la informacin mis importante acerca de la configuracin de los
productos recin adquiridos.
Los productos homologados son suficientes para conseguir los objetivos
marcados.
Peridicamente se comprueba el nivel tecnolgico, piara ver si es coherente
con el plan de sistemas y si est en lnea con el de otras organizaciones
C-AM: Debe practicarse la reutilizacin del software. Se debe comprobar que:
Existe un catlogo con todos los productos software susceptibles de ser
utilizados: libreras de funciones, clases si se utiliza programacin orientada
a objetos, programas tipo, componentes software, etc.
* El catlogo es conocido y accesible por todos los miembros del rea, est
actualizado y tiene uno o varios ndices que faciliten la bsqueda.
rea.
similares.
www.FreeLibros.me
At'IHTOtMA IMCKUTICA: t S ESTOQUE mACUCO
Existe un catlogo de las aplicaciones disponible*, en el rea. tanto <Jt la
realizadas como de las adquiridas, con toda la informacin relevanle de la
mismas.
C-A6-5: Debe existir un mtodo que permita catalogar y estimar los ticrcj o de
cada una de las fases de los proyectos. Se debe comprobar que:
El mtodo usado es correcto, est bien ajustado y documentado adec
damente.
Ias desviaciones producidas en cada proyecto se usan para ajustar 1
parmetros de catalogacin y estimacin manteniendo un histrico de la
mismos.
C-A6-: Debe existir un registro de problemas que se producen en los proyedM "
del rea, incluyendo los fracasos de proyectos completos. Se debe comprobar que:
Existe un catlogo de problemas, incluyendo para cada uno de cllot b
solucin o soluciones encontradas, proyecto en el que sucedi, persona queto
resolvi, etc
El catilogo es accesible para todos los miembros del rea. est actualizado y
tiene uno o varios ndices que faciliten la bsqueda.
Se registran y controlan todos los proyectos fracasados (aquellos qoe
comienzan y no llegan a su fin), asi como los recursos invertidos en ta
mismos.
OBJETIVO DE CONTROL A7: Las relaciones con el exterior del departametu
tienen que producirse de acuerdo a un procedimiento.
C-A7-1: Deben mantenerse contactos con proveedores para recibir informacii
suficiente sobre productos que puedan ser de inters. Se debe comprobar que:
Se est en contacto con un nmero suficiente de proveedores para recibir um
informacin objetiva y completa, y el tiempo invenido en estas tareas eo
excede lo razonable.
C-A7-2: Debe existir un protocolo para contratacin de servicios externos. Se
debe comprobar que:
Existe el protocolo, est aprobado y se hace uso de l.
La seleccin del proveedor se hace de forma objetiva y evita situaciones de
monopolio por parle de un nico proveedor.
www.FreeLibros.me
El protocolo incluye un contrato-tipo que prevea los riesgo* ns frecuentes
cuando se contraan servicios externos, y en todo s o incorpora
pe nal t/aciones en caso de incumplimiento de contrato por parte del proveedor.
El personal externo que intervendr en los proyectos cumplir, al menos, los
misinos requisitos que se exigen a lo* empleados del rea.
Una persona del rea supervisa el trabajo realizado, certificndolo antes del
pago.
Debe ser compatible con los estndares establecidos en el rea.
OBJETIVO DE CONTROL A S : U organizacin del rea debe estar siempre
diptad* a las necesidades de cada momento.
C-A8-1: Ij organizacin debe revistarse de forma regular. Se debe comprobar
que:
Existe el procedimiento de revisin, se aplica con una penodicitbd adecuada y
se adapta al dinamismo de la tecnologa informtica.
Cuando se reducen modificaciones se documentan, incluyendo la fecha de
actualizacin, y se difunden dentro del rea.
12.5. AUDITORA DE PROYECTOS DE DESARROLLO DE S.l
Como se plante en apartados anteriores, cada desarrollo de un nuevo sistema de
formacin ser un proyecto con entidad propia. El proyecto tendr nos objetivos
(urcados y afectar a determinadas unidades de la organizacin. Debe tener un
itspcetsable y ser gestionado con tcnicas que permitan conseguir los objetivos
aireados, teniendo en cuenta los recursos disponibles y las restccioces temporales
dd mismo. En esa gestin deben participar todas las partes de la organizacin a las
9 afecte el sistema.
La auditoria de cada proyecto de desarrollo tendr un plan dislint dependiendo
de los riesgos, la complejidad del mismo y los recursos disponibles para realizar la
Mditora. Esto obliga a que sean la pericia y experiencia del atditor las que
determinen las actividades del proyecto que se controlarn con mayor intensidad en
(nacin de los parmetros anteriores.
www.FreeLibros.me
274 AUDITORA INFORMATICA UN EXKXjCE PRACTICO
En este apartado se definirn objetivos y tcnicas de control generales apiiath
a cualquier proyecto. El auditor decidir los objetivo ms importantes en fuad* 4
las caractersticas del proyecto y de la fase a auditar.
Como se puede observar en el esquema de agrupacin Je objetivos de com
propuesto en el apartado 3. dentro del desarrollo de sistemas de informacin se la
propuesto cinco subdivisiones, entre las cuales se encuentran: anlisis, dudo,
construccin e implantacin. Estas fases, ampliamente aceptadas en ingemeri dd
software para el desarrollo, son en concreto las que propone la metodologa de
desarrollo de sistemas de informacin Mtrica versin 2.1.
Adems de estas fases, se ha aftadido una subdivisin que rontiene los objetivo*}
tcnicas de control concernientes a la aprobacin, planificacin y gestin del proyecta
La aprobacin del proyecto es un hecho previo al comienzo d:l mismo, mientras qet
la gestin se aplica a lo largo de su desarrollo. La planificacin se realiza anta de
iniciarse, pero sufrir cambios a medida que el proyecto avanza en el tiempo.
Aunque los objetivos de control se han catalogado en funcin de la fase dd
proyecto a la que se aplican, la auditora de un proyecto de desarrollo se puede haca
en dos momentos distintos: a medida que avanza el proyecto, o una vez concluido d
mismo. Las tcnicas a utilizar y los elementos a inspeccionar, normalmente la
productos y documentos generados en cada fase del desarrolla sern k mismos a
ambos casos. La nica diferencia es que en el primer caso las conclusiones que vjii
aportando el auditor pueden afectar al desarrollo del proyecto, aunque noaca
participar en la loma de decisiones del mismo.
12.5.1. Aprobacin, planificacin y gestin del proyecto
Se consideran en este apartado dos objetivos de control (serie B):
OBJETIVO DE CONTROL B l : El proyecto de desarrolo debe estar aprobada
definido y planificado formalmente.
C-Bl-1: Debe existir una orden de aprobacin del proyecto que defin
claramente los objetivos, restricciones y las unidades afectad. Se debe comprotor
que.
Existe una orden de aprobacin del proyecto refrendada por un rgai
competente. El estudio de viabilidad debe haber seguid el cauce establecido.
En el documento de aprobacin estn definidos de om clara y precisa 1
objetivos del mismo y las restricciones de lodo tipo que deben tenerse en
cuenta (temporales, recursos tcnicos, recursos human, presupuesto, etc.).
www.FreeLibros.me
CAtfTVU) I?: AUXTOKlADEL MSMIKOIAO
Se han identificado las unidades de la organizacin a las que afecta.
C-BI-2: Debe designarse un responsable o director del provelo. Se debe
probar que:
La designacin se ha llevado a cabo segn el procedimiento establecido.
Se le ha comunicado al director su nombramiento junto con toda la
informacin re Ies-ante del proyecto.
C-BI-3: El proyecto debe ser catalogado y, en funcin de sus caractersticas, se
debe determinar el modelo de ciclo de sida que seguir. Se debe comprtfcar que:
Se ha catalogado y dimensionado el proyecto segn las norma* establecidas.
Se han esaluado los riesgos asociados al proyecto, especialmente cuando se
van a usar tecnologas no usadas hasta el momento.
Se ha elegido el ciclo de vida ms adecuado al tipo de proyecto de que se trata.
Se ha hecho uso de la informacin histrica que se dispene tanto para
dimensionar el proyecto y sus riesgos como pora seleccionar el <iclo de vida.
Se prestar especial atencin si se elige un ciclo de sida basado en
prototipado. En exte caso deben cumplirse los requisitos recsanos para
aplicarlo con xito (dificultad de los usuarios para expresar Ws requisitos y
disponibilidad de una herramienta de construccin rpida de prototipos) y
debe existir un acuerdo con k usuarios sobre el alcance del prototipo y el
objetivo que se persigue con el mismo.
P-BI-4: Una vez determinado el ciclo de vida a seguir, se debe elegir el equipo
tonco que realizar el proyecto y se determinar el plan del proyecto. Se debe
can probar que:
La designacin del director del proyecto y del equipo de desarrollo se ha
llevado a cabo segn el procedimiento establecido.
Ixk participantes que pertenezcan a otras reas (sistemas, comunicaciones,
oftmtica. etc.) se ham solicitado segn el protocolo existente.
Si participa personal externo, los perfiles profesionales son aJccuados a las
funciones que s-an a realizar. El contrato cumple el protocolo de contratacin.
www.FreeLibros.me
;x. AiIMHWIA INIOKMAI1CA UN bXKXJl'E KAOKO
Se ha comunicado a todos los miembros del equipo de desarrollo lo objeto
del proyecto, la responsabilidad que tendrn en el mismo, las fechas en Usqi
participarn y la dedicacin (compleiVparcial).
fcl plan de proyecto realizado es realista y utiliza la informacin histrica dek
que se disponga pa n realizar estimaciones.
OBJETIVO DE COSTROL B2: El proyecto se debe gestionar de forma que*
consigan los mejore* resultados posibles teniendo en cuenta las restricciones dt
tiempo y recursos. Los criterios usados vern coherentes con los objetivos de bi
unidades afectadas.
C-B2-1: Ixis responsables de las unidades o reas afectadas por el proyecto deba
participar en la gestin del proyecto. Se debe comprobar que:
Se lia constituido formalmente el comit de direccin del proyecto y ea fl
estn incluidos los responsables de todas las unidades afectadas,
El comit tiene una periodicidad de reunin mnima, y en cualquier coi
siempre que lo exija el desarrollo del proyecio. debe tener competencia pira b
asignacin de recursos, la revisin de la marcha del proyecto y para modafor
el plan del proyecto en funcin de las revisiones.
Las reuniones se hacen con un orden del da previo y las decisiones tonuda
quedan documentadas en las actas de dicho comit.
El nmero de reuniones y la duracin de las mismas no superan un lmite
razonable comparado con la envergadura del proyecto.
C-B2-2: Se debe establecer un mecanismo para la resolucin de los problen
que puedan plantearse a lo largo del proyecto. Se debe comprobar que:
Existen hojas de registro de problemas y que hay alguna pervona del proyecto
encargada de su recepcin, as como un procedimiento conocido de
tramitacin.
Hay un mtodo para catalogar y dur prioridad a los problemas, as como pin
trasladarlos a la persona que los debe resolver, informando si es necesario i
director del proyecto y al comit de direccin.
Se controla la solucin del problema y se deja constancia de la misma.
www.FreeLibros.me
CAPITULO I .*AIMIORM DU. DIMIIIKIUQ IV
C-B2-3: Debe existir un control de cambio a lo largo del proyecto. Se debe
comprobar que:
Existe un mecanismo para registrar lo cambio que pudieran producir. ai
cocui para evaluar el impacto de lo mismos.
La documentacin afectada se actualiza de forma adecuada y se lleva un
control de versiones de cada producto, consignando la ltima fecha de
actualizacin.
Se remite la nueva verin de los documento actualizado a lo*, participantes
en el proyecto.
C-B2-4: Cuando sea necesario reajustar el plan del proyecto, normalmente al
Saali/ar un mdulo o fase, debe hacerse de forma adecuada. Se debe conprobar que:
Se respetan lo limite temporales y presupuestarios marcados al inicio del
proyecto. Si no es as debe ser aprobado por el comit de direcciSn.
Se han tenido en cuenta lo riesgos del reajuste.
Se ha hecho uso de la informacin histrica que se dispone er el rea sobre
estimaciones.
Se notifica el cambio a todas las persona que de una u otra forma participen
en el proyecto y se vean afectados.
Si existe un plan de sistemas, se actualizar en consecuencia.
C-B2-5: Debe hacerse un seguimiento de los tiempos empleados mo por tarca
caro a lo largo del proyecto. Se debe comprobar que:
Existe un procedimiento que permita registrar lo tiempos que cada
participante del proyecto dedica al mismo y qu tarca realiza en ese tiempo.
Las productividades que se obtienen para distintos empleados en las mismas
tareas son similares y estn en consonancia con la informacin histrica.
C-B2-6: Se debe controlar que se siguen las etapa del ciclo de vida adoptado
(ara el proyecto y que se generan todo lo documentos asociados a a metodologa
x k Se debe comprobar que:
www.FreeLibros.me
Antes de comenzar una nueva etapa ve ha documentado la cupa previa y r |
revisado y aceptad, especial mente en tas fases de anlisis y diserto.
1.a documentacin cumple los estndares establecidas en el rea.
Se respeta el plan establecido y en caso contraro se toman las i
oportunas o se procede a la aprobacin de una modiflctcin del plan.
Se respeta el uso de recursos previamente establecido.
C-B2-7: Cuando termina el proyecto se debe cerrar todi la documentacin (A
mismo, liberar los recursos empleados y hacer balance. Se dele comprobar que:
La documentacin del proyecto es completa y est catalogada perfcctant
para accesos posteriores.
Los recursos, tanto personales como materiales, se ponen a disposicin dd
rea o departamento del que provienen.
F.l comit de direccin y el director del proyecto hacen balance del proyecta,
estudiando los posible problemas y sus causas, los cambios de plan, etc
Toda esta informacin se registra en los archivos histricos sobre estimadora
y problemas.
l a nueva aplicacin se incorpora al catlogo de apliraciones existentes cm
toda la informacin relevante de la misma.
!7i AIWTORIa INFORMATICA: UN ENFOQUE PRCTICO________________________
12.5.2. Auditora de la fase de anlisis
La fase de anlisis pretende obtener un conjunto de especificaciones formales qoe
describan las necesidades de informacin que deben ser cubiertas por el nuevo sisteou
de una forma independiente del entorno tcnico.
lista fase se divide en dos mdulos:
12.5.2.1. Anlisis de Requisito del Sistema (AKS)
En este mdulo se identificarn los requisitos del nuevo sistema. Se incluir
tanto los requisitos funcionales como los no funcionales, distinguiendo para cada cao
de ellos su importancia y prioridad.
www.FreeLibros.me
HU________________________________ f ^ f t l l O 1} Aiomit l* B t t PBMIMUO 27*
A pin ir del conocimiento del sistema actual y sus problemas asociados, junto con
lot requisitos que se exigirn al nuevo sistema, se determinarn las posibles
rio;iones, alternativas que satisfagan esos requisitos y de entre ellas se elegir la ms
tdecvula. Se consideran dos objetivos de control (serie C):
OBJETIVO DE CONTROL Cl : Los u su anos y responsables de las unidades a
I que afecta cl nes sistema establecern de forma clara los requisitos del mismo.
C-CI-1: En el proyecto deben participar usuarios de todas las unidades a las que
tftete cl nuevo sistema. Esta participacin, que se har normalmente a travs de
revisus. tendr especial importancia en la definicin de requisitos del sistema. Se
debe comprobar que:
Existe un documento aprobado por cl comit de direccin en el que se
determina formalmente el grupo de usuarios que participar en el proyecto.
Los usuarios elegidos son suficientemente representativos de las distintas
funciones que se llevan a cabo en las unidades afectadas por cl nuevo sistema.
Se les ha comunicado a los usuarios mi participacin en el proyecto,
informndoles del mbito del mismo y de qu es lo que se espera de ellos, asi
como la dedicacin estimada que les supondr esta tarea.
C-CI-2: Se debe realizar un plan detallado de entrevistas con cl grupo de
arios del proyecto y con los responsables de las unidades afectadas que permita
cooocer cmo valoran el sistema actual y lo que esperan del noeso sistema. Se debe
ooeprobar que:
Existe un plan consensuado con el comit de direccin que detalla para cada
entrevista la fecha, hora y lugar, tipo de entrevista (individual, en grupo, por
escrito, etc.) y un guin de lo* aspectos que en ella se tratarn.
Se entrevista a todos los integrantes en cl grupo de usuario y a todos los
responsables de las unidades afectadas.
Se remite el guin a los entrevistados con tiempo suficiente para que stos
puedan preparar la entrevista y la documentacin que deseen aportar a la
misma.
El guin incluye todas las cuestiones necesarias para obtener informacin
sobre las funciones que el entrevistado realiza en su unidad y los problemas
que necesita resolver.
www.FreeLibros.me
;tn audito*! iskhivU t k a us ExroptT practico
Una vez documentadas las entrevistas, se contrastan la* cooclusiones de la
mismas con los entrevistado*.
C-CI-J: A partir de la informacin obtenida en lis entrevistas, se JAt
documentar el sistema actual asi como los problemas asocalo* al mismo. Se dek
obtener tambin un catlogo con los requisito* del nuevo sistema. Se debe compraba
que:
Se ha realizado un modelo fsico del sistema actual, intuyendo los objetivoy
funciones de cada unidad, as como su* flujos de entrada y salida *
informacin.
Se Isan catalogado los problemas del sistema acual as como que ola
problemas son reales.
Se han realizado el modelo lgico de datos y el modc'o lgico de proceso 4d
sistema actual, as como que stos son correctos y qe *e han llevado a cabo
con las tcnicas usadas en el rea.
Existe el catlogo de requisitos que estn justificado*.
Los requisitos son concretos y ctumificablcs. de forma que pocdi
determinarse el grado de cumplimiento al final del prcyecto.
Cada requisito tiene una prioridad y est dasificido en funcional o m
funcional.
El catlogo de requisitos ha sido revisado y aprobado por el grupo de u s u r
y por el comit de direccin, constituyendo a partir de este momento d
"contrato" entre stos y el equipo que desarrolla el proyecto.
C-Cl-4: Debe existir un procedimiento formal para registrar cambio* en 1
requisitos del sistema por parte de los usuarios. Se debe comfrohar que:
El procedimiento existe y est aprobado.
F.s coherente con el procedimiento de control del cambio general p n d
proyecto.
OBJETIVO DE CONTROL C2: En el proyecto de desarrollo se utilizar I,
alternativa ms favorable para conseguir que el sistema cumpla los requio-
establecidos.
www.FreeLibros.me
C-C2-I: Dados los requisitos del nuevo sistema se deben definir las diferentes
iterativas de construccin con sus ventajas e inconvenientes. Se evaluarn las
ttenativa* y se seleccionar la ms adecuada. Se debe comprobar que:
Existe un documento en el que se describen las distintas alternativas.
Hay ms de una alternativa, y en caso contrario, que no existe realmente otra
posible.
Cada alternativa est descrita desde un punto de vista lgico (al menos modelo
lgico de procesos) y es coherente con los requisitos establecidos.
Si existe en el mercado al un producto que cumpla con unas mnimas garantas
los requisitos especificados, una de las alternativas debe ser su compra.
Si no lo impiden las caractersticas del proyecto una de las alternativas debe
*er el desarrollo del sistema por pane de una empresa externa.
Se han evaluado las ventajas e inconvenientes de cada alternativa de forma
objetiva (anlisis coste/beneficio por ejemplo), as como los riesgos asociados.
El comit de direccin ha seleccionado una alternativa como la ms ventajosa
y es realmente la mejoe pora la organizacin.
C-C2-2: La actualizacin del plan de proyecto seguir los criterios ya
amentado*.
ll.2.2. Especificacin Funcional del Sistema (EFS)
Una vez conocido el sistema actual, los requisitos del nuevo sistema y la
iheraativa de desarrollo ms favorable, se elaborar una especificacin funcional
detallada del sistema que sea coherente con lo que se espera de l.
La participacin de usuarios en este mdulo y la realizacin de entrevistas siguen
h piulas ya especificadas en el anlisis de requisitos del sistema, por lo que se pasa
por alto la comprobacin de estos aspectos. El grupo de usuarios y los responsables
de las unidades afectadas deben ser la principal fuente de informacin. Se considera
ta coico objetivo de control (serie D):
www.FreeLibros.me
MXXTOkU INFORMTICA US MOQUE ATTKO
OBJETIVO DE CONTROL D h El nuevo sistema debe especificarse de
completa desde el pomo de vista funcional, contando esta especificacin
aprobacin de los usuarios.
C-DI-I: Se debe realizar un modelo lgico del nuevo sistema, incluye**
Modelo l.gico de Procesos (MLP) y Modelo Lgico de Datos (MLD). Ambos deba
ser consolidados para garantizar su coherencia. Se debe comprobar que:
Se ha partido de los modelos realizados en el anlisis de requisitos del sisteta
Existe el MLP. se ha realizado con la tcnica adecuada (nomulsw*
diagramas de flujos de dalos) y es conecto tcnicamente. Describir qu debe
realizar el sistema sin entrar en la forma en que lo har Los procem
manuales deben estar diferenciados. Los usuarios deben entender la
convenciones de smbolos usadas.
En el diagrama de contexto estn reflejados lodos los agentes etlena,
incluidos otros sistemas con los que el sistema intercambia informacin. Pw
cada flujo de datos de entrada o de salida debe estar documentad d
contenido, la frecuencia, suceso que lo origina, etc.
Existe el MLD. se ha realizado con la tcnica adecuada (normalmente modeb
entidad-relacin o diagramas de estructura de dalos) y es corred)
tcnicamente. Debe estar normalizado al menos hasta la tercera forma nora
ix atributo y claves, a
El MLP y el MLD son coherentes entre if. La consolidacin se debe ha
usando tcnicas adecuadas (Historia de la vida de las entidades, por ejemplo).
El MLP y el MLD han sido aprobados por los usuarios y por el coma de
direccin.
C-Dl-2: Debe existir el diccionario de datos o repositorio. Se debe compet*
Exixie el diccionario de dato, es correcto y se gestiona de fon
automatizada.
Se respetan en su gestin lodos los procedimientos de control de cambios.
www.FreeLibros.me
CArtniLO i; auimuhiI o desakhoujo aa
(M>l-3: Debe definirse la forma en que el nuevo sistema nteractuar con los
4H&MOS usuarios. sta e* la pane ms importante [ wa el usuario poique definir su
fcrau de trabajo con el sistema. Se debe comprobar que:
Se han descrito con suficiente detalle las pantallas a travs de las cuales el
usuario navegar por la aplicacin, incluyendo todos los campos
significativos, teclas de funcin disponible*, men*. botones, etc. Si hay
normas de diserto o estilo de pantallas en el rea, se verificar que se respetan.
Se han descrito con suficiente detalle los informes que se obtendrn del
sistema y los formularios asociados, si stos existen. Si hay normas de diseo
o estilo de informes y formularios en el rea, se verificar que se respetan.
La interfaz de usuario se ha aprobado por el grupo de usuarios y por el comit
de direccin.
C-DI-4: La especificacin del nuevo sistema incluir los requisitas de seguridad,
rtniauento. copias de seguridad y recuperacin, etc. Se debe comprobar que:
Esta informacin se ha solicitado a los usuarios en las entrevistas
correspondientes a este mdulo y se ha documentado y contrastado.
Se han aAadido estos requisitos al catlogo de requisitos ya realizado en el
ARS
C-DI-5: Se deben especificar las pruebas que el nuevo sistema debe superar para
Kr aceptado. Se debe comprobar que:
Se ha elaborado el plan de pruebas de aceptacin del sistema, que ste es
coherente con el catlogo de requisitos y con la especificacin funcional del
sistema y que es aceptado por el grupo de usuarios y por el comit de
direccin.
El plan de pruebas de aceptacin tiene en cuenta todos los recunos necesarios.
C-DI-6: La actualizacin del plan de proyecto seguir los criterios ya
octtidos. detallndose en este pumo en mayor medida la entrega y transicin al
, aeso sistema.
www.FreeLibros.me
tu ACDrTOttlA IXPOWMTK-AUXKXRXX.EPKCnCO
12.5.3. Auditoria de la fase de diseo
En la fase de diserto se elaborar el conjunto de especificaciones fsicas del noo
sistema que servirn de base p>ara La construccin del mismo. Hay un nico mdulo:
12-5-3.1. Diseo Tcnico del Sistema (DTSl
A partir de las especificaciones funcionales, y teniendo en cuenta el entcoo
tecnolgico, ve disertar la arquitectura del sistema y el esquema externo de datas. Se
considera un nico objetivo de control tscric E):
OBJETIVO DE CONTROL E l : Se debe definir una arquitectura fsica ptaad
sistema coherente con la especificacin funcional que se tenga y con el enioo
tecnolgico elegido.
C- E l - I: El entorno tecnolgico debe estar definido de forma clara y set
conforme a los estndares del depana memo de informtica. Se debe comprobar que:
Estn perfectamente definidos lodos los dentemos que configuran el entono
tecnolgico para el proyecto (servidores, computadores perorla,
perifrico, sistemas operativos, conexiones de red. protocolos de
comunicacin, sistemas gestores de bases de datos, compiladora,
herramientas CASE mttkUtware en caso de programacin cliente/servidor,
libreras, ele.).
Se dispone de los elementos seleccionados, estn dentro de los estndares dd
departamento de informtica y son capaces de responder a los requisitos
establecidos de sol inertes, tiempos de respuesta, seguridad, etc.
C-Kl-2: Se deben identificar todas las actividades fsicas a realizar por el stemi
y descomponer las mismas de forma modular. Se debe comprobar que:
Se han documentado todas las actividades fsicas que debe realizar el sistema.
El catlogo de actividades es coherente con las funciones identificadas es d
MLR del mdulo EFS.
Se han identificado las actividades que son comunes, as como las que ya
existan en las libreras generales del rea.
Existe el documento con el diserto de la estructura modular del sistema, se tu
realizado con una tcnica adecuada (Diagramas de estructura de cuadros por
ejemplo) y es correcto.
www.FreeLibros.me
CAHWIUHI Animo*! DU DESMiHOU-O 5
El tamao J e los mdulos es adecuado, el factor de acoplamiento entre ellos
es mnimo y la cohesin interna de cada mdulo es mxima.
Los mdulos se disean para poder ser usados por otras aplicaciones si fuera
necesario.
Los componentes o programas del nuevo sistema se han definido con detalle a
partir del diserto modular, la definicin es correcta y sigue los estndares del
rea. La descripcin de los componentes es suficiente para permitir su
programacin por porte de un programador sin conocimiento previo del
sistema. Se deben especificar los requisitos de operacin de los componentes.
Se han detallado las interfaces de dalos y control con olios mdulos y
sistemas, as como la interfaz de usuario ya especificada en el mdulo EFS.
C-EI-3: Se debe disear la estructura fsica de datos adaptando las especi
ficaciones del sisiema al entorno tecnolgico. Se debe comprobar que:
FJ modelo fsico de datos est basado en el MLD obtenido en el mdulo EFS e
ocluye todas las entidades, relacione, claves, vistas, etc.
Tiene en cuenta el entorno tecnolgico y los requisitos de rendimiento pora los
whiacnes y frecuencias de acceso estimados.
Si incluye algn incumplimiento de las normas, est justificada.
C-EI-4: Se debe disear un plan de pruebas que permita la verificacin de los
distintos componentes del sistema por separado, as como el funcionamiento de los
utintos subsistemas y del sistema en conjunto. Se debe comprobar que:
Existe el plan de pruebas y contempla todos kxs recursos necesarios para
llevarlas a efecto.
Las personas que realizarn las pruebas de verificacin son distintas a las que
han desarrollado el sistema.
Es adecuado para validar cada uno de los componentes del sistema,
incluyendo pruebas del tipo caja blanca para cada mdulo. Tendrn en cuenta
lodas las posibles condiciones lgicas de ejecucin, adems de posibles fallos
del hardware o software de base.
Permite validar la integracin de los distintos componentes y el sistema en
conjunto.
www.FreeLibros.me
M. Al'DfTOKA INfORMTIC V I NINKX*1 l-KACl tCD
C-KI-5: 1.a actualizacin del plan de proyecto seguir los criterio
comentados.
12.5.4. Auditora de la fase de construccin
En esta fase se programarn y probarn los distintos componentes y se posetta
en marcha todos los procedimientos necesarios para que los usuarios puedan hataja
con el nuevo sistema. Estar basado en las especificaciones fsicas obtenidas ea U
fase de diseo. Hay dos mdulos.
I2.5A1. Desarrollo de los Componentes del Sistema (DCSl
En este mdulo se realizarn los distintos componentes, se probarn une
individualmente como de forma integrada, y se desarrollarn los proccdimieMM de
operacin. Se comidera un nico objetivo de control (serie F):
OBJETIVO DE CONTROL F l : Los componentes o mdulos deta
desarrollarse usando tcnicas de programacin correctas.
C-Fl -1: Se debe preparar adecuadamente el enlomo de desarrollo y Je prueba,
as como las procedimientos de operacin, antes de iniciar el desarrollo. Se debe
comprobar que:
Se han creado e iniciali/ado las bases de datos o archivos necesarios y qoe
cumplen las especificaciones realizadas en el mdulo de diserto.
En ningn momento se trabaja con informacin que se encuentra a
explotacin.
Se han preparado los procedimientos de copia de seguridad.
Se han preparado lo Jiloio. wmjiitailuio, liciiuiimciiIas. cts. cscsaiiin.
Estn disponibles los puestos de trabajo y el acceso a los equipos, redes, etc.
Estn disponibles todos tos elementos lgicos y fsicos para realizar ht
pruebas unitarias de los componentes y las pruebas de integracin.
Estn documentados todos los procedimientos de operacin pora cuando d
sistema est en explotacin.
www.FreeLibros.me
I C-Fl-2: Se debe programar, probar y documentar coda uno de los componentes
tarificados en el diserto del sistema. Se debe comprobar que:
Se han desarrollado todos los componentes o mdulos.
Se han seguido los estndares de programacin y documentacin del rea, el
cdigo es estructurado, est bien sangrado y contiene contenanos suficientes.
Se ha probado cada componente y se ha generado el informe de prueha. Si los
resultados de las pruebas no son satisfactorios, se modifica el cdigo y se
suelve a realizar la prueba. Si se detecta un fallo de especificacin o diserto,
el proyecto t e actualizar segn el procedimiento establecido para ello.
C-Kl-3: Deben realizarse las pruebas de integracin pora asegurar que las
iwrfaces. entre los componentes o mdulos funcionan correctamente. Se debe
aprobar que:
Las pruebas de integracin se han llevado a cabo segn lo especificado en el
plan de pruebas realizado en el mdulo de discfto.
Se han evaluado las pruebas y se han tomado las acciones correctoras
necesarias para solventar las incidencias encontradas, actualizndose el
proyecto en consecuencia.
No han participado los usuarios. En las pruebas de integracin slo debe
participar el equipo de desarrollo.
U&-L2. Desarrollo de los Procedimientos de Usuario (DPI!)
Ea este mdulo se definen los procedimientos y formacin necesarios pora que
bt arios puedan utilizar el nuevo sistema adecuadamente. Fundamentalmente se
tnta de la instalacin, la conversin de datos y la operacin/explotacin. Se considera
n nico objetivo de control (serie O*
OBJETIVO DE CONTROL OI: Al trmino del proyecto, los futuros usuarios
deben estar capacitados y disponer de todos los medios para hacer uso del sistema.
C-Gl-1: El desarrollo de los componentes de usuario debe estar planificado. Se
debe comprobar que:
En d plan del proyecto est incluido el plan para el desarrollo de los
procedimientos de usuario c incluye todas las actividades y recursos
www.FreeLibros.me
tU AUWTOBlA INFORMTICA: UN USKXfrlE PRACTICO
Lo* procedimientos se llevan a cabo despus de tener la c^pecfkac
funcional del sistema y ante* de la implantacin del irismo.
C-GI-2: Se deben especificar lo* perfiles de usuario requeridos para el ma
sistema. Se debe comprobar que:
Estn definidos los distinto* perfile* de u s u r o requeridos pira k
implanucin y explotacin del nuevo sistema.
Para cada perfil se ha definido el rango de fechas y la dedicacin necesaria
C-GI-3: Se deben desarrollar todos los procedimiento* le usuario coa arrtgiot
lo* estndares del rea. Se debe comprobar que:
Estn desarrollados todos los procedimientos d: usuario, recopUdei
formando el manual de usuario, y son coherentes con las actividades descrit*
enEFS.
Cada procedimiento describe claramente qu realua. el perfil de uswrie
asociado, asi como lo* recursos que son necesarios (equipos. coouwuMei
perifricos especiales, espacio, etc.).
Los manuales de usuario y el resto de procedimiento cumplen los es lindara
del rea y llevan asociado su control de versiones.
C-Gl-4: A partir de los perfiles actuales de los usuari. se deben definir i*
procesos de formacin o seleccin de personal necesarios. Se debe comprobar que:
La comparacin de perfiles de usuarios y recursos r ef er i dos con los actuales
es realista y los procedimientos que se derivan son adecuados y estin
aprobados por los responsables de Las unidades afectadas.
I-os procedimientos de formacin estn individualizados y se adaptan a caii
persona, y se le ha comunicado a cada usuario el plan de formacin que
seguir.
Se han definido y preparado lo* recursos necesarios para impanir la formacifo
(aulas, medios audios isuales. material para los asistentes, tutoriales. etc.).
C-GI-5: Se deben definir los recursos materiales necesarios para el trabajo de k*
usuarios con el nuevo sistema. Se debe comprobar que:
www.FreeLibros.me
f
I m m _________________________________CHtUO ItAWinOriAIIH. WMMIOUld 9
Se han determinado los recursos necesarios para cada usuario (consumibles,
perifricos especiales, espacio, etc.).
Se han comparado con los recunos existentes y se ha planificado el alquiler,
leasing, adquisicin, etc. de los recursos no disponibles dentro de plazo.
12.5.5. Auditora de la fase de implantacin
En esta fase se realizar la aceptacin del sistema por pane de los usuarios,
temis de las actividades necesarias para la puesta en marcha. Hay un nico mdulo:
12^5.1. Pruebas. Implantacin y Aceptacin del Sistema (PIA)
Se verificar en este mdulo que el sistema cumple con los requisitos
establecidos en la fase de anlisis. Una vez probado y aceptado se pondr en
ofiocacin. Se consideran dos objetivos de control (serie H):
OBJETIVO DF. CONTROL I I I : El sistema debe ser aceptado formalmente por
los usuarios antes de ser puesto en explotacin.
C-Hl-1: Se deben realizar las pruebas del sistema que se especificaron en el
ferio del mismo. Se debe comprobar que:
Se prepara el entorno y los recursos necesarios para realizar las pruebas.
Las pruebas se realizan y permiten verificar si el sistema cumple las
especificaciones funcionales y si interacta correctamente con el enlomo,
incluyendo interfaces con otros programas, recuperacin ante fallos, copias de
seguridad, tiempos de respuesta, etc.
Se han evaluado los resultados de las pruebas y se han tomado las acciones
correctoras necesarias para solventar las incidencias encontradas,
actualizndose el proyecto en consecuencia.
10111-2: El plan de implantacin y aceptacin se debe revisar pora adaptarlo a
la situacin final del proyecto. Se debe comprobar que:
Se revisa el plan de implantacin original y se documenta adecuadamente.
Est incluida la instalacin de todos los componentes desarrollados, as como
los elementos adicionales (libreras, utilidades, etc.).
www.FreeLibros.me
Incluye la iniciali/acin de datos y la conversin u ex necesaria.
Especifica los recursos necesarios para cada actividad, as como que el crin
marcado para las actividades es compatible.
Se ha tenido en cuenta la informacin histrica sobre estimaciones.
( ' I I 1-3: El sistema debe ser aceptado por los usuarios antes de ponme a
I explotacin. Se debe comprobar que:
Se sigue el plan de pruebas de aceptacin aprobado en La fase de aiUlis. qg
debe incluir la conversin de datos y la explotacin.
I-a' pruebas de aceptacin son realizadas por los usuarios.
Se evalan los resultados de las pruebas y se han tomado las accin
correctoras necesarias para solventar las incidencias cncor-traJa,
actualizndose el proyecto en consecuencia.
El grupo de usuarios y el comit de direccin firman su conformidad con la
pruebas de aceptacin.
OBJETIVO DE CONTROL H2: El sittema se poodr en exploucitia
formalmente y pasar a estar en mantcnimiento slo cuando haya sido aceptado y ca
preparado lodo el enlomo en el que se ejecutar.
C-H2*l: Se deben instalar lodos los procedimientos de explotacin. Se debe
comprobar que:
Se han instalado adems del sistema principal todos los proccdimicMM
auxiliares, por ejemplo copias, recuperacin, etc., tanto manuales como
automtico.
E\tn documentados de forma oorTccla.
l.<* usuarios han recibido la formacin necesaria y tienen en su poder toda U
documentacin necesaria, fundamentalmente manuales de usuario.
Se han eliminado procedimientos antiguos que sean incompatibles con di
nuevo sistema.
0 At'IHTOKl IWQItMtnCA l.~XIWQOW! HtACTICO
www.FreeLibros.me
CArtTtK) I!: AlTHTORlA 11*1 Dt-SAKKOUX) NI
0112*2: Si existe un sistema antiguo, el sistema nuevo se pondr en explotacin
de forma coordinada con ia retirada del antiguo, migrando los dalos si es necesario.
Se debe comprobar que:
Hay un perodo de funcionamiento en paralelo de los dos sistemas, hasta que
el nuevo sistema est funcionando con todas las garantas. Esta situacin no
debe prolongarse ms tiempo del necesario.
Si el sistema antiguo se va a mantener para obtener informacin se debe dejar
en explotacin en modo de slo consulta.
Los datos se conv ierten de acuerdo al procedimiento desarrollado y se verifica
la consistencia de la informacin entre el sistema nuevo y el antiguo.
0112*3: Debe firmarse el final de la implantacin por porte de los usuarios. Se
debe comprobar que:
Existe el documento y que ha sido firmado por el comit de direccin y por el
grupo de usuarios.
Contiene de forma explcita la aceptacin de la implantacin correcta del
sistema.
C-H2-4: Se debe superv isar el trabajo de los usuarios con el nuevo sistema en las
piacras semanas para evitar situaciones de abandono de uso del sistema. Se Jebe
aprobar que:
El ndice de utilizacin del sistema es adecuado a los volmenes que se
esperaban para cada una de las reas afectadas por el nuevo sistema.
Se ha comprohado. al menos informalmente, la impresin de los usuarios
respecio al nuevo sistema.
C-II2-5: Para tcmuiui I proyecto te pondr *n marcha I infcaniuno Jo
uairm>ento Se debe comprobar que:
El mecanismo existe y est aprobado por el director del proyecto, por el
comit de direccin y por el rea de mantenimiento, si sta existiese.
Tiene en cuenta los tiempos de respuesta mximos que se pueden permitir ante
situaciones de no funcionamiento.
www.FreeLibros.me
X AUCtTORtA INIORMATICA UN 1-SatHK.ih HtCIKTI___________________________MU
El procedimiento a seguir ante cualquier problema o para el nuntenirrue
del Mema ser conocido por todos los usuarios. Incluir al menos la per*
de contacto, telfono, esquema de la informacin a aporur. etc.
12.6. CONCLUSIONES
A pesar de ser una de las actividades principales de la informtica, el desamt
I de software no ha conseguido alcanzar de forma general unos parmetros de calidad
aceptables. Este hecho, unido a la naturaleza especial del software y su dtfki
validacin, convierten al proceso de desarrollo y su estandarizacin en las claves p n
cambiar la situacin.
Todas las actividades que configuran el proceso de desarrollo tienen la mi uta
importancia a la hora de realizar la auditoria, pues aunque se pueda pensar CfX la
actividad ms importante es la programacin, se ha demostrado que los errores en la
actividades iniciales de los proyectos son ms costosos que los que se producen i
final de los mismos.
Por otra parle, no parece lgico que los procesos involucrados en el desarrollo de
software se estandaricen a lo largo de un proyecto concreto. Es imprescindible que los
proyectos de desarrollo se lleven a cabo en el seno de una organizacin consolidad!
Por ello, la organizacin se convierte en otro elemento crtico a tener en cuenta por d
auditor.
Especial mencin merecen las nuevas herramientas y tcnicas (CASE,
programacin orientada a objetos, lenguajes de cuarta generacin. RAD. prototipad*
etc.), que al alterar en cierta medida el proceso tradicional de desarrollo de la
ingeniera del software, pasan a ser elementos esenciales a estudiar en un proceso Je
auditora.
En este captulo se han expuesto distintos objetivos de control que de ningn
manera deben interpretarse como un modelo cerrado. El auditor aplicar los objetivos
y niveles de cumplimiento mnimos que considere adecuados en funcin del proyecto
y de las peculiaridades de cada organizacin.
Computer Audit. Control and Security. Moeller. R. John Wiley & Sons. I989.
Tcnicas de la auditora informtica. YannDerrien. Ed. Marvombo. 1994.
www.FreeLibros.me
CAHTVLOI2 AUMTOaUOM.MSAKIWM.tO 9f
Control interno. auditora v seguridad informtico. Coopers& Lybrand. 1996.
Auditoria en centros de cmputo. David H. Li. Ed. Trillas. 1990.
1. Qu factor contribuyen a la importancia de la auditoria de desarrollo?
2. Qu aspectos se deben comprobar respecto a las funciones del rea de
desarrollo?
3. Comente la importancia, desde el punto de vista de la auditoria, de la
formacin que deben poseer km profesionales de desarrollo.
4. Qu procedimiento utilitaria para valorar la motivacin del personal de
desarrollo?
5. Qu repercusiones tiene la existencia de herramientas CASE en el mbito
del desarrollo?
6. Describa diversos procedimientos de Anlisis. Evaluacin y Seleccin de
herramientas de desarrollo que haya utilizado o conozca.
7. Qu riesgos entraa la subcontratacin del desarrollo?
S. Cmo afecta el modelo de ciclo de vida que se adopte en un proyecto a la
auditora a realizar sobre el mismo?
9. Cree que la "trazabilidad" de los requisitos resulta importante en un
desarrollo informtico?
10. Exponga cmo debera ser la participacin del usuario a lo largo de las
distintas fases de la metodologa Mtrica.
www.FreeLibros.me
CAPTULO 13
AUDITORA DEL MANTENIMIENTO
Juan Carlos Granja A hnrtz
13.1. INTRODUCCIN A LA AUDITORA INFORMTICA DEL
MANTENIMIENTO DEL SOFTWARE
Nunca se ha prestado demasiada atencin al estudio de la Auditoria Informtica
en c u i cupa, ni se le ha dedicado el esfuerzo necesario que por su alto nivel de cost
merece. En ocasiooes se ha hablado de una etapa en la que slo se aperciban parte de
los problema* y apenas se empleaba un mnimo esfuerzo en aplicar tcnicas de
auditora con lo que vurgfa el efecto ICEBERG con el que algunos autores han
denominado al hectio de que slo se aprecia una pequea pane de la problemtica que
cacierra
Varias investigaciones y experiencias revelan que la etapa de mantenimiento
consume la mayor pane de los recursos empleados en un proyecto software. Por tanto,
etu eupa debe ser especialmente considerada en los estudios de productividad y de la
Aoilora Informtica. La manlenibilidad. factor crtico de estudio en Auditora
Informtica del Mantenimiento, es el factor de calidad que engloba todas aquellas
caractersticas del software destinadas a hacer que el producto sea ms fcilmente
nan:enib!c y. en consecuencia, a conseguir una mayor productividad durante la etapa
de mantenimiento. En este captulo se propone un modelo emprico de estimacin de
oowes de mantenimiento centrado en este factor de calidad, asi como el mtodo para
su impie mentacin. Finalmente se consideran algunos casos prcticos que refuerzan la
valide/ del modelo.
www.FreeLibros.me
y AUXTO<AINroMATKA UN ESTOQUE PRACTICO
FJ control y evaluacin de la Mantcnibildad puede ser uno de lo* factores
determinantes en el estudio de la Auditora Informtica en la Etapa de Mantenimiento
del Software.
Frecuentemente ve olvida que lo* eifuc o* de auditara en la etapa de
Mantenimiento ve plasman en la* primeras etapas de desarrolle del software. En las
especificaciones del software y en la llamada Ingeniera de Requisitos, se plasman lo
primero* paso* de los aspectos que van a determinar el esfuerzo o no dificultad de
I mantenimiento del software.
Podemos decir que la Mantenibilidad va a ser un factor determinante para U
Auditora Informtica del Mantenimiento del Software. Vamos a centrar el estudio de
este tema en todo lo que rodea la facilidad de mantcnimicn:o del software y k
aspectos a auditar.
Es frecuente que las empresas de software busquen la mtima productividad ea
el desarrollo de sus productos, dejando en un segundo lugar a la etapa de
mantenimiento. Esto constituye un lamentable error ya que. como muchos estudios
revelan, esta etapa es la que ms recursos consume (ms del 60% de los recursos
empleados en todo el proyecto) (CANN72. WIEN84. IIARR90I Todo ello nos lleva a
un profundo estudio de I tcnicas de Auditora en esta etapa.
Si la productividad en la etapa de mantenimiento es baja puede suceder, adems
de las evidentes implicaciones econmicas, que el equipo hurrano que desarroll d
producto tenga que dedicarse a tiempo completo a su mantenimiento.
Consecuentemente, si la empresa quiere abordar nuevos provaos tendr que incluir
un nuevo equipo en su plantilla. Esto implica el desaprovechamiento, al menos parcial,
de la experiencia adquirida por el equipo anterior, que sera de gran valor en los
nuevo* proyectos. Por otro lado se requiere una labor de formacin del nuevo equipo
hasta adquirir el conocimiento necesario sobre los mtodos y herramientas utilizados
por la empresa de software.
La productividad en la etapa de mantenimiento est directamente relacionada con
la mantenibilidad del producto. La mantcnibildad es un factor de calidad que engloba
todas aquellas caractersticas del software destinadas a hacer qix el producto sea ms
fcilmente mantenible. Por tanto, va a ser un parmetro decisivo a la hora de auditar
esta etapa
Se propone un modelo de estimacin del costo de mantenimiento que permite
aprovechar las experiencias en proyectos previos. Se toma cono punto de partida d
conocido modelo de estimacin de costes elaborado por Boclu (COCOMO). al que
se incorporan unos ndices que miden la mantcnibildad del pnxucto y que afectan de
manera importante al coste de mantenimiento.
www.FreeLibros.me
13.2. LISTAS DE COMPROBACIN EN AUDITORA
INFORMTICA DEL MANTENIMIENTO
Siguiendo un enfoque clsico de la Auditora Informtica de) Mantenimiento. nos
encontramos con Las tcnica.' de utilizacin de diferentes tipos de lis us de
occnprohacin.
Cara a la revisin del software en la etapa de mantenimiento, podramos retallar
cinco grandes bloques o enfoques hacia los cuales poder orientar las preguntas:
1. Se han tenido en cuenta las implicaciones laterales asociadas can el cambio?
2. Se han tenido en cuenta los aspectos documentales en cuarto a evaluar y
aprobar la peticin de cambios?
3. Se ha documentado el cambio, una vez realizado y procolindose a dar
informacin a todos los que se ven implicados en el proceso?
4. En cuanto a las revisiones tcnicas frmale, se han realizado las adecuadas?
5. Se ha hecho una revisin de aceptacin final para asegurar que toda la
arquitectura software, fue actualizada y probada y se procedi a los cambios
adecuadamente?
La utilizacin de grandes bloques como los mencionados nos va a permitir
centrar nuestro esfuerzo de auditora informtica, si bien vemos que a problemtica
persiste en buscar aquellos aspectos que con el menor esfuerzo de auditora nos
permitan llegar a auditar y conseguir la mayor cantidad de informacin que sea
posible.
Surge as la necesidad de centrar el esfuerzo de auditora en un factor que pueda
ser determinante, tal como es la Mantenibilidad en la etapa de Mantenimiento del
Software.
m w ______________________________ CAFfTVLOn AUDITORIA OtXMAKIfcXlMtPaU vn
13.3. MODELIZACIN EN LA ETAPA DE MANTENIMIENTO
Podemos tomar como referente el COCOMO (COnstructive COs MOdel). que es
tn modelo de estimacin de costes de proyectos software creado por Bxhm en 1981 a
partir de datos recogidos de 63 proyectos [BOEH81]. El importante nmero de
proyectos tratados y la esmerada elaboracin del modelo hacen que su validez perdure
www.FreeLibros.me
>* UIMTOWAINKMXUTIC* 1 \ l-SKKJt I WtM IKT>
l u' fa la actualidad. Este modelo ofrece frmulas empricas de estimacin de cosa
esfuerzos software.
Tras aplicar la versin inicial del modelo a una amplia variedad de cntonws x
comprob que no bastaba con un nico modo de desarrollo. p>r lo que se plantean
tres modos (orgnico. semidelached y rmbtdded) en funcin d; varas caracterstica:
tamao, necesidades de comunicacin, experiencia en proyecto similares, etc.
Por otro lado, se ofrecen tres versiones del modelo: bsico, intermedio j
detallado. 1:1 bsico es adecuado para estimaciones rpidas, aunque sin una gro
precisin. El intermedio considera IS atribuios del proyectc (Habilidad rtqucmk
tamao de la hase de dalos, restricciones de memoria, tiempo Je respuesta requerid},
etc. cuya valoracin acta como factor multiplicador en I modelo. La versita
detallada considera las estimaciones en cada una de las etapa* del ciclo de vid dd
proyecto.
La versin bsica del modelo ofrece las siguientes fmulas de clculo del
esfuerzo de desarrollo (medido en MM=month-man u hombre mes):
Modo orgnico MM, = 2.4 KS1w
Modo semidetached M M i 3.0 KS'
Modo embcdded MMI U 3.6 K S ' 30
Siendo KS = Estimacin del tamao del programa (en miles de lincas).
Para la estimacin del esfuerzo de mantenimiento se necesita un nuevo
parmetro: el Trfico de Cambio Anual (TCA), que consisi: en la proporcin de
instrucciones fuente que sufren algn cambio durante un arto. bien sea por adicin o
por modificacin.
NLN_N m
NLI
As. el esfuerzo en la etapa de mantenimiento, segn el mcslelo COCOMO. viese
dado como producto del esfuerzo de desarrollo y el trfico de cambio anual.
MMuant = TCA MMnt
13.4. MODELO DE ESTIMACIN EN EL MANTENIMIENTO
La mantenibilidad es. sin duda, el factor de calidad dd software con mayor
influencia en la etapa de mantenimiento y. po tanto, elemento decisivo de referencia
en los estudios de Auditora Informtica del Mantenimiento. Un estudio realizado por
W, Itzfcld en Alemania, recogido por Wallmtlller en (WALL91J presenta un ranking
NLN Nmero de lineas suevas
NLM - Nmero de lineas nodificadas
NLI = Nmero de lineas nicial
www.FreeLibros.me
de utilizacin de mtricas de calidad en el cual las mtrica de manienibilidad se
encuentran en primer lugar, empleadas por un 67*11 de los encuerados.
Boehm [BOEH79] reconoca la importancia de la mantenibilidad. L'no de n
estudios indicaba que el esfuerzo de mantenimiento de un software de baja
ountcnibilidad puede estar en relacin de 40 a I con respecto al esfuerzo de nuevos
desarrollos. Es decir, existe una relacin de dependencia entre las caractersticas de
miiuenibilidad del software desarrollado y el esfuerzo de mantemmwnio. lo cual es
bulante evidente.
Por unto, para el clculo del coste estimado d : mantenimiento hemos de
considerar un factor que indique el grado de mantcniblidad o facilidad de
oaMcnirmcnto del producto. Tomando como punto de partida la frmula de
estimacin del esfuerzo de mantenimiento del modelo COCOMO de Boehm. se va a
ocluir en ella dicho factor que denominamos ndice de mantcnibilidud. y que va a
se funcin de algunas medidas del software desarrollado:
MMmani - TCA MMms Imn i
Ivavt f (Xi. X:....... X.
Este ndice va a mostrar el grado de mantcniblidad o facilidad de mantenimiento
del producto de forma que valores grandes expresan baja mantcmbilidtd mientras que
los valores bajos indican alta mantcniblidad. Al mismo tiempo va a ser un buen
indicador de la productividad en la eupa de mantenimiento.
Asi pues, nuestro principal objetivo consiste en determinar qu fonna ha de tener
ene ndice. Dicho de otro modo, se trata de obtener la relacin que existe entre el
esfuerzo estimado de mantenimiento y aquellas caractersticas que hacen que el
producto sea ms o menos mantenible.
Dos son. pues, los pasos a seguir para la normalizacin del modelo:
a) Establecimiento de los mtricas de mantenibilidad.
b) Obtencin de las funciones de mantcniblidad que relacionan la mtricas eu
Mecidas con el ndice de mantenibilidad.
Previamente a abordar estos dos puntos y teniendo en cuenta las tres actividades
qjc conforman una accin de mantenimiento, el ndice de mantenibilidad se va a
descomponer a su vez en tres ndices: ndice de comprensibilkad. ndice de
na&ficabilidad e ndice de testeabilidad.
www.FreeLibros.me
?0U AUDITORIA IXtOKMAnCA: UN ENKXjt'fc PRACTICO
13.4.1. Elementos de la mantenibilidad
Una accin de mantenimiento se puede descomponer en tres actividades:
Comprensin del cambio a realizar
- Modificacin o realizacin del cambio.
- Prueba de coleccin del cambio realizado.
I Son tres tarcas claramente diferenciadas que se realizan una tras otra, por lo <pc
el esfuerzo de mantenimiento se puede considerar como suma de los tres esfuenot
comprensin, modificacin y prueba.
MMma.ni - MM< MMm MM,
As pues, vamos a tener tres ndices de mantenibilidad. I<-. Iu e l< que relacin
los parmetros del proyecto. TCA y MMDES con los tres componentes del esfuerzo
de mantenimiento: MM-. MMU y MMr
MM, * TCA MM, If
MMm = TCA M M i 1
MM, - T C A M M o u l r
Hn consecuencia, el ndice de mantenibilidad, IMANT vendr dado por la wm
de los tres ndices anteriores:
Iuvst Ic l y 1t
Imamt =ndice de mantenibilidad
l< ndice de comprensibilidad
Iu - ndice de modificabilidad
I: ndice de testcabilidad
El esfuerzo total de mantenimiento:
MMv,w - MM, MMm MM, = TCA M M , (le + Im+ Ir)
13.4.2. Mtricas de mantenibilidad
El modelo aqu propuesto, y que ha sido empleado en los casos de estudio,
considera tres caractersticas, cada una de las cuales afecta de manera directa a ua
componente de la mantenibilidad:
X<-: Mtrica de comprenubtlidad: Nmero de lneas de comentario por cada 100
lneas de cdigo. La estrecha relacin entre la documentacin interna del cdigo (o
autodocumcntacin) y el esfuerzo de comprensin es evidente.
www.FreeLibros.me
X: Mtrica de modificabilidttd'. Nmero de lineas sin d a l o constantes por cada
100 lneas de cdigo. I-a existencia de un gran nmero de datos constante en el
cijo implica un mayor esfuerzo para la modificacin.
Xt: Mtrica de testeabiHdad'. Nmero de lincas de tratamiento de errores pof
caja 100 lneas de cdigo. La depuracin o testing del cdigo va a ser ms fcil si
existen procedimientos de deteccin y manejo de errores.
Las tres caractersticas se han elegido de manera que resulten fcilmente mediMes
>que tengan una gran influencia sobre la mantenibilidad. No obstante, el modelo
puede aplicarse cualquiera que sea el conjunto de mtricas escogido, siempre que
quede demostrada la dependencia entre dichas mtricas y el componente de
narxenibilidad correspondiente.
13.4.3. Funciones de mantenibilidad
Las funciones as i denominadas relacionan los ndices de mantenibilidad (Ir. lu c
Ir) con las mtricas recin contentadas (X<-. XMy Xt).
I< - F r ( X c )
I - F m(Xm)
Ir - F ( X , )
Para la obtencin de estas funciones se hace necesario el empleo de un elemento
qoc resulta fundamental en toda estimacin: la informacin histrica. La experiencia
adquirida en proyectos anteriores adquiere un gran valor al emprender nuevos
proyectos. Por tanto, se ha de disponer de mecanismos que permitan lomar varias
eedidas:
a) Del producto desarrollado
X,: Mtrica de comprensibilidad
X: Mtrica de modificabilidid
XT: Mtrica de tesieabilidad
b) Del proceso de mantenimiento
MMr : Esfuerzo de comprensin
MMU: Esfuerzo de modificacin
MMt: Esfuerzo de prueba
Los ndices de mantenibilidad se obtienen a partir de los valores de esfuerzo
seducte la siguiente frmula:
www.FreeLibros.me
*tf AlPmUtA PnOHM\T>CA: UN
MMf
C " TCA * MM WS
I>cl mismo modo se obtienen l u e l t . considerando el esfuerzo de modificacita
MMU y el esfuerzo de prueba MM, respectivamente.
Toda la informacin necesaria para la aplicacin del modelo, ya comenud,
puede incluirse en una tabla que denominamos Tabla Histrica (TH) con la siguicok
estructura:
Proyteto TCA MM,.,
\
MM,
K
x.
MM.
1- x,
MM, L
P TCA, MM,.. X.
MM. l .
x
MM.
1.
x MM.
L
-
... ... ...
P. TCA.
M M
X.. MM. K. X
MM.
1- x
MM..
Tomando la subtabla formada por las columnas X<- e 1* tenemos una nube de
puntos representable en un plano de dos dimensiones {(XoLi) I i - l . . n ) . Haciendo w
sencillo anlisis de regresin sobre este conjunto de puntos se puede obtener la cwv
que mejor se ajusta, as como el coeficiente de determinacin o grado en que dada
funcin es representativa de dicho conjunto de puntos. As obtendramos la funcifa
Del nusmo modo llegaramos a las funciones F y Fi a partir de los conjuntos de
puntos {(Xw-lt<.>/i*l..n) y {<X>/li,)/il..n}.
13.4.4. Mtodo de implementacin
En este apartado se describe el mtodo a seguir para implementar el modelo en en
proyecto software. La figura 13.1 muestra los elementos y procesos que intervienen <a
el modelo.
ENFOQUE PttACTlOO
l< * ndice de comprensibilidad
MSI* = Esfuerzo de comprensin en mantcnimimo
TCA Trfico de cambio anual
MMn > Esfuerao de desarrollo
flM I
M I
www.FreeLibros.me
CAPlni-o i>: auxtoria pki. mami>isbknto_ j
Figura l.i. I. Elementot y procesot que intervienen en el modelo de mantenimiento
Como sc observa en el esquema, hay tres procesos que utilizan tanto la
bfomtacin histrica Je la TH como cierta informacin que sc solicita del proceso de
desarrollo.
13.4.4.1. Enfoque de ajuste del modelo
Se trata de determinar la forma de las funciones le mantenibtlidad. Realizando
ue anlisis de regresin sobre cada conjunto de puntos {(X*,.!<,) / =l..n). >
*1.*) y ((Xr .l i ) / i=l ..n> recogidos de la TH. se podrn obtener respectivamente las
fcockmes o lneas de regresin F<. FM. y Hr que mejor representen a cada conjunto.
El mtodo de ajuste aqu empleado es el conocido mtodo de ajuste por
niBinws cuadrados. Para el caso de la funcin de comprensibilidad. F< e* tal que la
ai mi de los cuadrados de los errores es mnima, es decir.
e j , es mnimo, siendo e0 * 11-, - F<<X< ,)l
www.FreeLibros.me
13.4.4.2. Estimacin d d TCA
ste es un proceso que ha de basarse en la experiencia. Dos son los elcmoa |
hincos en todo proceso experimental: la informacin histrica >el juicio de expenx
El mtodo aqu propuesto se sirve de estos dos elemento para obtener b
estimacin. Partimos de la existencia de un conjunto de cualidades atribuibles >
proyecto software. Este conjunto va a ser elaborado inicialmenle y revisado de foma
peridica por los expertos de forma que manifieste las caractersticas distintivas de leu
proyectos que componen la tabla de datos histricos. Cada cualidad j va a tener i
peso p, que permite valorar unas cualidades ms que otras. Cada proyecto tendr slo
dos posibilidades con respecto a cada cualidad: poseerla o no poseerla. As. si la tab
histrica est compuesta por n proyectos, tendremos la siguiente informacin qx
representan sos en forma nutricia):
W MOTTOHfAINKIKMTICA UN EMQQCIL HtCIK'O______________________
Informacin histrica
A Matriz de arm elementos que indica las cualidades de cada proyecto qee
compone la tabla histrica (TH)
C C , j ... Clm
C-., C ... C , _
A =
C, C ... c
T Matriz de n d elementos que indica el trfico de cambio anual de cada proyecto
de la TH
T (TCA i . TCAj TCA.)1 TCA. = Trfico de cambio anual de proyecto i
NOTA: El superndiee T indica "matriz transpuesta".
C - Cualidad j para el proyecto i
Dos valores posibles:
I: El proyecto posee la cualidad
0: En otro caso
Informacin del proyecto en estudio
C Matriz de Ixm elementos que indica las cualidades del proyecto en curso. La
extraccin de esta informacin requiere la intervencin de personal experto. Es en este
momento cuando se va a revisar el conjunto de cualidades. La modificacin de este
conjunto requiere la actualizacin de la tabla histrica revisando las cualidades de
todos los proyectos que la componen.
www.FreeLibros.me
CaHTVI.O IX AfMTORlA 1)11. UAVB.MWFXTO 305
C (Ci, C;..... C-,) c, Cualidad ) para el proyecto n curso
Dos valores posibles:
p , : El proyecto posee la cualidad
0 : En otro caso.
B Matriz de a t l elemento que indica el nmero de coincktenciis que tiene el
proyecto en curvo con respecto a cada proyecto de la TH. es decir, el nmero de
cualidades que tienen en comn.
B - A CT
NOTA: El smbolo representa el producto de nutrices.
El TCA estimado viene dado por la siguiente expresin:
De esta forma, cada proyecto interviene en el clculo de la cMimacin en la
medida en que sus cualidades coinciden con las del proyecto en estudio
13.4.4.3. Aplieabllldad del modelo
Una vez que se dispone de las funciones de mantenibilidad <FC. FM y FT) as
romo del TCA estimado, el coste estimado de mantenimiento se oMiene slo con
aplicar la frmula ya conocida:
MMuam - MMf MM MMT - TCA MM,*, <lc l M Ir)
litado
le =Fr(Xc)
Im - F ^ X h)
l t - FH X t)
Por tanto, el proceso de desarrollo ha de suministrar la siguiente informacin:
MM|s : Esfuerzo de desarrollo
Xf : Mtrica de comprensibilidad
XM : Mtrica de modificabilidad
X, : Mtrica de testcabilidad
www.FreeLibros.me
X AtlPTTOKlA IS'KMtVtATHA UN (-NFOQIC PRACTICO
Con (oda t informacin recogida se podr aplicar la frmula y obtener U
estimacin del esfuerzo o coste de mantenimiento.
13.5. CASO DE ESTUDIO
Se han estudiado tres proyectos con el fin de aplicar el modelo recin expuesto
Se trata de un proyecto para el desarrollo de un paquete de gestin contable (P,) y des
de gestin comercial (P; y P<). El estudio se ha simplificado considerando solamente
uno de los componentes de la mantenibilidad. a saber, la comprensibilidad. El estudio
de la modificabilidad y de la tcstcabilidad se hara de manera idntica.
Seguidamente se muestra la tabla histrica en la que intervienen los tro
proyectas citados. En ella, todos los datos han sido medidos excepto el ndice de
comprensibilidad. IC. que se obtiene mediante la frmula:
1 MMf
f " T C A MMpes
Hemos de mencionar tambin que C| y C; son las cualidades escogidas para
diferenciar los proyectos en base a su incidencia en el trfico de cambio anual:
C i .- Proyecto de gestin contable
C : .- Proyecto de gestin comercial
Asignamos igual peso a ambas cualidades e igual a la unidad (p, a I. p . I)
Provecto C C- TCA
MMa
MSI,
V
P.
1
0
0.23
48 14
6.6 0.60
P;
0
i
0.29 72
II
15.7 0.75
P,
0
i
0.30 24
IIS 3.8 0.53
El |Huyesto en cudto. P. tiene como finalidad el desarrollo de un paquete de
gestin comercial. Su etapa de desarrollo ha concluido. El coste del desarrollo ha sido
de 57 Hombres x Mes y la mtrica de comprensibilidad. XV. tiene un valor de 17.
al Obtencin de la funcin de comprensibilidad (Fe)
Como cabe esperar, segn aumenta el valor de la mtrica de comprensibilidad
(nmero de lincas de comentario), el Indice de comprensibilidad (directamente
proporcional al esfuerzo de comprensin) va a disminuir. Por tanto, para el anlisis de
regresin del conjunto de pontos {(Xr. !< >} hay dos modelos bastante evidentes con
www.FreeLibros.me
aHTUI U IV Al DnnRU DtiL SUVI -VIMII NIO X'T
t e cuales ensayar: el modelo lineal de pendiente negativa y el modelo exponencial
egMivo.
De los dos modelos, el exponencial negativo es el ms adecuado ya que.
(analmente. la mejora de comprensin que supone una nueva lnea de comentario va
a ser mayor cuanto menor sea la concentracin de lineas de comentario en el
programa. Esto se comprende perfectamente yndonos a los lmites, es cfccir. viendo lo
<pc sucede si se aade una lnea de comentario en:
a) Un programa sin ninguna documentacin interna
b) Un programa con una documentacin interna perfecta.
Es evidente fie la compresin en el caso (a) va a verse mejorada en una cuanta
macho mayor que en el caso (b).
Empleando el mtodo de ajuste por mnimos cuadrados, tenemos qe se inua de:
Por mi sencillez, vamos a considerar en primer lugar el caso k ajuste a una
tincin lineal:
Derivando parcialmente esta expresin respecto de a c igualando a 0. y por otro
lado, derivando parcialmente respecto de b c igualando a 0. se obtiene el siguiente
fiema de ecuaciones (en el que simplificamos la notacin no incluyetelo los lmites
de los amatorios que siempre son i=l hasta n>:
mimmir(l (i - ( + *>Xt l ))
Consideremos ahora la funcin exponencial:
www.FreeLibros.me
W* Al 1X1OKIA INFORMTICK i'N fXFOQl F W^TTICO
Aplicando logaritmos obtenemos:
Lnl( l - L n a * b X Cj
Por tanto, volvemos a tener una funcin lineal donde la variable independiente e
X< y la variable dependiente es Ln I,. Haciendo el cambio de variable l * Ict
as como a * Ln a obtenernos el siguiente sistema a resolver:
l Cl - a N + b X Cl
I x tlr . , - . X x * > > S x J l |
Los datos requeridos ve muestran en la siguiente tabla:
Provecto
Mr
IV s Ln l<-
XV
Xcl 'c
Pi
14 0.60 -0.51 196 -7.14
P I II 0.75 -0.29 121
-3.19
P. 15 0.53 -0.63 225 -9.45
Sumas ,40 I 1.88 1.43 542 -19.78
Sustituyendo y resolviendo el sistema de ecuaciones resultante, obtenemos tos
valores:
a - 1.86
b = -0.08
Por tamo, la funcin de comprensibilidad (Fe) obtenida tiene la forma:
l r-FHX<-)> l . 8 6 e w,x<
b) Obtencin del trfico de cambio anual estimado (TCA)
Vamos a construir las matrices A. T. C y B de acuerdo al procedimiento y*
expuesto:
www.FreeLibros.me
CAHTV1.0I3: AlTHTOKlA Mi. MANH-MMIKVTO W
Aplicando la frmula de clculo de TCA tenemos:
B B 2
c) Aplicacin del modelo al proyecto P4 para d clculo del corte de comprensin
estintado en la etapa de mantenimiento (MM. )
MMr - TCA MMW3 L
MM, - 0.30 57 1.86 e**" - 8.16 Hombres x Mes
Como ya t e ha comentado, en el caso de estudio se ha considerado slo un
oponente de la mantenibilidad. Para los r o s dos componente, el xocedimiento
kt idntico. El coste o csucr/t estimado de mantenimiento se obtendra como Mima
de los tres costes, comprensin (MM< ). modificacin (MMm) y prueba (MMr).
13.6. CONCLUSIONES
Como hemos podido comprobar, mediante el estudio de la mattembilidad y
editando la utilizacin en el proyecto software de las tcnicas que pemitan asegurar
iws niveles de mantenibilidad. podremos fijar el campo de actuacin ce la Auditora
Informtica en el Mantenimiento.
La publicacin peridica The Journal o f Information Systems Autft and Control
tewctaon de la ISACA.
La Obra de Webcr R. f'DP Audlling. Conceptual Fuuntluitimt u n f / m l i t c . 2*
ed.. editada por McCraw-Hill. Sydney. 1988.
Por ltimo podramos mencionar por el campo de mi utilizacin la obra de
Bu:itt) R. Hurord C. y Simpson R.K. de la Iniernal Audit in the Public Sector.
Httx-ada por ICSA cop en 1993.
www.FreeLibros.me
1. Exponga 1 razone* que hacen de la auditora del nanienimiento un ir a
especialmente crtica.
2. Desarrolle una lista de comprobacin que rcccja los aspectos tafa
importantes a la hora de evaluar la gestin de cambio.
3. Qu ventajas apoda una herramienta de gestin de configuracin a la hori
de auditar el mantenimiento de sistemas informticos'.
4. Aplique las mtricas propuestas en este captulo a algn sistema reil.
calibrndolas fuera necesario a su entorno cspecfio).
5. Qu factores pueden influir en la modifkabilidad de los programas?
6. Analice en la literatura existente diversas mtricas de complejidad y describ
su influencia en la mantenibilidad.
7. Existen herramientas especficas para la gestin de pruebas de software,
analice su impacto en la testcabilidad.
8. Cmo debera organizarse la gestin de incidencias de mantenimiento en un
departamento de informtica desde el punto de vista d: la auditora?
9. La influencia de la documentacin en el mantenimiento de los sistemas
parece obvia, pero cmo medira la documentacin existente sobre un
sistema?
10. Compare otros modelos de estimacin que conozca con el propuesto en etc
captulo.
www.FreeLibros.me
CAPTULO 14
Mario (. Piaitini Velthuis
14.1. INTRODUCCIN
U gran difusin de los Sistemas, de Gestin de Bases de Dalos (SGBD). junto
i b consagracin de ! datos como uno de los recursos fundamentales de las
(retas, ha hecho que los tenas relativos a su control interno y auditora cobren,
todid. mayor inters.
Como ya r ha comentado, normalmente la auditora informtica se aplica de dos
ti distintas; por un lado, se auditan las principales reas del departamento de
ea: explotacin, direccin, metodologa de desarrollo, sistema operativo,
aciones, bases de datos, etc.: y. por otro, se auditan las aplicaciones
t internamente, subcontratadas o adquiridas) que funcionan en la
a. L importancia <J<- la auditora del entorno de bae de dalos r*dka <n que t i
H palo de partida para poder realizar la auditora de las aplicaciones que utilizan esta
L METODOLOGAS PARA LA AUDITORA DE BASES DE
DATOS
I Asaque existen distintas metodologas que se aplican en auditora informtica
' e cada firma de auditores y cada empresa desarrolla la suya propia),
lo 3. se pueden agrupar en dos clases.
AUDITORIA DE BASES DE DATOS
www.FreeLibros.me
14.2.1. Metodologa tradicional
En CMC tipo de metodologa el auditor revisa el entorno con la ayuda de una la
de control (chrckliu). que consta de una serie de cuestiones a verificar. Por ejemplo:
SEMS4
Existe una metodologa de diserto de BD?
El auditor deber, registrar el resultado de su investigacin: 5. si la respuesta a
afirmativa, iV. en caso contrario, o NA (no aplicable).
Este tipo de tcnica suele ser aplicada a la auditoria de productos de bases de
datos, especificndose en la lista de control todos los aspectos a tener en cuenta. Asi.
por ejemplo, si el auditor se enfrenta a un entorno Oracle 8. en la lista de control x
recogern los parmetros de instalacin que ms riesgos comportan, sealando cul a
su rango adecuado. De esta manera, si el auditor no cuenta con la asistencia de ta
experto en el producto, puede comprobar por lo menos los aspectos ms impofuntet
de su instalacin.
14.2.2. Metodologa de evaluacin de riesgos
Este tipo de metodologa, conocida tambin por ritk orienied approach. es laqte
propone la ISACA. y empieza fijando los objetivos de control que miniriun la
riesgos potenciales a los que c a sometido el enlomo. En Tourio y Fernndez 11991)
se seAalan los riesgos ms importantes que lleva consigo la utilizacin de una base &
datos y que se recogen en la figura 14.1.
Considerando estos riesgos, se podra definir por ejemplo el siguiente:
Objetivo de Control:
El SGBD deber preservar la confidencialidad de la base de datos.
Una vez establecidos los objetivos de control, se especifican las tcnica
especficas correspondientes a dichos objetivos:
Tcnica de Control:
Se debern establecer los tipos de usuarios, perfiles y privilegios necesarios pa
controlar el acceso a la base de datos.
www.FreeLibros.me
CArtTttO 14: AfPTTORlA Mi BAftSPH PATOS )l)
Figura 14.I. Riesgos debidos a la utilizacin de una base de datos. TOURIO y
FERNNDEZ (1991)
Un objetivo de control puede llevar asociada.% vara tcnicas juc permiten
coiririo en su totalidad. Estas tcnicas pueden ser preventivas iccmo la arriba
neacionadaf de lee ti vas (como monitorzar los accesos a la BD) o correctivas (por
jonplo. una copia de respaldo -backup-).
En caso de que los controles existan, se disertan unas pruebas 'denominadas
nritcti de cumplimiento) que permiten verificar la consistencia de loa mismos, por
ejenplo:
Prottm de cumplimiento:
Listar los privilegios y perfiles existentes en el SGBD.
Si estas pruebas delectan inconsistencias en los controles, o bien, si los controles
to existen, se pasa a disear otro tipo de pruebas -denominadas pruebat sustantiwi-
9* permitan dimensionar el impacto de estas deficiencias:
www.FreeLibros.me
>14 AtDfTQRlA INFORMTICA US EffOQUE WtACTKO
Prueba s t u t a n l i n :
Comprobar si la informacin t u sido corrompida comparndola con otra fueme.
revisando, los documentos de entrada de datos y las transacciones que se ha
ejecutado.
Una ve/ valorados los resultados de las pruebas se obtienen unas conclmaxa
que sern comentadas y discutidas con los responsables directos de las reas afectada
con el fin de corroborar los resultados. Por ltimo, el auditor deber emitir una serele
comentarios donde se describa la situacin, el riesgo existente y la deficiencia i :
solucionar, y. en su caso, sugerir la posible solucin.
Como resultado de la auditora, se presentar un informe final en el que k
expongan las conclusiones ms importantes a las que se ha llegado, asi con d
alcance que ha tenido la auditora.
Esta ser la tcnica a utilizar para auditar el entorno general de un sicnu de.
bases de datos, tanto en su desarrollo como durante la explotacin.
14.3. OBJETIVOS DE CONTROL EN EL CICLO DE VIDA DE
UNA BASE DE DATOS
A continuacin expondremos algunos objetivos y tcnicas de control a tener ea
cuenta a lo largo del ciclo de vida de una base de datos (vase la figura 14.2) qte
abarca desde el estudio previo hasta su explotacin: para ello nos basaremos ea k
propuestos por la 1SACA a principios de esta dcada. MENKliS (1990). y en los
recientemente publicados COBIT. ISACF (1996).
14.3.1. Estudio previo y plan de trabajo
En esta primera fase, es muy importante elaborar un estudio tecnolgico de
viabilidad en el cual se contemplen distintas alternativas para alcanzar los objetive
del proyecto acompasados de un anlisis coste-beneficio para cada una de la
opciones. Se debe considerar entre estas alternativas la posibilidad de no llevar a cabo
el proyecto (no siempre est justificada la implantacin de un sistema de bases de
datos) asf como la disyuntiva entre desarrollar y comprar (en la prctica, a veces ea
encontramos con que se ha desarrollado una aplicacin que ya exista en el mere ai),
cuya compra hubiese supuesto un riesgo menor, asegurndonos incluso una mayar
calidad a un precio inferior).
www.FreeLibros.me
Figura 14.2. Ciclo d t \ i d a d r una base de datos
Desafortunadamente, en hastantes empresas este estudio de viabilidad no se lleva
a cabo con el rigor necesario. con lo que a medida que se van desarrollando, los
El auditor debe comprobar tambin que la aJU direccin revisa los informes de
tas estudios de viabilidad y que es la que decide seguir adelante o no con el proyecto.
Bao es fundamental porque los tcnicos han de tener en cuenta que si no existe una
dccidida voluntad de la organizacin en su conjunto, impulsada por Ick directivos,
aumenta considerablemente el riesgo de fracasar en la implantacin del sistema.
En tas nuevos COBIT se enfatiza la importancia de llevar a cabo una gestin de
riesgos (valoracin, identificacin, medida, plan de accin y aceptacin), que es objeto
de atencin, afortunadamente, de un nmero cada da mayor de empresas.
www.FreeLibros.me
.*16 AUDITOR!* tNKMWnCA: fX ENFOQtfc PRACTICO
En caso de que se decida llevar a cabo el proyecto es fundamental que k
establezca un plan director, debiendo el auditor verificar que efectivamente dicho piao
se emplea para el seguimiento y gestin del proyecto y que cumple con tai
procedimientos generales de gestin de proyectos que tenga aprobados la
organizacin.
Otro aspecto muy importante en esta fase es la aprobacin de la euructura
orgimea no slo del proy ecto en particular, sino tambin de la unidad que tendr la
I responsabilidad de la gestin y control de la base de datos; recordemos que. para que
un entorno de base de datos funcione debidamente, esta unidad es imprescindible.
Se pueden establecer acerca de este lema dos objetivos de control. MENKUS
(1990): Deben asignarse responsabilidades para la planificacin, organizacin,
dotacin de plantillas y control de los acthvs de dalos de la organizacin'
(administrador de datos) y "Debe asignarse la responsabilidad de la administracin
del entonto de la base de datos" (administrador de la base de datos); sealando la
mayor parte de los autores que ambas funciones tienen que posicioaarse a un nivel ta
suficientemente alto en el organigrama para asegurar su independencia.
Figura U.S. Tareas del administrador de dalos. BRATNWAtTE <1985)
www.FreeLibros.me
En las figurai. 14.3 y 14.4 se muestran algunas de las (unciones y responsabilida-
ir> lano del administrador de dalos como del administrador de la base de datos.
Remiiimos al lector interesado en tratar con ms profundidad este lema, a
BRATHWAITE (1985). donde se analiza desde la perspectiva del control de dalos.
A la hora de detallar las responsabilidades de estas funciones hay que tener en
weata uno de los principios fundamentales del control interno: la separacin de
fase iones. Se recomienda una separacin de funciones entre:
El p e rw u l da daurrollD de l it icm u y el de e<ploin<*Mfn
- Explotacin y control de dalos.
- Administracin de bases de datos y desarrollo.
Debera existir tambin una separacin de funciones entre el administrador de la
Kguridad y el administrador de la base de datos. Esto no quiere decir que estas tareas
teegan forzosamente que desempearlos personas distintas (lo que no sera viable en
ochas pequeas y medianas empresas) pero si que es un aspecto importante de
antro! a considerar, por lo que en caso de que no pueda lograrse la separacin de
Ilaciones, debern establecerse controles compensatorios o alternativos: como, por
www.FreeLibros.me
II AtDtWHtlA INKMMATK'A l X KNKWJi'h mfUCO
ejemplo, una ma>or atencin le la direccin y la comprobacin por pane de L p t
usuario del contenido y de I salidas ms importantes producidas a (unir de la BD.
La situacin que el auditor encuentra normalmente en las empresas es que al m
existir una descripcin detallada de los puestos de trabajo (que incluyan re<ftt
bilidades. conocimientos, etc.), la separacin de funciones es muy difcil de verificar.
14.3.2. Concepcin de la base de datos y seleccin del
equipo
lin esta fase se empieza a disertar la hase de da(os. por lo que deben utilizarse ln
modelos y las tcnicas definidos en la metodologa de desarrollo de sistemas de U
empresa, vase Captulo 12.
1.a metodologa de diserto debera tambin emplearse para especificar lea
documentos fuentes, los mecanismos de control, las caractersticas de seguridad y la
pistas de auditora a incluir en el sistema, estos ltimos aspectos generalmente se
descuidan, lo que produce mayores costes y problemas cuando se quieren incorpora
una vez concluida la implcmen (acin de la base de datos y la programacin de I
aplicaciones.
F.l auditor debe, por tanto, en primer lugar, analizar la metodologa de diserto cea
el fin de determinar si es o no aceptable, y luego comprobar su correcta utilizackn.
Como mnimo una metodologa de diserto de BD debera contemplar dos fases de
diserto: lgico y fsico, aunque la mayora de las empleadas en la actualidad contempla
tres fases, adems de las dos anteriores, una fase previa de diserto conceptual que seria
abordada en este momento del ciclo de vida de la base de datos; vase, por cjempV.
De Miguel. Piattini y Marcos (1999).
Un imponantc aspecto a considerar, al que los COBIT dedican un apaad)
especifico, es la definicin, de la arquitectura de la informacin, que contempla ctuiro
objetivos de control relativos a:
- Modelo de arquitectura de informacin, y su actualizacin, que es necesaria
para mantener el modelo consistente con las necesidades de los usuarios y coa
el plan estratgico de tecnologas de la informacin.
- Datos y diccionario de dalos corporativo.
- Esquema de clasificacin de datos en cuanto a su seguridad.
- Niveles de seguridad para cada anterior clasificacin de datos.
En cuanto a la seleccin del equipo, en caso de que la empresa no disponga ya de
uno. deber realizarse utilizando un procedimiento riguroso; en el que se consideren.
www.FreeLibros.me
CAPOVIO U AL WIOKlA i; HASt* 1H: DATOS U'l
por un lado. la* neceudades de la empresa (debidamente ponderadas) y. por otro, las
prestaciones que ofrecen lo distintos SGBD candidatos (puntuados de manera
oportuna), fin ISACF (1996) se destaca tambin que en este procedimiento se debe
tener en cuenta el impacto que el nuevo software tiene en el sistema y en su seguridad.
14.3.3. Diseo y carga
En esta fase se llevarn a cabo los diseos lgico y fsico de la base de datos, por
lo que el auditor tendr que examinar si estos disenos se han realizado correctamente:
determinando si la definicin de los datos contempla adems de su estructura, las
asociaciones y las restricciones oportunas, as como las especificaciones de
afaiKcnamiento de datos y las cuestiones relativas a la segundad. El auditor tendr
que tomar una muestra de ciertos elementos (tabla*, vistas. ndices) y comprobar que
su definicin es completa, que ha sido aprobada por el usuario y que el administrador
de b base de datos particip en su establecimiento.
Es importante que la direccin del departamento de informtica, los usuarios e
clino. en algunas ocasiones, la alta direccin, aprueben el diserto de los datos, al
igual que el de las aplicaciones.
Una ve/ disertada la BD. se proceder a su carga, ya sea migrando datos de un
soporte magntico o introducindolos manualmente.
Las migraciones o conversiones de sistemas, como el paso de un sistema de
archivos a uno de bases de datos, o de un tipo de SGBD (de jerrquico a rclacional).
cttraftan un riesgo muy importante, por lo que debern estar claramente planificadas
para evitar prdida de informacin y la transmisin al nuevo sistema de datos
errneos. Tambin se debern realizar pruebas en paralelo, verificando que la
decitin real de dar por terminada la prueba en paralelo se atena a los criterios
oaMccidos por la direccin y que se haya aplicado un control estricto de la
coleccin de errores detectados en esta fase.
Por lo que retpec I entrad manual de dato, hay que etlablecer un conjunto
de controles que aseguren la integridad de los mismos. A este respecto, cabe destacar
<fx las declaraciones escritas de procedimientos de la organizacin referentes a la
ccaega de dalos a ser procesados deben asegurar que los dalos se autorizan, recopilan,
preparan, transmiten, y se comprueba su integridad de forma apropiada.
Tambin es aconsejable que los procedimientos y el diserto de los documentos
frentes minimicen los errores y las omisiones, as como el establecimiento de unos
procedimientos de autorizacin de datos.
www.FreeLibros.me
Un aspecto muy importante ex el tratamiento de latos le entrad errneos, paa
lo jue deben cuidante, con atencin lo procedimientos de introduccin de foreu
que no disminuyan los controles: a este respecto lo ideal es que los datos se validen j
corrijan tan cerca del punto de origen como sea posible.
Como sabemos, no toda la semntica de los datos puede siempre almacenarse a
el esquema de la base de datos, por lo que pone de esta semntica se se obligada a
residir en los programas. Ser necesario, por tanto, comprobar que los programas
implemcntan de forma adecuada esta integrlad.
)31 AUDtTOlA INFORMATICA! UXjyKXH'limACTICO___________________________ e*m
14.3.4. Explotacin y mantenimiento
Una vez realizadas las pruebas de aceptacin, con la partic pacin de los usuarios,
el sistema se pondr (mediante las correspondientes autorizaciones y siguiendo los
procedimientos establecidos para ello) en explotacin.
En esta fase, se debe comprobar que se establecen los procelimenlos de
explotacin y mantenimiento que aseguren que los datos se traun de forma congruo
y exacta y que el contenido le los sistemas slo se modifica nediante la autorizadla
adecuada.
En los nuevos COBFT se dedica un apartado completo a detallar los objetivos de
control para la gestin de datos, clasificndolos en un conjunto de apartados que se
muestran en la figura 14.5.
Seria conveniente tambin que el auditor pudiera llevai a cabo una auditoria
sobre el rendimiento del sistema de BD. comprobando si se lleva a cabo un proceso de
ajuste (tuning) y optimizacin adecuados que no slo consiste en el redisefto fsico o
lgico Je la BD. sino jue tambin abarca ciertos parmetros del SO c incluso la forma
en que acceden las transacciones a la BD. Recordemos que la funcin t
administracin de la bate de datos debe ser la responsable de monitorizar el
rendimiento v la integridad de los sistemas de BD ", Moeller (1989).
www.FreeLibros.me
da praporodn da dalos
da cxortrocin da documanlos fuanfa
acogida da dato da documantos fuanla
Moralo da aora* da documanlos fuanla
Raiancln da documanlo fuanla
da outorteocln da datos
VarMcocln da axoctitud, complacln y aulortzocto
Mana>o da aoras da antroda da datos
Irtagrtdod dal procasamtanlo da dato
Edicin y vaildocln dal pcocasomiaclo da datos
Manajo da aoras da procasomianto da dato
Ratancln y monago da sondas
Distribucin da salidos
y batoncao da salidas
Manajo da aoras y ravtsin da scftdas
Maddos da saguridod para Informas da salidas
Protaccin da Informocln sanstbia
Profaccin da Informocln sansibla dapuasla
Gasiln da ofmocaoomOnlo
Parfodos da ratancln y trmino da otmocanamlanto
Stttamo da gastln da Wbtlotaco da madios
Coplas da raspaldo y racuparoctn
Irabojo* da coplas da raspaldo
AJrrvocanamiano da raspaldo
Figura 14.5. Clasificacin de los objetivos de control para la gestin dr datos. ISACA
<1996)
14.3.5. Revisin post-implantacin
Aunque en bastantes organizaciones no se lleva a cabo, por falla de tiempo y
sernos, se debera establecer el desarrollo de un plan poja efectuar um revisin port-
npimiacjn de todo sistema nuevo o modificado con el fin de evaluar ti:
- Se han conseguido l<w resultados esperados.
- Se satisfacen las necesidades de los usuarios.
- Los cwtes y beneficios coinciden con los previstos.
da gasftn da la bWlotaco da madios
www.FreeLibros.me
14.3.6. Otros procesos auxiliares
A lo largo de lodo el ciclo de vida de la bate de dalos se deber control* b
formacin que precisan tanto usuarios informativos (administrador, analista*,
programadores, etc.) como no informticos, ya que la formacin es una de las clast
para minimi/ar el riesgo en la implantacin de una base de datos. Piattini (1990).
Esta formacin no se puede basar simplemente en cunos sobre el producto qtx !
est instalando, sino que suele ser precisa una formacin de ha ve que resefea
imprescindible cuando; *e posa de trabajar en un entorno de archivos orientad d
proceso a un entorno de bases de datos, por lo que supooc de "cambio filosfico: lo
mismo puede decirse si se cambia de tipo de SGBD (por ejemplo, de relaciona! a
orientado a objetos.
Hay que tener en cuenta que usuarios poco formados constituyen uno de ka
peligro ms importantes de un sistema. Esta formacin no debera limitarse al irea
de las bases de datos, sino que tendra que ser complementada con formacin rebosa
a los conceptos de control y seguridad.
Adems el auditor tendr que revisar la documentacin que se produce a lo largo
de lodo el proceso, paya verificar si es suficiente y si se ajusta a los estndares
establecidos por la metodologa adoptada en la empresa.
A este respecto resulta muy importante que se haya llevado a cabo m
aseguramiento de calidad: sase Captulo 16. lo ideal sera que en la propia empresa
existiera un grupo de calidad que se encargara, entre otras cosas, de asegurar la calidad
de los disertos de bases de dato*. Es cieno que existen pocas medidas" de calidad
para una base de datos; de todas maneras, hay ciertas tcnicas bastante difundidas qoc
se pueden aplicar a una base de datos como es la teora de la normalizacin.
14.4. AUDITORA Y CONTROL INTERNO EN UN ENTORNO
DE BASES DE DATOS
Cuando el auditor, se encuentra el sistema en explotacin, deber estudiar ti
SGBD y su enlomo. Como se se tala en Menlsus (1991). ~en el desarrollo y
mantenimiento de sistemas informativos en entornos de Bl). deberan considerarse el
control, la integridad y la seguridad de los datos compartidos por mltiples usuarias
Esto debe abarcar a todos los componentes del enlomo de 8 0 . El gran problema de
las bases de dalos es que su enlomo cada vez es ms complejo y no puede limitarse
slo al propio SGBD. En la figura 14.6 se muestra un posible enlomo de hases de
datos en el que aparecen los elementos ms usuales.
www.FreeLibros.me
14.4.1. Sistema de Gestin de Bases de Datos (SGBD)
Entre lo* componentes del SGBD podemos destacar el nticlro (kemel). el
catlogo (componente fundamental para asegurar la seguridad de la baie de datos), las
blidadex para el administrado de la bo.se de datos (entre las que se suelen encontrar
algn* para crear usuarios, conceder privilegios y resolver otras cuestiones relativas a
la confidencialidad): las que ve encargan de la recuperacin de la ED: rearranque,
ccpias de respaldo, archives diarios ilog). etc. y algunas funciones de auditora, as
amo los lenguajes de cuarta generacin (L4G) que incorpora el proptoSGBD.
En cuanto a las funciones de auditora que ofrece el propio tema, prcticamente
todos los producios del mercado permiten registrar ciertas operaciones realizadas
icfcrc la base de datos en un archive (o en un conjunto de tablas) de pias de auditora
<ati\t trail). El propio Modelo de Referencia de Gestin de Datos -ISO (I993)-
cottidcrj las pistas de auditora como un elemento esencial de un SGBD. sealando
que "W requinto pora la auditoria a que lo causa y el efecto de lodos los cambios de
b base de datos sean \-eriftcables .
www.FreeLibros.me
M4 AllXTOKlA LNK)RMATX~A t~N HNKXAfc PKAC1KX)
t i auditor deber revisar, por tanto, la utilizacin de todis la herramientas qae
ofrece el propio SGBD y la poltica y procedimiento que s*bre vu utilizacin hjji
definid el administrador para valorar sison suficientes o si deben ser mejorados.
14.4.2. Software de auditoria
Son paquetes que pueden emplearse para facilitar la Ubordel auditor, en cuarto i
la extraccin de dato de la bise, el seguimiento de la transacciones, dato de procU.
etc. Hay tambin productos muy interesantes que permiten cutdrar datos de difettala
entornos permitiendo realizar una verdadera "auditora del dato.
14.4.3. Sistema de monitorizacin y ajuste (tvning)
Este tipo de tema complementan la facilidades ofrecidas por el propio
SGBD. ofreciendo mayor informacin pura optimizar el sistema. llegando a ser en
determinada ocasione verdadero iitemax expertos que proporcionan la estiuctun
ptima de la base de datos y de cienos parmetro del SGBD y del SO.
La optimizacin de la base de dato, como ya hemos se talado, es fndame nul.
puesto que si achia en un entorno concurrente puede degradare fcilmente el nivel de
servicio que haya podido establecerse con lo usuarios.
14.4.4. Sistema Operativo (SO)
El SO es una pie/a clave del entorno, puesto que el SGBD se apoyar, en mayor
o menor medida (segn se trate de un SGBD independiente o dependiente) en Im
servicios que le ofrezca; el SO en cuanto a control de memoia. gestin de reas de
almacenamiento intermedio (buffen). manejo de errores, control de confidencialidad,
mecanismos de interbloqueo. etc. Desafortunadamente, el avditor informtica tiene
seras dificultades para controlar de manera rigurosa la interfaz entre el SGBD y d
SO. debido a que. en pane, constituye informacin reservada de los fabricantes de k
productos, adems de requerir unos conocimiento excepcionales que entran en el
campo de la tcnica de sistemas, vase Captulo 15.
14.4.5. Monitor de Transacciones
Algunos autores lo incluyen dentro del propio SGBD. pero actualmente, puede
considerarse un elemento ms del enlomo con responsabilidades de confidencialidad y
rendimiento.
www.FreeLibros.me
14.4.6. Protocolos y Sistemas Distribuidos
Cada ve/ mis se t i accediendo a las bases de date a travs de rede*, con lo que
d riesgo de violacin de la confidencialidad c integridad se acenta. Tambin las
bases de datos distribuidas pueden presentar graves riesgos de segundad.
Moeller (I9S9> establece cinco objetivos de control a la hora de revisar la
distribucin de datos:
1. FJ sistema de proceso distribuido debe tener una funcin de administracin de
datos centralizada que establezca estndares generales para la distribucin de
datos a travs de las aplicaciones.
2. Deben establecerse unas funciones de administracin de datos y de base de
datos fuertes, para que puedan controlar la distribucin de los datos.
3. Deben existir pistas de auditoria para todas las actividades realizadas por las
aplicaciones contra sus propias bases de datos y otras compartidas.
4. Deben existir controles software para prevenir interferencias de actualizacin
sobre las bases de datos en sistemas distribuidos.
5. Deben realizarse las consideraciones adecuadas de costes y beneficios en el
diserto de entornos distribuidos.
Respecto a este ltimo punto, es importante destacar cmo, por ejemplo, muy
pocas empresas han considerado rentable implemcntar bases de datos realmente"
distribuidas: siendo bastante ms econmico y usual actualizar bases de datos
distribuidas mediante transferencia de archivos y procesos por lotes (batch), que
hacerlo en linea.
14.4.7. Paquete de seguridad
Existen en el mercado varios productos que permiten la implantacin efectiva de
um poltica de seguridad, puesto que centralizan el control de accesos, la definicin de
pmilegios. perfiles de usuario, etc. Un grave inconveniente de este tipo de software
e que a veces no se encuentra bien integrado con el SCiBD. podiendo resultar poco
til su implantacin si los usuarios pueden saltarse los controles a travs del propio
SGBD.
www.FreeLibros.me
14.4.8. Diccionarios de datos
Esie lipo de Memas, que empezaron a implantarse en !< ao vlenla. tamb*
juegan un papel primordial en el entorno de k SGBD en cuanto a la integracita de
componentes y al cumplimiento de la seguridad de tos dalos, vase Piattia y
Daryanani <1995).
Los propios diccionario ve pueden auditar de manera anloga a la bates de
dalos (puesto que son hases de metadatos"). las diferencias entre unos y otros, reside*
principalmente en que un fallo en una base de datos puede atentar contra la integridad
de los datos y producir un mayor riesgo financiero, mientras que un fallo en ua
diccionario (o repositorios, suele llevai consigo una prdida de integridad de k
procesos: siendo ms peligrosos los fallos en los diccionarios puesto que puede*
introducir errores de forma repetitivo a lo largo del tiempo, que son mis difciles de
detectar. Perry (1991).
Para aspectos relacionados con las facilidades de control y auditora de
diccionarios de dalos, remitimos, al lector a Narayan (1988).
i At'DflOftlA IVyOfcMATlCA UN ENHOQO r*CHCO___________________________ i m
14.4.9. Herramientas CASE (Computer Aided
System/Software Engineering). IPSE (Integrated
Project Support Environments)
Desde la dcada pasada venimos asistiendo a una gran difusin de este tipo de
herramientas como soporte al diseo y concepcin de sistemas de informacin, vaie
Piattini y Daryanani (1995). Suelen llevar incorporado un diccionario de chJos
(enciclopedia o repositorios ms amplio que los mencionados anteriormente en los que
se almacenan adems de informacin sobre datos, programas, usuarios, etc., kx
diagramas, nutrices y grafos de ayuda al diseo. Constituyen una herramienta dase
para que el auditor pueda revisar el diseo de la base de datos, comprobar si se ha
empleado correctamente la metodologia y asegurar un nivel mnimo de calidad.
En Piattini y Ramos (1995) se expone cmo llevar a cabo la auditora de kn
entornos CASE/IPSE.
14.4.10. Lenguajes de Cuarta Generacin (L4G)
independientes
Adems de las herramientas que ofrezca el propio SGBD. el auditor se puede
encontrar con una amplia gama de generadores de aplicaciones, de formas, de
www.FreeLibros.me
CArtTU-O 14 ACOtTOSU I. IIA a Pfc PATOS :?
informe*. t ic. que actan sobre la base de dalos y que. por lano. tirnbin son un
demento importante a considerar en el entorno del SGBD.
En Moeller (1991) se ofrecen sanos objetivo* de control para los L4G. entre los
que destacan los siguientes:
- El U G debe ser capaz de operar en el entorno de proceso de datos con
controles adecuados.
- I.as aplicaciones desarrolladas con L4G deben seguir los mismos
procedimientos de autorizacin y peticin que los proyectos de desarrollo
convencionales.
- Las aplicaciones desarrolladas con L4G deben sacar vtntaja de las
caractersticas incluidas en los mismos.
En efecto, uno de los peligros ms graves de los I.4G es que 10 se apliquen
troles con el mismo rigor que a los programas desarrollados coi lenguajes de
locera generacin. Esto puede deberse, en parte, a una inadecuada interfaz entre el
L4G y el paquete de seguridad y a la falla de cdigo fuente en el sentido tradicional.
q*e hacen ms difcil de esta manera el control de cambios en las aplicaciones.
Otros problemas asociados a los I.4G y con los que noj encontramos
frecuentemente, pueden ser su incficiencia y elevado consumo de recursos, las
tentaciones que. en ocasiones, imponen al programador, los cambios que pueden
suponer en la metodologa de desarrollo, etc. Respecto a este ltimo punto, muchos
UG utilizan en la actualidad para desarrollar prototipos que facilitan a los usuarios
la exposicin de sus necesidades. Moeller (1989). se fala que e l pntoti po de una
eptkactn desarrollado con IAG debe proporcionar suficiente detalle para
"emplazar los documentos escritos asociados a los procedimientos convencionales
de la metodologa de desarrollo de sistemas".
El auditor deber estudiar los controles disponibles en los L4G tilizados en la
espreta. analizando con atencin si permiten construir procedimientos de control y
asditora dentro de las aplicaciones y. en caso negativo, recomendar >u construccin
wih/jrxlo lenguajes de tercera generacin.
14.4.11. Facilidades de usuario
Con la aparicin de interfaces grficas fciles de usar (con mens. ratn,
lianas, etc.) se ha desarrollado toda una serie de herramientas qje permiten al
wuario final acceder a tos datos sin tener que conocer la sintaxis de les lenguajes del
SGBD. El auditor deber investigar las medidas de seguridad qu< ofrecen estas
www.FreeLibros.me
I Ai PmmM IMOUSIATKA US WtAOKt)
herramientas y bajo qu condiciones han sido instaladas; tas herramienta* de ctte upo
debern proteger al usuario de sus propios errores".
Iuin aplicaciones desarrolladas empleando facilidades de usuario deben segar la
mismos slidos principios de control y tratamiento de errores que el resto; Motila
<19B9) destaca tambin otros dos importantes objetivos de control:
- l a documentacin de las aplicaciones desarrolladas por usuarios finales drtt
| ser suficiente pora que tanto sus usuarios principales como cualquier oec
puedan operar y mantenerlas.
- Los cambios de estas aplicaciones requieren la aprobacin de la direccia y
deben documentarse de forma completa.
Fn este apartado podemos incluir tambin las diferentes facilidades que ofrecen
algunos SGBD que pemiten su conexin con paquetes ofimticos (por ejemplo, hojas
de clculo), que pueden acceder a la base de datos c incluso actualizarla. En este caso
el auditor debe prestar especial atencin a los procedimientos de carga y descarga
(upotiding/d&nnloadingi de datos de la base a/desde k paquetes ofimticoa;
comprobando, por ejemplo, si se puede actualizar la base de dalos desde cualquiera dt
stos o si la descarga se realiza con datos correctamente actualizados (descarga de k*
datos correctos en el momento correcto").
14.4.12. Herramientas de "minera de datos"
En los ltimos artos ha explosionado el fenmeno de los almacenes de dalos
dat a^nrrhoutn y las herramientas para la explotacin o minera de datos
(datamining). Estas herramientas ofrecen soporte a la loma de decisiones sobre dato
de calidad integrados en el almacn de datos. En el Capftulo 20 se revisa la auditoria
de los EIS/DSS. cuyos principios se pueden aplicar a las herramientas de minera';
debindose controlar la poltka de refresco y carga de los datos en el almacn a paiw
(V I W i ilf itlK o j u w i n i n l f n i i l m i . tf como la MiHnd de mecanitmcx
de rctroalimcntaan (feedback) que modifican las bases de datos operacionales a
partir de los datos del almacn:
14.4.13. Aplicaciones
El auditor deber controlar que las aplicaciones no atenan contra la integridad de
los datos de la base, vase Captulo 19.
www.FreeLibros.me
14.5. TCNICAS PARA EL CONTROL DE BASES DE DATOS
EN UN ENTORNO COMPLEJO
Como hemos visto en el epgrafe anterior, existen muchos elementos del entorno
W SGBI) que influyen en la seguridad e integridad de los datos, en los que cada uno
se apoya en la operacin correcta y predecible de otros.. Como se destaca en CLARK
et al. (1991). el efecto de todo esto es debilitar la seguridad global del sistema.
rtxiendo la fiabilidad e introduciendo un conjunto de controles detcoordinados y
solapados, difciles de g e s t i o n a r esta situacin se acenta an mi s si los diferentes
componentes provienen de distintos fabricantes que se adaptan a estndares muchas
teces contrapuestos.
La direccin de la empresa tiene, por unto, una responsabilidad fundamental por
te que se refiere a la coordinacin de los distintos elementos y a la aplicacin
cusiente Je los controles de seguridad. Para llevar a cabo esta labor se deben fijar
dirimente las responsabilidades sobre los diferentes componentes, utilizar informes
de excepcin efectivos que permitan moaitori/ar los controles, establecer
procedimientos adecuados, implantar una gestin rigurosa de la configuracin del
acema, etc.
Cuando el auditor se enfrenta a un enlomo de este tipo, puede emplear, entre
ceas, dos tcnicas de control:
mui_______________________________ CAPTULO M: AUPCTORA D BASES PC PATOS B>
14.5.1. Matrices de control
Estas matrices, como la que aparece en la figura 14.7. sirven para identificar los
conjuntos de datocs del SI junto con kw controles de seguridad o integridad
impkmentados sobre los mismos.
Figura 14.7. Matriz de control
Los controles se clasifican, como puede observarse, en defectivos, preventivos y
conectivos.
www.FreeLibros.me
14.5.2. Anlisis de los caminos de acceso
Con esta tcnica se documentan el flujo, almacenamiento y procesamiento <k ta 1
datos en todas las fases por las que pasan desde el mixrro momento en qae x
introducen, identificando los componentes del sistema que atraviesan (tanto hantan
como software) y los controles asociados (tase figura 14.8).
Figura 14.8. Anlisis Je tas caminos de acceso. CLAFK et al. !991)
Con este marco, el auditor puede identificar las debitididev que expongan los
datos a riesgos de integridad, confidencialidad y segundad, las distintas interfaces
entre componentes y la complecin de los controles.
En la prctica se suelen utilizar conjuntamente ambos cnicas, si bien 1 del
anlisis de caminos de acceso requiere unos mayores conocimientos tcnicos y te
emplea en sistemas ms complejos.
14.6. CONCLUSIONES
Como seala BRATIIWAITE (198$). "la tecnologa de bases de datos I*
afectado al papel del auditor M em o ms que a cualquier otro individuo. Se ha
convertido en extremadamente difcil auditar alredetior del computador- . Esto k
debe, como hemos visto, no slo a la complejidad de la propu tecnologa de bases de
datos, sino tambin a que el entorno del SGBD ha ido creciendo de manen
www.FreeLibros.me
CAPtTVLOI* AIDtTORlA Dfc BASES Ofc DATOS Vl
extraordinaria en los ltimos artos, por lo que requiere personal especializado
I auditores informticos).
El gran nmero de componentes que forman dicho entorno y sus interfaces hacen
necesario que. antes de empezar una revisin de control interno, el auditor deba
examinar el enlomo en el que opera el SGBD; que est compuesto, como hemos visto.
por d personal de la empresa (direccin, informticos y usuarios finales), hardware,
software, etc.
El auditor debe verificar que todos estos componentes trabajan conjunta y
coordinadamente para asegurar que k sistemas de bases de datos continan
cvmplicndo los objetivos de la empresa y que se encuentran controlado de manera
efectiva
Pr otro lado, hemos visto cmo las consideraciones de auditoria deberan
luirse en las distintas fases del cido de vida de una base de datos, siendo muy
icfoetante que los auditores ponkipcn cada vez ms en el proceso de desarrollo,
sminuyendo asi cierros costes y haciendo ms productiva" su labor (la direccin de
Im empresas no siempre "se" la labor de auditora y control como realmente
productiva, asumindola, la mayora de las veces, como un gasto necesario).
Por lo que respecta al futuro de esta rea, con la aparicin de nuevos tipos de
bises de datos, como las activas, orientadas a objetos, temporales, multimedia,
ntkidiinensionalcs. etc., vase Piaitini y D i (2000). y la creciente distribucin de
bs datos (bases de datos federadas, multibases de datos. Web. bases de dalos mviles,
etc.), aparecen nuevos riesgos de inters para el auditor como, por ejemplo, en el rea
de seguridad, vase Castao et al. (1995). o en las metodologas de desarrollo. No
olvidemos precisamente que uno de los objetivos de control que sertala la ISACF
(1996) es que la metodologa de desarrollo debe actualizarse, y en estos momentos
aslen pocas propuestas que abarquen las nuevas tecnologas de bases de datos.
En el futuro es previsible que los SGBD aumenten el nmero de mecanismos de
control y seguridad, operando de forma ms integrada con el resto de componentes.
Para ello, es fundamental el desarrollo y la implantacin de eslindares y marcos de
referencia como los propuestos por ISO y por el OMG (CORBA). que faciliten unas
icrfaces claramente definidas entre componentes del sistema de informacin. Para
cooseguir este objetivo es importante que las instituciones y personas encargadas de
definir estos estndares tomen conciencia de la importancia del control y la auditora e
npicmcntcn los mecanismos adecuados.
Desafortunadamente, como nos ensea la experiencia, los sistemas aumentan su
carcplejidad y alcance con mayor rapidez que los procedimientos y tcnicas para
((rotarlos.
www.FreeLibros.me
Mi AlCtTOHU INFORMTICA UN EgOQtt; TTICO
Por lmo. queremos destacar la importancia cada dia mayor de una discif*M
mis amplia que la de hases de dato: la de Geuio de Recursos de Informacin (o e*
win siglas inglesas. IRM. Information Re tour e t Management), que nace precisan*
con la vocacin alegradora necesaria pora lograr convertir los datos en el activo mis
importante de las empresas: lo que lleva consigo que las medidas de control y
auditora pasen a un primer plano dentro de las actividades de las empresas.
Brathwaite, K. S. (I995). Data Administration: Selected Topics o f Data Control
Nueva York. EhU U. John Wiley & Sons.
Castano. S.. Fugini. M.. Martella. G. y Samarau. P. (1995). Database Stxvnfy
Addison-Wesley. Wokingham. Inglaterra
Clark. R. et al. (ed.) ( 1991 ). The Security. Audit and Control o f Databases. Avebuty
Technical. Aldershot. Gran Bretaa.
De Miguel. A. y Piattini. M. (1999). Fundamentos y modelos de bases de datos. 2.'
Ed. Ra-Ma. Madrid
1. Establezca objetivos de control relativos al diserto de una base de datos.
2. Defina un procedimiento pora la adquisicin de SGBD.
3. Cules son las diferencias ms importantes entre las funciones de un
administrador de datos y las de un administrador de bases de datos?
4. Po qu resulta tan crtico un diccionario de datos?
5. Qu controles establecera sobre la distribucin de listados extrados a partir de
la base de datos?
6. Objetivos de control sobre la formacin del personal relacionado con el SGBD
(usuarios finales, administradores, diseadores, etc.).
7. Analice el grado de ajuste existente entre lew paquetes de segundad le mercado
(TOP SECRET. RACF. etc.) y loa SGBD.
www.FreeLibros.me
<vu CArtTfljQI4:AWWTOlA0t>aDEDATO5 >
8. Qu riesgo* adicionales implica el hecho de distribuir las bases. Je datos?
9. Qu controles establecera para desarrollos que empleen lenguajes visuales que
acceden a bases de dalos?
10. Analice el opone que ofrecen las herramien'as de minera de datos al auditor
informtico.
www.FreeLibros.me
CAPTULO 15
AUDITORA DE
TCNICA DF. SISTEMAS
Julio A. Novoo Bermejo
15.1. MBITO DE TCNICA DE SISTEMAS
Cuando se tabla de Memas, por definicin, se trata de un conjunto de elementos
que cooperan en un todo armnico. En ocasiones e w i elementos se imbrican unos en
otros para integran mejor en el conjunto, de manera que a veces resulta difcil
identificar los componentes parcial.
ste es el caso de la Tcnica de Sistemas puesto que. segn se analice, podra
atarear prcticamente la totalidad del proceso informtico como quedar reducido a
una parcela muy precisa y con un desempeo muy restringido.
Para ilustrar el primer supuesto valga como ejemplo la titulacin que la primera
escuela especializada (INSTITUTO DE INFORMTICA. 1970) empez a otorgar a
quienes acababan los estudios uas s u p o el quinto arto. TCNICO !>!'. SISTEMAS.
Segn aquel plan de estudios. 1 TS abarcaba todo el mbito de la informtica,
existiendo adems tres especialidades que. si no me fallan los datos de que dispongo,
eran:
SISTEMAS FSICOS
INFORMTICA FUNDAMENTAL
INFORMTICA DE GESTIN
Segn esto, tan TS (Tctuco de Sistemas) era la persona especialista en Hardware
(Sistemas Fsicos) como el que se dedicaba al desarrollo de Lenguajes Formales o
www.FreeLibros.me
iV> AUDITORA INFORMTICA: UN bNTOQtlk PRCTICO
Autmatas (Informtica Fundamcnul) como el que trabajaba Aplicaciones
(Informtica de Gestin).
No obstante. U evolucin de la Informtica ha obligado a un grado tal de
especiali/acin que Comunicaciones, Sistemas Operativo, Seguridad y Bases de
Datos han necesitado expertos en reas muy concretas, dejando la figura de TS
relacionada exclusivamente con el Sistema Operativo, no sin habilitar -naturalmente-
especialistas en Comunicaciones. Seguridad y Bases de Datos (administradores de
esas actividades y/o entornos). F.sle grado de cspecialuacin ha sido necesario, sole*
lodo, en centros grandes en que las tareas se han hecho ms complejas y laboriosas, y
en consecuencia, no dcscmpeUWcs por una nica persona. Hn ocasiones la necesidad
de administrar con rigor determinadas instalaciones ha llegado incluso a crear
departamentos con las personas que colaboran, en la realizacin del trabajo
correspondiente a la funcin concreta.
F.l despegue de la Mkroinformtica y las Redes generan unos nuevos entornos de
trabajo, en algunos casos nicos (empresas ms pequeas) y en otros mezclados cea
los convencionales, pero que requieren una preparacin y dedicacin especficas. Ea
este sentido omos hablar cada da (incluso en anuncios de prensa) de TS dt
Mkroinformtka o TS de Redes.
Parece pues que no es fcil determinar el mbito de la tarea de TS. pero nuestro
compromiso con lo que queremos escribir nos obliga a acotar con claridad la materia
en cuestin para poder establecer despus las correspondientes actividades de control.
Tratando de utilizar el sentido comn y la praxis habitual determinaramos como
mbito de la tarea de TS la infraestructura informtica, es decir el conjunto de
instalaciones, equipos de proceso y el llamado software de base. Vamos a puntualizar
lo que. segn mi criterio, debe incorporar cada uno de estos apartados.
nsuUtciones
Este apartado incluira salas de proceso, con sus sistemas de segundad y control,
as como elementos de cooexin y cableado, es decir los elementos base pan
acondicionar los componentes del apaado siguiente.
Equipos d t proceso
Aqu estaran los computadores (main. mini y micro), as como sus perifricos
(pantallas, impresoras, unidades de cinta...) y los dispositivos de conmutacin y
comunicaciones (routers. mdems, frads...)
www.FreeLibros.me
CAPIVLO 15. AUmOttlAPti'nSCWCAl); SISTEMAS 1
Software de Bat*
Sc compone dc lot Sistemas Operativos. Compiladores. Traductor e Intrprete*
de comandos y programas, junto con los Gestores dc Datos (o sistemas dc
administracin de Bases de Datos) y toda una serie de herramientas y componentes
auxiliares e intermedios (herramientas dc desarrollo, facilidades de explotacin como
(bnifkadores. paquetes de seguridad, middleware...
Si consideramos infraestructura todo cuanto hemos detallado, es decir, todo lo
necesario para que las Aplicaciones funcionen -pues no olvidemos que son el objetiva
de nuestros sistemas-, estableceramos, segn mi criterio, el mbito de TS.
No obstante, dado que existen en esta publicacin captulos especficos dedicados
Auditora Fsica, dc la Explotacin, dc Bases dc Datos, de la Seguridad y de las
Redes, intentaremos centramos en el apianado del Sistema Operativo y lax
Comunicaciones como aspectos no cubicaos en los apartados mencionados.
15.2. DEFINICIN DE LA FUNCIN
Parece que antes dc entrar en la Auditora dc Tcnica de Sistemas, deberamos
definir primero la tarea a auditar como una aciividad informtica que requiere un
determinado desempeo profesional para cumplir unos objetivos precisos.
Siguiendo este esquema y buscando un enunciado simple podemos decir que
Tcnica dc Sistemas consiste en la actividad a desempear para instalar y mantener en
adecuado orden dc utilizacin la infraestructura informtica.
De acuerdo con lo ya comentado en el apartado anterior dc mbito, buscando un
compromiso formal para separar las Aplicaciones de todo lo necesario para que stas
ftncioocn correctamente y profundizando en esto diramos que el funcionamiento
erecto se caracterizara por:
Disponer de todo lo elementos niwur iiK
Por parte de los usuarios autorizados.
En el momento requerido.
Con el rendimiento adecuado.
15.3. EL NIVEL DE SERVICIO
No debemos perder dc vista que el cumplimiento de taJes caractersticas
cwutituyc el objetivo de lo SI (Sistemas de Informacin) y que su consecucin se
www.FreeLibros.me
AUDITORIA INHHtMAlICA l N KNKXJt * HtACHCO
expresa en trminos de nivel de servicio. Toda nuestra actividad debera otar
fundamentada en el logro de esc objetivo y. lano los procedimientos de actuacin
como los correspondientes controles, deberan tener como fin ltimo dicha meta.
Entendemos por nivel de servicio una serie de parmetros cuya medicin es capiz
de determinar objetivamente el mayor o menor grado de eficacia del servicio prestada
No cabe duda de que la obtencin de dicho nivel se ve afectada por cuanto
incidencias, de cualquier tipo, impacten en el normal desenvolvimiento de la actividad
del SI. As. paradas por instalacin de nuevos dispositivos, cambios de versiones del
sistema operativo, puesta en servicio de nuevas herramientas, averas de mquin.
fallos de comente o elementos de acondicionamiento, arranque o modificacin de
enlaces de comunicaciones, inclusin de nuevos usuarios o cualquier tipo de probtana
con el hardware o el software puede degradar el servicio, con el consiguiente perjuicio
para la organizacin, que no podr desarrollar sus funciones adecuadamente o en d
tiempo preciso, con el correspondiente impacto econmico que esto supone y que.
generalmente, resultar difcil de calcular, pero, en cualquier coso, importante.
Este apartado de nivel de servicio, requiere un tratamiento especfico, toda vez
que en la bsqueda de la calidad se conviene en el aspecto clave de la gestin de la
configuracin. Bastara decir que sin los dientes del SI no tiene sentido el SI. Y lo
que tale* dientes necesitan es la garanta de que el SI cumple su functo
adecuadamente, puesto que, cada vez ms, es el fundamento de toda la actividad de lt
organizacin.
Digamos para terminar esta breve incursin en el concepto expuesto que la
garanta del funcionamiento global se obtiene primero consiguiendo la de cada uno de
sus elementos, lo que nos obliga a determinar los puntos crticos que afecten a la
actividad d d SI y a prever su fallo y planificar los controles y acciona
correspondientes para soslayarlo. Comprenderemos que es tan importante delectar U
anomala en un demento de hardware como la capacidad de subsanarla en tiempo til,
pora lo que deberemos disponer del correspondiente contrato de asistencia con un
proveedor que nos permita reducir, a lo previsto, el impacto por tiempo de inactividad
Debe aadirse que. con esta filosofa, se negocian con los usuarios y proveedores que
reciben el servicio o aportan actividades para su consecucin, acuerdos de nivel de
servido (SLA: Service Leve! Agreemtm) que. por un lado aseguran a nuestros dientes
el grado de eficacia negociado y exigen a nuestro* proveedores la asistencia requerida
para conseguir lo anterior. Hay que entender que en estos trminos, se habla
comnmente de disponibilidades por encima del 99,91 (segn sectores y grado de
criticidad de lo* SI con relacin al impacto en la organizacin) lo que nos llevara a no
tener interrupciones durante mis de 2 horas en total en un aflo para un servicio
estimado en 2.000 horas anuales. Vase que un total de 10 horas de parada en un ato
para ese mismo servicio supondra una disponibilidad del 99,5%.
www.FreeLibros.me
CArtTVtOl AUPrrORlAPtTbOX'AW-SlSTtMAS i
La disponibilidad. siendo lundamciMal. no ex el nico parmetro a medir, toda ve/
no se (rau de tener un sistema que responda durante un determinado nmero de
tocas al aAo. sino que adems, debe hacerlo bien, liste ltimo aspecto slo puede
aprobarse mediante tiempos de respuesta que den una medida de la utilidad del
yco.
La satisfaccin de los usuarios es fruto del resultado general del servicio y
depende tamo de la eficacia de las aplicaciones como de la eficiencia del sistema.
Ene ltimo aspecto est bien representado por los parmetros de disponibilidad y
tempo de respuesta, pero se completa con el anlisis de las incidencias originadas por
U infraestructura y las opiniones de los usuarios sobre el servicio en la parte
Respondiente a ese mismo componente.
15.4. LOS PROCEDIMIENTOS
Toda tarea organizada debe estar descompuesta en una serie de actividades o
acciones a realizar con unos procedimientos especficos que garanticen su calidad (o
conecto funcionamiento).
De la orientacin que hemos dado hacia el servicio, se deduce la tarea de
ninrtlrjctti de los recunos del SI (infraestructura) que debe optimizar los
parmetros antes mencionados, cuestin que ha de convenirse en el objetivo de
Mestrox procedimientos.
Podemos efectuar una clasificacin en:
1. Instalacin y puesta en servicio.
2. Mantenimiento y soporte.
3. Requisitos para otros componentes.
4. Resolucin de Incidencias.
. Seguridad y Control.
6. Informacin sobre la actividad
La clasificacin anterior sirve para cualquier elemento de infraestructura, pero
cono ejemplo, podemos pensar en el Sistema Operativo de una mquina.
15.4.1. Instalacin y puesta en servicio
Comprendera todas las actividades para conseguir el funcionamiento adecuado
del elemento en cuestin:
www.FreeLibros.me
kU)ltORlA P.KMIMATK A UN I.MKXAt IKSCTKX)
Planificacin. Procedimiento general del suministrador adaptado a h
instalacin concreta.
Documentacin. Inventario de componentes del elemento y normas de
actualizacin.
Parametrzacin. Valore de parmetros del sistema en funcin del resto de
elementos planificados (nmero y tipos de usuario,
aplicaciones...)
Pruebas. Verificaciones a realizar y sus resultados.
Debe partirse de los documentos existente* en la organizacin sobre normatna
general: estructura organizativa (especialmente informtica), normativas de instalar*
(como, por ejemplo, direcciones IP a utilizar), metodologa general de proyectos y
dems informaciones que puedan y deban condicionar la instalacin.
15.4.2. Mantenimiento y soporte
Comprendera el conjunto de acciones necesarias para la puesta al da dd
elemento. as como la asistencia de terceros pora la consecucin de dicha puesta al da
y la asistencia a prestar a otros colectivos (desarrolladores. por ejemplo) para facilitar
informacin necesaria sobre el sistema y sus herramientas para su mejor utilizacido.
Planificacin. Control del perodo de garanta y comienzo dei
mantenimiento del elemento.
Documentacin. Procedimiento pora contactar con el soporte.
Parametnzacin. Adaptacin de los parmetros del sistema en funcin de
nuevos requerimientos o como resultado de nuevas versiones
o resolucin de incidencias.
Pruebas. Verificaciones de los cambios o adaptaciones realizadas.
15.4.3. Requisitos para otros componentes
Procedimiento de requerimientos o recomendaciones para el mejor
comportamiento de otros componentes del SI.
Planificacin. Considerar los requisitos cruzados de unos elementos c<
otros, por ejemplo: considerar el espacio en disco necesario
para una nueva instancia de una base de datos y. por ende. H
impacto en el subsistema de discos y las consecuencias en
los boik-ups en cuanto a espacio requerido y tiempo
necesario, teniendo en cuenta las limitaciones que en
cualquiera de estos aspectos pudieran existir.
www.FreeLibros.me
Documentacin. Procedimiento que determiru los. efectos a considerar en
otros componentes.
Parametri/acin. Adaptacin de los parmetros del sistema en funcin de
nuevos requerimientos o como resultado de nuevas versiones
o resolucin de incidencias.
Pruebas. Verificaciones de los cambios o adaptaciones realizadas.
15.4.4. Resolucin de incidencias
Procedimiento para registrar, analizar, diagnosticar, calificar y seguir las inciden
cias que se produzcan en relacin con el elemento en cuestin con el objetivo de su
resolucin.
Registrar Supone abrir un formulario en el medio habilitado <papel.
electrnico...) que permita recoger los datos que identifican
la anomala: momento en que se produjo, elementos y
servicios/usuarios afectados, dados producidos y/o que
pueden producirse, entonto del problema y una descripcin
de lo acaecido (las opiniones de los observadores pueden
resultar de inters en algunos casos).
Analizar Supone buscar una relacin entre el efecto y sus posibles
causas, para lo que se cuenta, adems de los comentarios de
los observadores ya mencionados, con la experiencia del
tcnico que trata la incidencia y la informacin ya registrada
sobre otras incidencias producidas que pudieran estar
relacionadas o responder a la misma causa u otra parecida.
Diagnosticar Determinar de entre las causas posibles aquella que tuviera
ms probabilidad de resultar el origen del problema una vez
analizada la informacin disponible. En el caso hipottico
de no poder establecer una causa del fenmeno reportar al
soporte disponible para su diagnstico.
Calificar Es un dato importante en el enfoque de la resolucin, pues
no tiene el mismo tratamiento una anomala bloqueante que
afecta a todo un sistema que un enor que se produce de
forma muy espordica y cuyos efectos no son muy
problemticos.
Resolucin Para resolver definitivamente un problema hace falta
conocer su causa y la forma de evitar que se reproduzcan las
condicione* origen. En caso de disponer de la solucin, su
www.FreeLibros.me
U: AirOCTOUlA INFORMATICA UN L-SHJQt't: fUM'TKIl
aplicacin deber atenerse a los criterios <lc nivd de
servicio, evaluando la problemtica creada por la falta de
solucin y la que pueda crear la resolucin, pora coorn*
las acciones que menos perjudiquen el servicio global ei
cuno. Supngase el caso de un problema que slo puede
solucionarse medanle un parche" de software que sto
puede instalarse parando una mquina que control! a
proceso crtico (imagnese cualquier ejemplo en: hospital,
banco, produccin de fbrica...).
Seguimiento Es la accin continua y normalizada pora conseguir el
diagnstico de una incidencia y la persecucin de h
resolucin.
15.4.5. Seguridad y control
Estos procedimientos adquieren una especial relevancia en el proceso de
evitacin de incidencias y. caso de producirse, en su temprana deteccin.
La proteccin debe considerar tanto la posibilidad de hechos fortuitos cono
malintencionados. Los primeras se evitarn partiendo de un formacin adecuada y
competencia profesional ms la organizacin que establezca unos proced meteos
robustos que incluyan elementos de control. Los hechos malintencionados se
prevendrn mediante una poltica de personal adecuada y unos procedimientos que
eviten concentracin de tareas y consideren la segregacin de funciones y ks
correspondientes controles.
Es necesario proteger los accesos a la informacin y funciones con criterio de
mnimos reservando funciones y accesos especiales a niveles de responsabilidad
superiores con los controles adecuados.
Por poner ejemplos, diremos que el personal de desarrollo no debe tener acceso a
modificar parmetros del sistema operativo y. de igual forma, los TS no deben poder
modificar programas.
Uno de los controles tpicos en cuanto a los programas objeto o compilados en
explotacin es el que comprueba que dichos objetos se corresponden con las versiones
fuente en vigor. Un control de este tipo tambin detecta aquellos objetos que no
disponen de su correspondiente programa fuente.
Los entornos de desarrollo y mantenimiento de programas deben dejar
informacin sobre las sentencias borradas, modificadas y aliad idas, as como los
autores de las modificaciones. Estas pistas de auditora permiten realizar
investigaciones pora determinar el origen de un determinado cambio.
www.FreeLibros.me
CArtmO 15 AtT>fTOlA PE r t OilCAPfc SISTEMAS W
Es imprtame que existan una see de normativas para realizar las funciones
aormfeicas. aunque es igual de importante que Ules normas se cumplan.
15.4.6. Informacin sobre la actividad
Rirma parte de la esencia de cualquier actividad rendir cuentas al responsable
Kperioe del trabajo realizado. Disponer dc una informacin estructurado, dc acuerdo
coo los parmetros dc seguimiento ms acordes con los objetivos de devrmpefto. es
cuestin primordial para:
Conocer la evolucin de la actividad.
Comparar la realidad con objetivas y estndares
Mejorar la calidad dc la tarea.
Anticiparse a situaciones criticas analizando los tendencias.
Es uno dc los elementos bsicos del nis! dc servicio siempre que se objetiven
Trmetros para su seguimiento, es decir, que seamos capaces de medir
coeportamientas del sistema que estn directamente ligados con la calidad del
vicio.
La informacin debe servir para gestionar y. por tanto, debe ser resumida y
exfresiva en cuanto a la reprcscnucin de la realidad, permitiendo profundizar si se
aquiete un anlisis ms fino de algn parmetro en aras de localizar la causa de un
minado comportamiento o magnitud.
1iJS.LOS CONTROLES
Deberan determinar el comportamiento del sistema y presenir situaciones no
deseadas desde cualquier punto de visu:
Hardware Existen los componentes adquiridos (inventario)
listn correctamente instalados
Se mantienen adecuadamente
Dan el rendimiento requerido
Software Se dispone de las correspondientes licencias
Est correctamente insulado
Se mantiene adecuadamente (versiones oficialmente sopor
tadas)
www.FreeLibros.me
U4 AtWTOItlA INKMtMTTCA t'N tMOQt'K m\CTK
Comunicaciones
Conmutacin
Existen componentes
Estn correctamente instalados
Comunicaciones
Plan de
contingencia
Existen lo contratos o servicios
Estn correctamente parametrizados
Se mantienen adecuadamente
Dan el ancho de banda y respuesta
Existen los procedimientos
Se llevan a cabo
Se controlan las excepciones
Se toman medidas
Se dispone de procedimientos de haci-up
Se realizan los back-ups correspondientes
Se guardan adecuadamente
Se comprueban por muestreo
Se dispone de un procedimiento
Estn contratados tos servicios necesarios
Est debidamente actualizado
Se realizan los ensayos peridicos
La Fundacin de Auditoria y Control de Sistemas de Informacin (ISACF) que
otorga la certificacin ('ISA (Certified Information System Auditor dispone de un
publicacin interesante sobre los Objetivos de Control para la Informacin y U
Tecnologa relacionada (COBIT). All se relacionan los procesos de los Sistemas de
Informacin clasificados en dominios: Organizacin y Planificacin, Compras t
Implantacin. Puesta en Servicio y Soporte y. por ltimo. Momton/acin. Esto
procesos engloban todas las actividades relacionadas con los Sistemas de Informacin
y. a su ve*. con factores como: Personas. Aplicaciones. Tecnologa. Explotacin y
Datos. Por otra parte tienen una conexin mayor o menor con siete Criterios de
Informacin:
1. Eficacia
2. Eficiencia
3. Confidencialidad
4. Integridad
5. Disponibilidad
6. legalidad
7. Fiabilidad.
www.FreeLibros.me
Art n.io i At mnmlA t * tecnica i sistemas us
La definicin del factor Tecnologia puede idem i fi carie eoo el mbito que estamos
aplicando a Tcnica de Sistemas, puesto que comprende:
Hardware.
Sistemas Operativos.
Gestore de Bases de Dalos.
Redes.
Multimedia.
Extrayendo los procesos relacionados con esta definicin Je Tecnologa
(tendramos, segn ISACA. los objetivos de control correspondientes al rea que no*
ocupa: Tcnica de Sistemas.
Veamo* los objetivo* de control en lo* que se involucra Tcnica de Sistemas.
Kgiln. el concepto anterior.
Definicin del plan estratgico tecnolgico
Pretende la satisfaccin de los requerimientos del negocio buscaido un balance
ptimo entre las oportunidades de la tecnologa de la informacin, dichos
requerimientos y su posterior cumplimiento. Permite un proceso de planificacin
etiratgica que. a intervalos regulare*, va cumpliendo las piane* a larjo plazo. E*to*
planes a largo plazo deben traducirse peridicamente en planes operativos con
cfcjetivos claros y concretos a corto plazo.
Toma en consideracin objetivos de negocio y necesidades de tecnologa de la
formacin, inventaro de soluciones tecnolgica* e infraestructura actual y estudios
de factibilidad.
Primando fundamentalmente el criterio de eficacia, concede tambin importancia
a b eficiencia.
Determinacin de la direccin tecnolgica
Se trata de obtener ventajas de las tecnologas emergente*. Pietende crear y
nauener un plan de infraestructura tecnolgica, adecuando y haciende evolucionar la
capacidad de la infraestructura actual siguiendo los desarrollo* tecnolgicos, las
testriccione* del negocio y los planes de adquisicin.
Como en el caso anterior, prima la eficacia sobre la eficiencia.
www.FreeLibros.me
Gestin de inversiones
Asegura la disposicin y el control de desembolsos de recursos financieros por
medio de los correspondientes presupuestos operativos peridicos establecida j
convenientemente aprobados.
Tiene en cuenu alternativas de financiacin, control sobre lo gastado j
justificacin de costes.
En este proceso tienen la misma importancia, eficacia y cfkietc,
considerndose, adems, la fiabilidad de lo adquirido.
M6 Ai'DIKUtlA INKHWIK'A IW HNHOqWt ACTICO___________________________t m
Apreciacin de riesgos
Pretende el aseguramiento de la obtencin de los objetivos de TI (tecnologa de ti
informacin), previniendo las amenazas en la obtencin de los servicios de TI
Permite a la organizacin identificar los riesgos, analizar su impacto y tomar la
medidas de coste efectivo para mitigarlos.
Considera distintos tipos de riesgos (tecnologa, seguridad, continuidad...), loi
momentos de anlisis (peridicos o durante la implantacin de nuevos sistema^
mbitos globales o especficos, informes de incidencias y el mantenimiento de
modelo de riesgo.
Estn involucrados los siete criterios, pero especialmente: confidencialidad,
integridad y disponibilidad.
Gestin de proyectos
Supone marcar prioridades p a n conseguir objetivo* en tiempo dentro de Vx
presupuestos. Permite a la organizacin identificar y priorizar proyectos en lnea cce
el plan operativo. Ms an. la organizacin debe adoptar y aplicar tcnicas seguras de
gestin de proyectos para cada proyecto emprendido.
Es preciso tener en cuenta el promotor del proyecto, los usuarios involucrados,
las incidencias y los hitos, la determinacin de responsabilidades, el comit de
seguimiento, los presupuestos de costes y mano de obra, la calidad del plan y h
seguridad del plan para con los sistemas sensibles.
En este cavo intervienen por igual los criterios de eficacia y eficiencia.
www.FreeLibros.me
CaHUIjO IS ADOtWKlA I* X~NK'A Df. SlMhSllS W
likulificackin de soluciones automatizados
Se trata de asegurar la mejor aproximacin para satisfacer los requerimientos de
k* usuarios, facilitando un anlisis claro de las oportunas alternativas ajustadas a los
requisitos.
Se han de tomar en consideracin las restricciones internas y extemas (como
sistemas heredados), la direccin de la tecnologa, los estudios de factibilidad (costes,
beneficios, alternativas...). los requerimientos y la arquitectura de informacin.
Prevalece la eficacia, aunque la eficiencia debe considerarse tambin.
Adquisicin Vmantenimiento de infraestructura tecnolgica
Este proceso provee las plataformas adecuadas para soportar las aplicaciones del
Kgocio. Permite definir consideraciones especficas de requerimientos funcionales y
petamos y una implantacin por fases con hitos claros.
Se deben considerar: la disponibilidad de la tecnologa, la direccin de su
evolucin, las polticas de seguridad, el ajuste de los procedimientos a la instalacin y
U flexibilidad.
Es importante la integridad, pero han de prevalecer eficacia y eficiencia.
Desarrollo y mantenimiento de procedimientos relacionados con los SI (Sistemas
de Informacin)
Pretende asegurar el uso adecuado de las aplicaciones y de la soluciones
tecnolgicas instaladas Supone una aproximacin estructurada, al desarrollo del
euurio y a los manuales de procedimientos operai i vos. as como a requerimientos de
vicio y material de entrenamiento.
Tiene en consideracin tanto procedimientos como controles de usuario y
procedimientos y controles operativos.
Prevaleciendo eficacia y eficiencia, tambin -en segundo trmino- intervienen
crios de integridad, legalidad y fiabilidad.
www.FreeLibros.me
U> ALPITOHtA INKIHNIAIUA I X INKXJO IUMDO
Instalacin v certificacin de sistema*
Verifica y confirma que la solucin encaja con el propsito perseguido, lo qoc
permite la realizacin de una correctamente formalizada instalacin, migracin y
conversin as como un plan de aceptacin.
Considera la aprobacin de la estructura, la documentacin, pruebas especfica,
entrenamiento, conversin y/o carga de datos y revisiones post-implantacin.
Busca la integridad y la disponibilidad, prevaleciendo la eficacia.
Gestin de cambios
Pretende minimi/ar defunciones, alteraciones no autorizadas y errore,
habilitando la gestin del sistema para el anlisis, la implantacin y el seguimiento de
los cambios solicitados y realizados en la infraestructura de TI existente.
Tiene en cuenta la identificacin de los cambios, la categorizacin. priorizacin y
procedimientos de emergencia, el impacto, la autorizacin de los cambios, gestit
delegada y distribucin de software.
Son criterios prioritarios, adems de eficacia y eficiencia, integridad y disponi
bilidad. mientras que la fiabilidad se considera en un segundo plano.
Definicin de niveles de servicio
Persigue un entendimiento generalizado sobre el nivel de servicio requerido
Permite el establecimiento de acuerdos de nivel de servicio que formalizan k
criterios de rendimiento con los que deben medirse cantidad y calidad del servicio.
Involucra definicin de responsabilidades, volmenes y tiempos de respuesta,
dependencias, cargas, garantas de integridad y acuerdos de discrecin.
Intervienen los siete criterios, siendo primarios: eficacia y eficiencia.
(e-\tin de relacin** de servicios de terceros
Aseguran que los roles y responsabilidades de terceras partes estn definidos coa
claridad, son conformes con los requerimientos y continan satisfacindolo. Facilillo
www.FreeLibros.me
CArtTVLO IS AUPUOWUIH- TfCNW'A I; SISTEMAS VI
medidas de control para revivir y monitorizar los contratos existentes y lo
procedimiento para su eficacia y cumplimiento de las polticas de la organizacin.
Tiene que ver con los acuerdos de nivel de servicio. con los acuerdos de
discrecin. las polticas de la comparta, las leyes y regulaciones y los contratos de
em o m in g .
Igual que el proceso anterior, requiere de todos los criterio y. en especial, de
eficacia y eficiencia.
Gestin de rendimiento y capacidad
Asegura la existencia de la capacidad adecuada, su disponibilidad y uso ptimos
de acuerdo con los requerimientos establecidos. Permite controles pora gestionar la
pocidad y el rendimiento, que recopilan datos e informan para gestionar la carga, el
umarto de las aplicaciones y la gestin de recursos y peticiones.
Tiene en cuenta volmenes, tiempo de r ecuest a y rendimientos.
Busca el factor de disponibilidad, prevaleciendo siempre eficacia y eficiencia.
Aseguramiento de la continuidad del servicio
Dispone el servicio tal y como se requiere y contina facilitndolo cuando se
produce una incidencia. Permite el ejercicio regular de un plan de contingencia
estructurado (simulacros) facilitando distintas fases c hitos claro, alineando las TI con
los aspectos del negocio.
Considera la clasificacin critica, el plan documentado, los procedimientos
alternativos y las pruebas y ensayo temticos y regulares.
Se fuiKiamrnu i-n dis(mnihiliiUd > eficacia y. de manera secundaria, en efi-
cteacia.
Aseguramiento de la seguridad de los sistemas
Para salvaguardar la informacin contra usos no autorizados, revelacin de
iaformacin. modificacin, corrupcin o prdida, controla el acceso lgico al sistema,
a los datos y a los programas, restringiendo os a los usuario autorizados.
www.FreeLibros.me
Involucra autorizacin. autenticacin. perfiles e identificacin de usuaria,,
gestin de claves e informe de incidencias y seguimiento.
Aplica criterios de confidencialidad c integridad y, en segundo orden, ditpo-
bilidad. legalidad y fiabilidad.
Identificacin y repart o de costes
Asegurar la correcta atribucin de los costes de los servicios de TI. Debe I
disponerse de un sistema de contabilidad de costes que garantice el registro de lo I
mismos, con el consiguiente clculo y distribucin de detalle.
Considera los recursos a incluir, las polticas de reparto y los ratios de j
distribucin.
Utiliza criterios de eficiencia y fiabilidad.
Gestin de la configuracin
Inventariar todos los componentes de los SI. previendo alteraciones no
autorizadas, verificando su existencia fsica y facilitando una base precisa pan
gestionar el cambio, los controles que identifican y registran todos los bienes y sa
localizacin fsica, asi como un programa regular de verificacin que asegure s*
existencia.
Tiene en cuenta el registro de activos y su etiquetado.
Usa criterios de disponibilidad y fiabilidad, dando prioridad a la eficacia.
Gestin de problemas e incidencias
Asegura que se conocen los problemas y las incidencias, que se investigan 1
causas y que se previene su repeticin, permitiendo un sistema que registre y persiga
i resolucin.
Determina la existencia de pistas de auditoria suficientes sobre problemas y
soluciones, el tiempo de resolucin de los problemas reportados, procedimientos de
escalado (paso de problema a otras instancias) c informes de incidencias.
Criterios primarios: eficacia y eficiencia: secundarios: disponibilidad.
www.FreeLibros.me
CAfn:U> IV AlIQtTOtA l*. IffMCA O SOTfcMAS 1
Monitori/acin dc los procesos
Persigue la consecucin dc k* objetivo* buscados por Ion procesos dc lo SI.
definiendo la gestin de informes relvame-* para la dircecin y de indicadores dc
rendimiento de La implantacin del soporte de los sistemas, as como clarificando los
informes sobre una base regular y normalizada.
Son importantes los auto-controles, benchmarks, indicadores clase dc medicin
de rendimientos c informes dc gestin.
Intervienen los siete criterios, siendo primara la eficacia.
Seguridad Independiente
Para incrementar los niveles dc confidencialidad y el beneficio dc referencias dc
las mejores prcticas es importante realizar auditoras independientes a intervalos
regulares.
I j mencionada auditora independiente con conceptos dc auditora proactiva. la
ejecucin dc los controles por personal cualificado y la clarificacin dc las
observaciones y las recomendaciones constituyen aspectos clave dc esta actividad.
Como en el caso anterior, intervienen los siete criterios, pero aqu, con prioridad
los dc eficacia y eficiencia.
15.6. AUDITORA DE LA FUNCIN
No vamos a repetir conceptos clsicos dc auditora, como la necesidad dc
confeccionar un plan de la misma que incluya el anlisis de ejercicios anteriores
determinando objetivos precisos y estableciendo un conjunto de pruebas: sustantivas y
de cumplimiento que permitan obtener unas cooclusiones reflejadas en el informe
oonrs|Win<1irnte
Se trata pues dc aplicar las ideas anteriores, al segmento de actividad al que nos
estamos refiriendo: Tcnica de Sistemas.
El ltimo informe de auditora realizado debe servir para fijar un objetivo
ceocrcto: la comprobacin de que se han llevado a cabo las recomendaciones
eipecstas y se han corregido debilidades o puntos negros detectados con anterioridad.
El informe final deber reflejar, en este caso, la realidad contrastada, haciendo
tacapil en aquellos objetivos no conseguidos las razones expuestas por los
www.FreeLibros.me
i AUDITORA IXTORMTKA: UN ENFOQUE PRCTICO
responsables y unas nueva recomendaciones al respecto que pueden ratificar 1
planteamientos orijiirulcs o plantear alternativa* o nuevo objetivos para resolver la
debilidades encontradas (controles compensatorios).
Kn cuanto a lo procedimiento, y de acuerdo con lo expuesto en el pido
anterior, debe comprobarse:
1. Que existen.
2. Que son consistente con lo objetivo de control.
3. Que se ejecutan.
Comoquiera que el ejercicio de auditora supone coleccionar unos hecho*
observado para emitir un juicio ecunime, profesional e independiente, dicho hecha
deben estar contrastados, por lo que se realizan tas prochas sustantivas y de
cumplimiento cuyo resultado debe soportar las cooclusiones del informe de auditora.
No podemos olvidar que es el informe de auditora -como resultado final dd
trabajo realizado- la base de las accione correctoras posteriores que debe promover b
direccin para soslayar cuantas debilidades y problemas pueda plantear el sistema en
mi funcionamiento, y consecuentemente, mejorarlo para que responda a Im
requerimientos que constituyen su razn de ser.
Una adecuada metodologa en el desarrollo de la auditora es fundamental y
requiere de aspectos generales, tanto del campo de la auditora como de la
organizacin de lo Sistemas de Informacin, tanto como de aspectos especfico que.
en el caso de TS son especialmente importantes, a tenor de la tecnificacin profunda
de la funcin y de la especificidad de los diferente entorno tecnolgico existentes.
Existe, adems, un problema aadido que se origina en la variedad y
multiplicidad de los entornos. Hoy en da es difcil encontrar entorno puros y. en la
realidad actual, existen distinta pones de los SI que se ubican en mquinas de tipo
mainframe. de tipo mini y micros que cada vez son menos micro, puesto que b
tecnologa evoluciona y desarrollos de unos entornos se aplican a otros; baste poner
como ejemplo que la tecnologa de discos del entorno microinformliico ha sido U
hxsc de los actuales desarrollos de sistemas array que construyen grande sistemas de
almacenamiento por agregacin de elementos ms pequeos con el origen
mencionado, que. atiem. se beneficia de lo desam>llo de entornos mainframr 01
cuanto a rendimientos: varias viax de acceso, dispositivos cach, etc.
Resulta normal en una empresa de cierto tamao encontrar un entorno mainframt
que soporte una serie de funcionalidades, junto con entornos medios para otras y un
soporte micromformtico. articulado generalmente alrededor de una red que completa
la infraestructura de sus sistemas centrales. Pero esto no es todo, sino que se completa
www.FreeLibros.me
CAitmtx) i ' Av imcmlA p. ifrviCA di stsu.sus mi
-tambin usualmente con equipos en sus ceiros perifricos que integran tas
instalaciones con los correspondientes enlaces le comunicaciones > la electrnica
inherente.
En entornos heterogneos se requieren conocimientos especficas 1c cada sistema
operativo, gestor de base de datos, herramientas de desarrollo, administracin,
seguridad y monitorizacin.
La funcin, en estos casos, debe ser auditada desde dos perspectivas diferentes y
con equipos de personas distintas:
Equipo de organizacin con conocimientos generales que chequee aspectos
operativos, conso establecimiento y separacin de entornos y los
procedimientos inherentes a dicha separacin y a las funciones generales
como resolucin de incidencias, planes de contingencia, niveles de servicio o
informes peridicos de Tcnica de Sistemas sobre el desarrollo de la tarea.
Equipas expertos en entornos especficos que sean capaces de analizar los
parmetros claves del software de base en sus distintas concepciones: sistemas
operativos, gestores de bases de datos y herramientas varias.
La existencia de una red de comunicaciones incorpora un nuevo nivel de
complejidad, puesto que. para diferentes servicios, pueden existir distintas
infraestructuras que se solapan, por ejemplo: lneas de dalos para conectar
tcrminalcs/rcdcs a instalaciones centrales (computadores y/o redes) y otro conjunto de
enlaces pora inierconectar las diferentes ubicaciones de la organizacin y soportar el
servicio de correo electrnico.
Lo servicios a travs de redes pblicas ms abiertas y econmicas pero mucho
menos seguras generan una complejidad aadida que. desde el punto de vista del
control. hacen cada vez ms difcil su vigilancia, dado el elevado nivel tecnolgico de
las soluciones en curso y su vocacin de apertura y flexibilidad que chocan
frootalmcntc. como se puede comprender fcilmente y ya hemos dicho, con aspectos
de (fundid y control necesario.
En grandes organizaciones es relativamente sencillo urdir estrategias
organizativas que cumplan con los criterios bsicos de control en cuanto a
establecimiento de procedimientos y segregacin de funciones para que. por ejemplo,
los programadores no puedan modificar los parmetros del sistema (operativo, gestor
de dalos...) y quienes puedan ejecutar programas en real no puedan modificarlos.
Pero a veces, bien porque se trata de organizaciones ms pequeas con menos
recursos tanto operativos como de control, como de grupos de servicio a determinados
objetivos parciales con elementos de proceso departamentales, se producen situaciones
donde la segregacin funcional no existe y surgen -en consecuencia- amenazas y
www.FreeLibros.me
JM Al'PrroaU ISTORMATKA: un ENFOQUE PRACTICO
debilidades que el auditor debe determinar para que mediante otro* medios pool*
compensarse dichas debilidades. bien a travs de oros controles y lo medidas (segure,
por ejemplo).
Puesto que en la presme obra se tratan especficamente aspectos que tienen qoe
ver con TS. vamos a profundizar un poco en el rea especfica del sistema operativo y
herramientas complciixmarias.
La separacin de entornos de traba o constituye un planteamiento undamctal
para aislar la produccin de los riesgos del desarrollo. Hay que tener en cuenta que.
llevadas las cosas al lmite en el rea de produccin, se persigue la estabilidad de los
procesos, mientras que en desarrollo, se trata de comprobarla, lo que obligara a
intentar -en pruebas- buscar sus fallos y conseguir incidencias para prevenirlas. Ea
ocasiones, cabria incluso la existencia de otros entornos (en funcin de lat
organizaciones) como el de implantacin que -siendo una rplica del de produccin-
permitira comprobar (en laboratorio) incidencias producidas en explotacin, probv
circunstancias especficas, sin necesidad de involucrar a las ejecuciones reales e
impartir entrenamiento (training) a nuevos usuarios o ante nuevas versiones de
aplicacin. Por otra parte, las mencionadas separaciones deben conllevar un conirct
sobre las conexiones entre los mismos y las restricciones de acceso de los distinto
perfiles (operadores que no pueden compilar programas, programadores que no
pueden acceder al entorno de produccin, etc.).
Los datos reales no deben ser accesibles ni utilizados para pruebas: slo en casos
especiales pora pruebas de volumen podran lomarse como punto de partida,
desvirtundose en su contenido para el traspaso al entorno correspondiente.
K1 software de base debe aportar herramientas para modificar programas y
controlar los cambios dejando pistas de auditoria, debiendo existir el correspondiente
procedimiento que contemple la segregacin funcional (aprobacin del carato,
realizacin, validacin y puesta en explotacin).
La consistencia de los programas ejecutables con las fuentes origen es verificaNe
y garantiza que las aplicaciones en ejecucin coinciden con las desarrollada,
validadas, y que sirven de base para cualquier modificacin posterior.
Debe comprobarse la existencia de todas las fuentes. La prdida de alguno deja a
la organizacin en precario frente a cualquier modificacin necesaria que afecte a la
funcionalidad que soporta el programa en cuestin.
Un control especial debe aplicarse con las utilidades de uso restringido qee
permiten accesos directos a) ncleo del sistema operativo o a los datos. Se trata de
elementos sensibles cuyo uso debe estar especificado, toda vez. que -en determinados
www.FreeLibros.me
CArtn tt) iv AfiMTimtA pe tt-cxKA de sistemas j
casos- n<> dejan pida de las modificaciones realizadas. Existen opiniones a favor de
deponer de estas funciones fuera del sistema, cargndolas nicamente cuando sean
recesaras y borrndolas despus, para evita que -por una debilidad de segundad
alguien pudiera acceder a ellas. Con esto se trata de eliminar la omnipotencia de los
Tcnicos de Sistemas, que deben estar, tambin, sujetos a una normativa rigurosa.
Ha de tenerse en cuenta el nisvl de actualizacin de los mdulos del SO (sistema
operativo) y si existen parches pendientes de aplicar, dado que la no actualizacin
mencionada supondra el riesgo ante los errores que las actualizaciones corrigen.
La planificacin de acciones debe ser cuidadosa, documentada y con posibilidad
de alternativas y de marcha atrs ante cualquier eventualidad imprevista que no
permita el conecto funcionamiento del sistema. Ha de tener en consideracin los
tseles de servicio pactados y procurar el mnimo impacto en la explotacin del
sistema.
Deben existir planes de respaldo y continuidad en cuanto al software de sistemas,
as como el adecuado soporte interno/externo.
El seguimiento de la adecuada sintona del sistema y su rendimiento debe ser una
prctica habitual y continua, para lo cual, adems de los datos objetivos sobre
parmetros y mediciones, existen herramienta* de contraste que permiten evaluar su
funcionamiento.
Constituyen riesgos una dependencia inadecuada (del responsable del desarrollo,
por ejemplo. k> que supondra falta de segregacin funcional), los cambios sin una
planificacin adecuada y la existencia de supemsuarios con una concentracin de
poder que atente igualmente contra la segregacin funcional, l-os controles deben
buscar supervisin, comprobar la restriccin de kw accesos y efectuar las revisiones
correspondientes.
El riesgo valorado debe estar en consonancia con la organizacin: no es el mismo
en un hospital o en un banco que en un fabricante de sillas. Aunque la repercusin
para el negocio pueda ser la misma, no son iguales, ni la probabilidad de su
produccin ni la repercusin en otros factores (las personas, por ejemplo). En cienos
casos, como complemento o como sustitucin por no justificarse determinadas
medidas en funcin de la complejidad y el riesgo en cuestin, puede estudiarse una
poltica de leguros:
SPS Seguro de soportes de datos
SPW Seguro de software
SICO Seguro pura cobertura de contingencias
ISPB Seguro de prdida de beneficios
www.FreeLibros.me
ft Al'IMIOHlA INHJKMAItCA CN hMOQUfc HtCTSCO
Tambin conviene de*tacar la existencia Je herramientas que ayudm en b
metodologa, recogiendo resultados de observaciones, tabulndolos de acuerdo coa
factores y parmetros de riesgo para obtener un valor objetivo de los resultados,
construyendo, de forma semiautomtica el informe de auditora. De igual forma cabe
utilizar tiles especficos pora sistemas concretos y revisar sus parmetros e histricos
-en cuanto a pistas de auditora- que. en casos de sistemas complejos, so#
especialmente recomendables.
15.7. CONSIDERACIONES SOBRE LA TECNOLOGA Y SU
EVOLUCIN
Debemos prepararnos para el cambio de paradigma que se nos avecina, puesto
que la complejidad alcanzada por los sistemas distribuidos no compensa su
aparente eficiencia. Para justificar esta apreciacin baste con referir el alcance tcnico
de tos sistemas distribuidos que -para conseguir la consistencia en la informacin de
los diferentes nodos- se ha normalizado el cornil de doble fase para garantizar b
actualizacin, en tiempo real, de todos los computadores de la red. En trminos
vulgares baste con decir que es necesario un enlace de comunicaciones fiable y
permanente para garantizar que en lodos los nodos queda actualizada la in/ormaaii
en el momento y yo me pregunto qu diferencia existe entre este sistema y uno
centralizado clsico? Segn m opinin, la diferencia es inexistente toda vez que -en
ambos casos- el funcionamiento correcto se basa en unas comunicaciones fiables mi
las cuales no funciona, adecuadamente ninguno de los dos. y con las que amboi
permiten una operata correcta.
En el lmite un sistema distribuido podra tener ciertas ventajas en los costes de
las comunicaciones siempre que parte de los accesos puedan ser locales y la diferenc
compense las actualizaciones distribuidas. Lo que sucede es que es ms barato ere,
mantener y actualizar un sistema centralizado y. adems, si hay caldo en
comunicaciones en algn enlace, el resto estn totalmente operativo*, mientras que a
el caso distribuido, si cae un enlace, slo estn operativos k accesos locales y hasu
que no le restaura el enlace cado, no funciona el sistema para actualizaciones qm
deban replicarse.
Para soslayar estas dificultades, los sistemas distribuidos han urdido otras
estrategias, basadas en replicadores de transacciones y permitiendo registros
pendientes de aciualizar que se ponen al da al levantarse la linea de comunicaciones
cada. Lo que sucede es que. para que este esquema de replicacin (sin cornil de doNc
fase) funcione, obliga a mantener la actualizacin en un nico nodo, lo que supone b
nica opcin para mantener la consistencia de los dalos.
www.FreeLibros.me
Para colmo de males, la liberalizacin del sector de las telecomunicaciones y el
incremento de las redes y la mejora de calidad de los enlaces, junto al incremento de
los costes de desarrollo y mantenimiento de los sistemas, especialmente de los
distribuidos, inclina definitivamente la balan/a en favor de los sistemas centralizados.
Resulta curioso que en el momento en que la microintormtica ha adquirido el
espectacular desarrollo de hoy nos planteemos el retomo a los sistemas centralizados,
pero todo indica ese camino, ya que. adems de los razonamientos expuestos, la
realidad de k que se nos ofrece es incuestionable:
NetWork Computer <NC. Computadores ms simples gobernados por
elementos remotos que les suministran los programas a ejecutar.
Desarrollo de navegadores (Netscape y Explorer) como entornos de trabajo
universales.
Internet c o n paradigma de conexin y protocolo de comunicacin (TCP/IP).
Este nuevo modelo .se convcnir en la base de la evolucin de las aplicaciones,
los centros de proceso y los usuarios.
Las aplicaciones se desarrollarn para instalarse en entornos Web y la pane
diente (a ejecutar en k terminales ms o menos inteligentes) en estndar Java,
derivados o similares.
Los centros de proceso se centralizarn y los servidos se conectarn con
incrancLs. extrais y/o Internet, tomando una relevancia capital la proteccin de la
informacin y los accesos, sobre todo en el entorno de negocios: considrense los
esfuerzos para poner en marcha el estndar SET para securizar las transacciones va
Internet, cuestin que supone integrar en el proceso a las entidades financieras y de
crdito (es un paso ms adelante del tradicional EDI).
lo s usuarios sufrirn tambin cambios radicales, puesto que los dos aspectos
anteriores son la bave para poder trabajar desde cualquier punco (a travs de las redes
Rbales mencionadas), tanto en oficinas como en centros de servicio o domicilios
particulares servirn de base para lodo trabajo que ve pueda realizar a travs de un
computador, es decir, aquel en el que nicamente se maneje informacin, y no
podemos olvidar que el sector de servicios (creciente en economas desarrolladas)
tiene un componente importantsimo de trabajo cuyo fundamento es la informacin.
Para justificar cuanto antecede y sin necesidad de ejercitar la imaginacin baste,
adems de considerar el desarrollo del (ekirabajo en otros pases, la experiencia, por
cjeaplo. de entidades financieras en tal asunto: bancos, aseguradoras...
mw CAytTVLO 15: AUOTOlA I, TCNICA DtjSKTtMAS 7
www.FreeLibros.me
.151 AUXIOKlA INKXRMMlCA UN KVKWt ACOCO
15.8. ALGUNAS REFERENCIAS
Desde el pumo de vista metodolgico y pira ayudar en el proceso dc recopilante
y tabulacin de la informacin, as como en la redaccin de resultado*. LOGIC
CONTROL dispone dc un programa: AUDINFORM que funciona en enlomo PC.
Aunque cada fabricante de equipo dispone de oferta complementarias en cun
a herramientas para administrar, controlar y nvonitorizar los sistemas, exiae*
especialistas que se han centrado en desarrollar paquetes que ayudan a normalizar toda
una serie de aspectos relacionados con la seguridad, el control y la monitori/acin de
los sistemas que se convienen en piezas bsicas para la articulacin de lo
procedimientos dc que hemos hablado.
Tal e s el caso dc Computer Associates, que con su sistema UNICENTER j
pretende integrar un conjumo de herramicmas como el descrito, buscando, adems,
una homogeneidad funcional dc dichas herramientas en los distintos sistenai
operativos (como MVS de IBM. Unix, o NT dc Microsoft). Es ejemplo obligado ciar
CAExamine que. en un enlomo MVS. permite obtener en tiempo real una revisita
sobre seguridad, integridad y mecanismos de control, cuestin que -por otros m<dx-
rcsulta muy costosa.
Tambin existen compartas cuya cspecializacin consiste en la monitorizaciede
los sistemas, tratando alertas de sistemas operativos, bases de datos y apticacioeci
Tal es el caso de la lnea PATROL dc BMC Software y otras lneas como TVOlJo
productos dc fabricante de software de base como Oracle Alen (Oracle) o equipo
como AV/Alert (Dala General).
En el apaado dc las comunicaciones el sistema SNMP. para control de
elementos remotos (a travs dc agentes que reportan informacin a un sistema ccntrali.
se ha convenido en un estndar, y productos como Opcnvicw (HP) o Nctvicw (IBM),
gestionan la informacin dc este tipo de agentes para permitir una administracin
centralizada dc elementos remotos de red (redes WAN. estaciones dc trabajo o
cIchiciiUks d.>Ubufcn).
En el campo del contraste. COMPASS (sede en Barcelona) realiza en Espada
estudios dc instalaciones considerando distimos parmetros y comparndolos coe
otras organizaciones ( brapract kts) y estndares, produciendo un anlisis y d
correspondiente diagnstico de la instalacin.
En materia de seguros TELA IBRICA (comparta re-aseguradora) especializada
en sistemas electrnicos, constituye una referencia (al igual que las principales
compartas dc seguros: AGF-Fnix. La Estrella...) como especialista en seguros de
www.FreeLibros.me
Artlll O H AUDITORA t ifCNK'A IH SlVtl.SIVt IV)
pone* de dalos, software. inaiwem miento de actividad ante contingencia* y prdida
4c beneficio*.
Existen organizaciones independenles, como el Transaction Protrtung Comet.
pe realizan pruebas de rendimientos estndar y facilitan datos certifiodos e indepen-
Aentes del funcionamiento de los equipos. Tales datos se exprcsai en Tpro-C o
Tpm (transacciones por minuto de tipo C o D) que sirven para evala' la potencia de
ln mquinas y contrastar -con la requerida para cada usuario software- la validez, de
li entalacin. Los resultados del T. P. Council estn disponibles en Internet.
COBT (Control Objetive* for Information and related Technology) de ISACA
(Information Systems Audit and Control Association).
HotJhoot o f EDP AitdHtntt.
En general la mencionada ISACA constituye una fuente muy amplia ce informacin,
al ser su principal objetivo el control y la auditora de lo SI. Su publicacin IS
AUDIT & CONTROL JOURNAL publica en su nmero de 1997 (volumen III)
interesantes artculos como:
"Steps to auditing Windows N T .
"SAP R/3 and auditing lgica! access".
1. Qu mbito abarca actualmente la tcnica de sistemas?
2. Defina nivel de servicio.
y Qu procedimientos deberan existir para la instalacin y puesta en servicio
de un equipo?
4. Enumere los principales aspecios a contemplar en la resolucin de
incidencias.
5. Con qu criterios auditara un plan de infraestructura tecnolgica?
recu la heterogeneidad de los entornos a la auditora de tcnica de
www.FreeLibros.me
mommU inh3matca ex ewfoqu: raAcrico mu
7. Por qu son peligros algn** utilidades que permiten acceso directo a 1
datos o al ncleo del sistema operativo?
9. Analice el impacto de la replicackta de dalos en un colomo distribuido.
10. Establezca los principales criterios para evaluar herramientas de momio
rizacin de sistemas.
www.FreeLibros.me
CAPTULO 16
AUDITORA DE LA CALIDAD
Jos Luis Lucero Mantesa
16.1. PREMBULO
La calidad t u dejado de ser un tpico, y fomu parte, es necesario que forme
pww. de los productos o servicios que comercializamos para nuestros clientes Esti
incorporada en nuestra forma de ser la vida. Cada vez exigimos mis que los
productos o servicios que no* suministran nuestros proveedores tengan el mayor grado
d calidad dentro de un precio razonable. El aforismo de El precio se olvida y la
calidad perdura" se hace cada vez ms patente.
El diente es el mejor auditor de la Calidad, l exige el nivel que est dispuesto a
pgjr por e lla pero no mis. Por tanto, debemos de cuantificar cul es el nivel de Cali
dad que nos exige para poder planificar la Calidad de los productos semielaborados
<pe se generen a lo largo del proceso de produccin del producto o servicio final.
Al analizar las necesidades de nuestros clientes, deberemos tener en cuenta tam
bin la previsible evolucin de sus necesidades y tendencias en cuanto a caractersti
cas. Deberemos tener en cuenta la evolucin tecnolgica del entorno de produccin de
nuestros productos para suministrarlos con el nivel tecnolgico adecuado. No debe
la olvidar tampoco el nivel de Calidad de nuestros competidores, debiendo elaborar
productos cuyas caractersticas y funcionalidades sean competitivas con las de nues
tro competidores, asi como su calidad.
La Calidad se ha convertido en el medio de subsistir dentro de un mercado
competitivo, lo cual beneficia al consumidor final, es decir, a nosotros. Es el pnmer
Mo lgico por el que las empresas prevalecen en el mercado, el segundo ser la
productividad que emplean para conseguir esa calidad.
www.FreeLibros.me
VQ UTUrORM ISHHtMStKA I .NfXfOQLT, PRACTK.X)
l a Calidad ser el objetivo global a conseguir, y la Productividad no* vendr por
aadidura, nunca al revs.
16.2. DEFINICIONES PREVIAS
Vamos a citar algunas definiciones de varios autores que nos ayudarn a centnr
lo que se entiende por calidad:
I
J AI JURAN: Adecuacin al uso.
P.B. CROSBY: Cumplimiento de unas especificaciones.
W.E. DEA1ING: Un grado predecible de uniformidad y fiabilidad a bajo me
y adecuado, a las necesidades del mercado.
G.TAGUCIII: Prdida mnimas para la sociedad en la vida del producto.
FEIGENBAUM: Conjunto de caractersticas del producto de marketing,
ingeniera, fabricacin y mantenimiento a travs del cual el prcxhicto en cao
satisface las expectativas del diente.
P. DRUCKER: Calidad es lo que el cliente est dispuesto a pagar en funcin
de loque obtiene y valora.
AEC (Asociacin Espaola para la Calidad: Conjunto de propiedades y
caractersticas de un producto o servicio que le confiere su aptitud pan
satisfacer necesidades establecidas o implcitas.
Los Sistemas de Informacin cada vez estn ms presentes en nuestra actividad y
en las cosas que nos rodean y que usamos. Simplemente recordar que cuando samas i
un banco cualquier operacin que hacemos tiene detrs un Sistema de Informacin 4
hacemot un seguro, al comprar en un supermercado o en unos grandes almacenes, al
pagar con nuestra tarjeta de crdito, en lodos tos casos hay un Sistema de Informante
que est controlando y gestionando esas operaciones. Incluso al arrancar nuestro
coche hay un software que chequea los puntos vitales del mismo.
En este captulo vamos a centrar nuestro foco en 1a Calidad del Software y
podemos recordar la definicin que encontramos en Pressman:
"Concordancia con lo* requisitos funcionales y de rendimiento explcitamente
establecidos, con los estndares de desarrollo explcitamente documentados y
con las caractersticas implcitas que se espera de todo software desarrollado
profesional mente."
En esta definicin podemos destacar qu se entiende por calidad, el cumplimiento
de los requerimientos que se han establecido (normalmente por el usuario o el cliente)
y las "caractersticas implcitas" que debe cumplir todo software hecho profesional-
mente aparte de su realizacin segn unos determinados estndares. Es decir, que
www.FreeLibros.me
f AfflllO I*. AtPtTOKlA IX. LA CA1JUAO V>
*iem\ de cumplir con la* especificaciones que no t u dado el diente o el usuario,
rte cumplir con otras caractersticas que se dan por sobreentendido que estn dentro
del "saber hacer" de un buen profesional y que no estn especficamente explcitada.
En muchas ocasiones, esta circunstancia no se da. y algunos desarTolladores de
dolosa profesionalidad se parapetan tras la frase: "de eso no se dieron
eyecificacioncs". para ocultar una falta de previsin o una carencia de habilidad para
Atener del usuario en Ixs entrevistas la informacin necesaria para completar y
cceplemcntar los requerimientos funcionales.
16.3. INTRODUCCIN
Al decidir acometer la realizacin de un producto software, deberemos hacer una
(lanificacin, y entre otros, habr que hacer un Plan de Calidad especfico para ese
producto.
En el centro de produccin de software, deber haber un Plan General de Calidad
* el que estarn las especificaciones para poder definir cada uno de los Planes
Bpcdfkos de nuestros desarrollos en fundn de k atributos de Calidad que
deseamos implementar en d software.
En este Plan se definen la actividades de Calidad que se tienen que realizar, en
<f* momentos tiene que intervenir la funcin de Aseguramiento de la Calidad, que a
dferencia del Control de Calidad intervendr proponiendo y supervisando los
procesos de calidad a realizar en la fase de generacin de los distinto componente,
herencia a estndares, y la intensidad de aplicacin de la misma segn la crticidad
de los productos y el nivel de riesgos que se haya encontrado en la evaluacin del
Dentro de este captulo, como no podra ser menos, nos vamos a referir a una
Ke de norma que afectan a su contenido, y en algunos casos incorporaremos
ripeo de sus prrafos o apartados completos.
En el caso de los procesos de revisiones de calidad, tenemos la norma IEEE
Santal 1028 for Software Rcvicws and Audils.
El objeto de esta norma es definir los requerimientos para los procesos de
Rrifl y auditora. No est dentro de su cometido el establecer cundo se necesita
catar un proceso de revisin o de auditora, quedando determinado este aspecto
la Calidad especficos de cada
www.FreeLibros.me
W AIHWICWU lsroVtST>C,A UN EXFOQll! PUAdlCO
lin dicha nomu da las siguientes definiciones:
16.3.1. Revisin
Hs una evaluacin del elemento o elementos software o estado del proyecto que
investiga las discrepancias con los resultados planificados y las mecm
recomendadas. Esta evaluacin sigue un proceso formal (por ejemplo, proceso de
revisin de gestin, proceso de revisin tcnica, proceso de inspeccin de softw,o
proceso de walkthrough).
16.3.2. Elemento software
Es un producto entregablc o un documento producido durante el proceso o
adquirido durante el desarrollo o mantenimiento del software. Algunos ejempta
pueden ser:
1. Documentos de Planificacin del proyecto (por ejemplo, planes del desairfle
del software y planes de verificacin y validacin del software).
2. Especificaciones de requerimientos y diserto del software.
3. Documentacin del esfuerzo de las pruebas.
4. Documentacin suministrare al cliente.
5. Cdigo fuente de los programas.
6. Representacin de las soluciones software impementadas en el firmware.
7. Informes (por ejemplo, revisiones, auditoras y estado del proyecto) y d*M
(por ejemplo, deteccin de defectos, pruebas).
1G.3. 3. A u d i t o r i a
Es una evaluacin independiente de los procesos, los productos software, d
progreso del proyecto o el cmo se realii el trabajo, que investiga la coincidencia coa
los estndares, lineas gua, especificaciones y procedimientos basados en criteri
objetivos que incluyen k documentos que especifican:
1. I-a forma o contenido de k productos a producir.
2. Los procesos en los que los productos deben ser producidos.
3. Cmo debe ser medida la adherencia con los estndares o lneas gua.
www.FreeLibros.me
Tambin incluimos otras definiciones segn la EEA1.
16.3.4 Concepto de evaluacin segn la EEA1
Es el proceso de recoleccin y anlisis, de informacin, y a partir de ella presentar
las recomendaciones que facilitarn la toma de decisiones, luis decisiones resultantes
de esta evaluacin o valoracin pueden dar lugar a:
Autorizacin para proceder con un proyecto.
Aprobacin para incluir en las listas a nuevos contratistas o sumhistradores.
Defensa de la aprobacin de un contratista.
16.3.5 Concepto de Auditora segn la EEA'
Es una herramienta de valoracin. Es un documento interpersonal de examen y
uisis de evidencias objetivas. A los efectos del control de la calidad, una auditora
incluye vigilancia o inspeccin con el objeto de un control de calidad.
Debe reconocer que slo una muestra de la informacin disponible puede ser
examinada Que es importante que el tamafto de la muestra de la auditora aporte la
confunda suficiente en las recomendaciones finales.
tu__________________________________ CAftTVLO 16: At'PTTOUlA IX. U CALIDAD >65
16.4. CARACTERSTICAS DE LA CALIDAD SEGN ISO 9126
Antes de detallar los Procesos de Calidad, vamos a describir lo* con ponentes de
ma especificacin de calidad del software segn el modelo definido en la norma ISO
9126 y el modelo extendido ISO pora la Calidad del Software.
16.4.1. Caractersticas
Segn la citada norma ISO 9126. define las caractersticas de calidad como "Un
ccajunto de atribuios del producto software a travs de los cuales la calidad es descrita
y evaluada. Las caractersticas de calidad del software pueden ser pcecxadas a travs
de sshiplcs niveles de subcaractersticas.
Dicha norma define seis caractersticas:
Funcionalidad: Conjunto de atributos que se refieren a la exiJencia de un
ccajunto de funciones y sus propiedades especificas. Las funciones son tales que
ampien unos requerimientos o satisfacen unas necesidades implcitas.
'Cirit to Sc4nm Quility AuJ Je U ERA. (Kkcuonx Enjr.wnr.f Asmucxa).
www.FreeLibros.me
Fiabilidad: Conjunto de atributos que se refieren a la capacidad del sofrw de
mantener su nivel de rendimiento hajo unas condiciones especificadas duran* m
perodo definido.
Utabilidad: Conjunto de atributo que se refieren al esfuerzo necesario pan
usarlo, y sobre la valoracin individual de tal uso. por un conjunto de utiurio
definidos o implcitos.
Eficiencia: Conjunto de atributos que se refieren a las relaciones entre el nivd de
rendimiento del software y la cantidad de recursos utilizados bajo unas condiciona
predefinidas.
Manienibilidad: Conjunto de atributos que se refieren I esfuerzo necesario pan
hacer modificaciones especificadas.
Portabilidad: Conjunto de atributos que se refieren a la habilidad del software
pora ser transferido desde un entorno a otro.
l - i norma incluye un anexo en el que desglosa en un conjunto de
subcaractersticas cada uiu de las caractersticas anteriormente citadas. F.ste aneio
puede considerarse informativo y no como parte oficial del estndar ISO 9126.
El prefijo sub nos hacc destacar un importante aspecto del modelo ISO 9126: U
calidad es modelizada en forma jerrquica. En la figura adjunta se incluye un
representacin de este modelo jerrquico.
www.FreeLibros.me
16.4.2. Modelo ISO Extendido
El modelo ISO Extendido incluye al modelo ISO 9126 adicionando doce
caracterstica* ms. segn ve expone en la figura adjunta.
La valoracin de esta caractersticas es til para que el usuario pueda definir los
requerimientos del producto utilizando solamente las caractersticas que emplee en la
prctica
Para algunos tipos de productos, hay determinadas caractersticas que no son
tignificativas. y las restantes no garantizan que con ellas comprendan lodos los
requerimientos de los productos, por lo que en cada caso habr que completarlas con
otras definiciones ms especficas para esos productos o situaciones.
No obstante el modelo nene el nivel de abstraccin suficiente como para que sea
adaptable en la mayora de las situaciones, siendo, adems, independiente de la
enologa.
Las caractersticas no pueden ver cuantificada* como tales, y para cuantificarlas
i alguna forma, usaremos los Indicadores".
Para usar los indicadores, deberemos definir un "Protocolo'', de forma que
mediante dicho protocolo podamos establecer la medida de la caracterstica repetibk.
Ee protocolo nos describir los posos que hay que dar para conseguir obtener esta
cedida de forma tal que en las mismas situaciones obtengamos idnticos resultados.
www.FreeLibros.me
Los indicadores que v: describen en d modelo ISO Extendido. sirven como puno
de partida, no queriendo decir que esa lista sea completa. En ella se pretendes
presentar ideas para poder definir las especificaciones de calidad, siendo mey
importante seleccionar los indicadores que mejor se ajusten a la situacin de nuestro
proyecto o producto.
El protocolo de medida tiene como objetivo el reproducir los resultados de las
mediciones de los indicadores. Segn se ha indicado anteriormente, al describir k
requer miemos de la calidad del software, se corre el peligro de una interpretacMi
subjetiva del significado de calidad. Es. por tanto, de gran importancia acordar de usa
forma clara cmo medir los indicadores de forma que esta medida a reprodcele
con los mismos resultados.
Ejemplo':
Si deseamos medir el atributo Facilidad de aprendizaje, que pdeme* definir
como el esfuerzo de los usuarios para aprender a manejar una aplicacin.
Podramos hacer una cuantificacin fcil, si pudiramos medir de una forma
objetiva un factor de Facilidad de aprendizaje de 7 sobre 10. pero ste no sera retr
descriptivo ni til.
Podemos buscar un indicador de este atributo que estuviera presente en el
producto software. Este indicador debe estar acompaado del Protocolo de mcdxii
que describa los pasos a dar para asegurar la repetitis idad de la medida.
En este ejemplo hemos tomado como indicador el tiempo medio de aprendizaje,
siendo el tiempo promedio que el usuario final de un determinado grupo necesata para
aprender a trabajar con el producto software, mis el tiempo necesario de tutelaje.
El protocolo sera:
1. Seleccin de un grupo representativo de usuarios.
2. Preparacin de un curso para este grupo, diseado para este producto software,
o dar a este grupo la oportunidad de auto-enseanza del producto.
3. Definicin del tiempo del curso o de la auto-cnscfanza. ms el tiempo de
tutelaje necesario para conseguir su manejo o pasar con xito un test.
4. Clculo del nmero medio de horas.
<6i AUXIOXU INIOHMTICV UX I.MOQCI HtAcnCU CIlka
1 "Spesifyinf toftwvr quafaty ntrndrd ISO modcf R H J Van Z*i*l 1 PRJl
HcJnA (Soft* are Qulily Juuiful)
www.FreeLibros.me
m w ___________________________________c a K r i l o 16 AunirrwA of i a c a upad m
Los valores obtenidos de las caractersticas se pueden representar en un diagrama
de Kivial segn se muestra en la figura, en el que en cada radio nos mostrara el valor
de una caracterstica.
El valor de los indicadores depende del propsito de la especificacin de calidad,
podiendo definirse diferentes valores. Es aconsejable usar una plantilla con estos
alores. A continuacin se expone un pequeo ejemplo de este tipo de plantilla'.
Peor: El peor lmite aceptable de la escala, tal como un fallo total del sistema.
Planificado: Valor esperado del indicador que se considera un xito.
Rcord: Mximo valor terico o prctico de un indicador, valor lmite pero no un
requerimiento esperado.
Actual: Valor actual del indicador en el sistema que se est considerando a
efectos de posibles comparaciones.
I"T. GtfelAddivoe-Wnky
www.FreeLibros.me
*> At IHTOtUA INTOKM TKA l'N tMOQUi PRACTICO
Como experiencia prctica del uso del modelo ISO Extendido tenemos b
realizada por las compaas participante* en el proyecto QUINT (Quality in
Information Technology)* cuyo primer proyecto empez en 1991. siendo su objetivo
el desarrollar un modelo y una gua para las especificaciones de calidad del software,
participando todas las panes involucradas en la negociacin sobre los requerimientos.
FJ segundo proyecto QUINT expandi los resultados del primero. En <1
participaron seis compaas bajo la direccin de los institutos de investigacin SERC.
TNO/TPD y FPKJM.
ie.5. OBJETIVOS DE LAS AUDITORAS DE CALIDAD
Una auditora de Calidad tiene como objetivo el mostrar la situacin real pan
aportar confianza y destacar las reas que pueden afectar adversamente esa confianza.
Hay varas razones para realizar una auditora:
Establecer el estado de un proyecto.
Verificar la capacidad de realizar o continuar un trahajo especfico.
Verificar qu elementos aplicables del programa o Plan de Aseguramiento de
la Calidad han sido desarrollados y documentados.
Verificar la adherencia de esos elementos con d programa o Plan de
Aseguramiento de la Calidad.
El propsito y la actividad de la auditoria es recoger, examinar y analizar b
informacin necesaria para tomar las decisiones de aprobacin.
La auditora debe tener capacidad para investigar la pericia tcnica, el desarrollo
del software o la capacidad del departamento de desarrollo, el esfuerzo disponible, el
soporte del mantenimiento o la efectividad de la gestin.
En las auditoras debe acordarse el dirigirse a criterios especficos tales como la
realizacin del cdigo software.
Cuando se identifiquen los puntos dbiles, los auditores debern tomar una
actitud positiva y utilizar sus conocimientos y experiencia para hacer recomendaciones
constructivas. En realidad, una funcin del auditor es pactar la idoneidad de cualquier
accin correctiva propuesta. Este papel, si es usado adecuadamente, es uno de los
vnculos ms valorados entre las pones.
4"QUIVT Htl prom m >h>are-ta atawil''. Kluon Boirijf\m<hppcn. DnnM. Ihe
NcthTlwlv ISBN 90 26? ISO X 11992)
www.FreeLibros.me
CAPfTVLO It. AUDITORA DE L< CALIDAD fJI
16.6. PROCESOS DE CALIDAD
En el enlomo econmico actual, la caracterstica ms impenante es la
competitividad. lo que quiere decir que los precios a los que ofrezcamos nuestros
productos a nuestros clientes deben ser iguales o ms bajos que los de la competencia,
pero con una calidad ms alta. Para conseguirlo es necesario tener una estructura de
costes adecuada y disponer de una estrategia de Calidad que afecte a todfs las reas de
it entidad u organismo.
Para satisfacer los requisitos de calidad es necesario conocer las Necesidades del
Chente. stas vienen dadas por estos tres parmetros:
Calidad de los productos y servicios.
Plazo de entrega adecuado.
Coste dentro de los limites fijados.
El establecimiento de acuerdos de Nivel de Servicio y el cumplimiento de sus
Kqutnimentos le dar un determinado grado de satisfaccin, que Jetaremos saber
Kdsr sobre todo una vez. pasado el perodo de estabilizacin del producto entregado.
lina de las principales caractersticas de los procesos de calidad es It repetitiv id*d
e tos mismos. Todo proceso debe estar suficientemente definido ccmo para que
puU v:r repetido consiguiendo los mismos resultados cada vez que se realice el
sismo proceso. I j idea "Sigma" est unida a la variabilidad de un proceso.
Una vez alcanzada esta repetitividad de los procesos y teniendo ekmentos para
ncds los atributos de los producios obtenidos, trataremos de ir refinando el modelo
del proceso para reducir los defectos entregado (definiendo defecto ccmo cualquier
variacin de una caracterstica estableada que origina el incumplinicnto de las
xcesidadcs del cliente con la consiguiente insatisfaccin del mismo).
Como se ha indicado anteriormente, las revisiones y las auditoras pueden usarse
pr actividades de aseguramiento de la calidad, gestin de proyectos, gestin de la
ccaigvacin o funciones de control singulares.
Segn el estndar IEEE 1028. incluimos una tabla en la que se seiValan los
prcipales Procesos para conseguir Objetivos de Calidad.
www.FreeLibros.me
Principal* Proceso pana conseguir Objetivos de Calidad
XJl AMMTORU INFORMATICA UN KXKXXJH fHACIKX)_______________________
Tambin en la figura siguiente se relie; la relacin entre proceros y prodixtoi
dentro de la actividad de Aseguramiento de la Calidad.
Relacin entre Procesos SQA con Productos y Proyectos
PRODUCTO PROYECTO
/ ' \
>
Pruebas Revisn Tcnica
Simulaciones Inspeccin Software
Revisin
Pruebas formales Walkthrough
de Gestin
V
Auditora
y
AMBOS
El examen de los aspectos tcnicos y de gestin se realiza en varias fases duran*
el ciclo de vida del proyecto. El resultado son controles para permitir mejorar les
mtodos y asegurar la calidad del software y la posibilidad de conjugar bi
restricciones de tiempo y coste. La evaluacin de los elementos software se realizi
durante la generacin de esos elementos y a su trmino. Esto asegura que 1
elementos terminados expresan correctamente las especificaciones de su "lnea base".
Inspecciones. Waltilirougli
www.FreeLibros.me
CAFIaiOlt WDITOMlltUCAUWD )
Cualquier proceso estndar licne uims condiciones como prerrequisiias: %tas son
*cccsjn*s. aunque no .son suficientes en si mismas para que el proceso quede
completado. Para las revisiones las auditoras las condiciones son:
PrtrrequWtos en los Procesos de Revisin
t i objetivo de una Revisin de un elemento software ex evaluar el software o el
nudo, del proyecto para identificar las discrepancias sobre los resultados planificados
y recomendar mejoras cuando sea apropiado.
En la figura de la pgina siguiente se reflejan los prerrequisitos del Proceso de
Revisin.
El objetivo de la auditora del Software es suministrar una evaluacin objetiva de
tos productos y los procesos para corroborar la conformidad con los estndares, las
lineas gua, las especificaciones y los procedimientos. Los siguientes requerimientos
oo prerrequisitos para conseguir c a e objetivo:
1. Objetivo de la auditora, criterios existentes (por ejemplo, contratista*,
requerimientos, planes, especificaciones, estndares) en relacin con los
elementos software y los procesos que puedan ser evaluados.
2. El personal de auditora ex seleccionado para promover los objetivos del
grupo. Son independientes de cualquier responsabilidad directa para los
productos y los procesos examinados y pueden prosenir de una organizacin
extema.
3. El personal de auditora debe tener la suficiente autoridad que k permita una
adecuada gestin con el fin de realizar la auditora.
www.FreeLibros.me
En la figura de la pgina u guente vr incluye una descripcin esquemtica de!
procedimiento a utilizar pora pUnificar, preparar y realizar cualquier proceso de
revisin o de auditora, segn el estndar IIF.E 1028.
www.FreeLibros.me
16.7. EL PROCESO DE AUDITORA DEL SOFTWARE
I. Objetivo. Segn se ha indicado es proveer la confirmacin de U conformidad
de lo* producios y los proceso* para certificar la adherencia con los esundares. lneas
fsa. especificaciones y procedimiento*.
www.FreeLibros.me
At/MTORlA INFOKMTKA UN llVKXHI mCIlCO
2. Resumen. 1 j auditora es realizada le acuerdo coa los planes >procedimiento*
documentados. El plan de auditora establece un procedimiento para dirigir la
auditora y para la acciones, de seguimiento sobre las rccumendactoaes de la
auditora.
Al realizar la auditora, el personal de la auditora evala tos elementos software
y los procesos para contrastarlos con los objetivos y criterios de la auditora, tale*
como contratos, requerimientos, planes, especificaciones o procedimientos, lneas j*u
y estndares.
Los resultados de la auditora son documentados y remitidos al director de b
organizacin auditada, a la entidad iniciadora de la auditora, y a cualquier
organizacin extema identificada en el plan de auditora. El informe incluye una bta
de elementos no conformes u otros aspectos pora las posteriores revisiones y acciones
Cuando sea estipulado en el plan de auditora, las recomendaciones son informad e
incluidas en los resultados de la auditora.
3. Responsabilidades especiales. Es responsabilidad del lder del equipo de
auditora el organizar y dirigir la auditora y la coordinacin de la preparacin de tos
puntos del informe de auditora. El lder del equipo deber asegurar que el equipo de
auditora esti preparado para llevar sta, y que los procedimientos y lo* distintos
puntos son realizados y reflejados en los informes de acuerdo con su alcance.
1.a entidad iniciadora de la auditora es responsable pora autorizar sta. La
direccin de la organizacin auditora asume la responsabilidad de la auditora, y la
asignacin de k>* recursos necesarios para realizar dicha auditora.
Aquellos cuyo productos y procesos son auditados suministrarn todos los
materiales y recursos relevantes y corregirn o resolvern las deficiencias citadas pe*
el equipo de auditora.
4. Entrada. Se requieren las siguientes entradas para realizar la auditora:
1. El propsito y alcance de la auditora.
2. Criterios objetivos Je la auditora, tales como contratos, requertmenlas,
planes, especificaciones, procedimientos, lneas gua y estndares.
3. Los elementos software y tos procesos a auditar y cualquier anteccdenlc
pertinente.
4. Informacin complementaria respecto a la organizacin responsable de kn
productos y los procesos a auditar (por ejemplo, organigramas de la
organizacin).
5. Criterio de comienzo. La necesidad para que una auditora se inicie debe ser
por uno de tos siguientes sucesos:
www.FreeLibros.me
CAPTULO 16 AliDTTORtA PC LA CAUDA WT
1. Se ha alcanzado un hito especial del proyecto La auditora e s iniciada por
planes previo (por ejemplo, el plan de aseguramiento de calidad, el plan de
desarrollo del software).
2. Panes externas (por ejemplo, agencias reguladores o usuarios finales)
demandando una auditora en una fecha especfica o en un hilo del proyecto.
sta puede ser por la realizacin de un requerimiento de un contrato o como
prerrequisto a un acuerdo contractual.
3. Un elemento de la organizacin local (por ejemplo, el director del proyecto, la
direccin funcional, ingeniera de sistemas, aseguramiento o control interno de
la calidad) ha requerido la auditora estableciendo una necesidad clara y
especfica.
4. Un hito especial del proyecto, fecha de calendario, u otro criterio ha sido
alcanzado y dentro de la planificacin de la organizacin de auditora le
corresponde la iniciacin de una auditora.
6. ProctdimitnMs:
6.1. Planificacin. La organizacin de auditora debe desarrollar y documentar
en plan de auditora para cada auditora. Este plan deber apoyarse en el alcance de la
Mfctora identificando lo siguiente:
1. El proceso del proyecto a examinar (suministrado como entrada) y el tiempo
de observacin del equipo de auditora.
2. Lo* requerimientos del software a examinar (suministrado como entrada) y
su disponibilidad. Cuando se usa el muestreo. debe utilizarse una metodolo
ga estadstica vlida al respecto pora establecer los criterios de seleccin y
el tamaAo de la muestra.
3. Los informes sern identificados (informes de resultado, y opcional mente el
informe de recomendaciones y definido su formato general). Si la* reco
mendaciones son requeridas o excluidas, debe ser indicado explcitamente.
4. Distribucin de informes.
5. Requerimientos de las actividades de seguimiento.
6. Requerimientos: actividades Recesaras, elementos y procedimientos para
cubrir el alcance de la auditora.
7. Objetivos y criterios de auditora: proveen las bases para determinar las
coincidencias (suministradas como entrada).
8. Procedimientos de auditora y lisias de comprobacin.
9. Personal de auditora: nmero requerido, perfiles, experiencia y respon
sabilidades.
10. Organizaciones involucradas en la auditora (por ejemplo, la organizacin
cuyos productos y procesos estn siendo auditados).
11. Fecha, hora, higar. agenda y la audiencia a quien se dirige la sesin de
introduccin (opcional).
www.FreeLibros.me
El lder del equipa le auditora augurar que su equipo est preparado e incluye
los miembros con la experiencia y pericia necesaria.
1 _a notificacin de la auditora a las organizaciones involucradas debe rcaliunt
con una anterioridad razonable, excepto en el caso de las auditoras no anunciadas La
notificacin deber ser hecha por escrito y deber incluir el alcance la idcntifkaota
de los procesos y productos a auditar, asi como la identificacin de los auditores.
6.2. Introduccin. Opcionalmente es recomendable hacer una reunita
introduclora con la organizacin a auditar en el momento del arranque para cxaaniftx
las fases de la auditora. La reunin de introduccin encabezada por el lder dd
equipo de auditora, abordar lo siguiente:
1. Introduccin sobre los acuerdo existentes (por ejemplo, alcance de U
auditora, planificacin, contratos afectados).
2. Introduccin de la produccin y procesos a ser auditados.
3 Introduccin del proceso de auditora, su objetivos y sus salida.
4. Contribuciones esperadas de la organizacin auditada al proceso de audrtor
(nmero de persona a entrevistar, facilidades para reuniones, etc.).
5. Planificacin especifica de la auditora.
6.3. Preparacin. Los siguiente puntos son requeridos pura la preparacin dd
equipo de auditora:
1. Entender la organizacin: e esencial para identificar las funcione y Ui
actividades realizadas por la organizacin auditada, as como para identifioe
la responsabilidades funcionales.
2. Entender los productos y los procesos: es prerrequisito para el equipo de
auditora conocer los proceso y los productos a auditar mediante lecturas c
informe.
3. Entender los objetivos y criterios de la auditora: es importante que el equip
de auditora est familiarizado con el objetivo de la auditora y los criterios
usados en ella.
4. Picpwscta paia el infueme de auditoria: es impunarae seleccionar d
mecanismo administrativo de informacin que ser usado durante la auditora
para ir confeccionando el informe siguiendo el diseo determinado en el pUr
de auditora.
5. Detalle del plan de auditora: seleccionar el mtodo apropiado para cada paso
en el programa de auditora.
Adicional mente el lder del equipo de auditora deber hacer los preparamos
necesarios para:
www.FreeLibros.me
caOTvlu i auihtohU w. i a CALIDAD 1>V
1. Orientar a su equipo y formarlo si es necesario.
2. Preparar lo necesario para las entrevistas de la auditora.
3. (reparar los materiales, documentos y herramientas necesarias segn los
procedimientos de auditora.
4. identificar los elementos software a auditar (por ejemplo, documentos,
archivos informticos, personal a entrevistar).
5. Planificar las entrevistas.
6.4. Examen. Los elementos que han sido seleccionados para auditarse debern
valorados en relacin con el objetivo y criterios de la auditora. Las evidencias
debern ser examinadas con la profundidad necesaria para determinar si esos
elementos cumplen con los criterios especificados.
l a auditora ser la adecuada para conseguir:
1. Revivar los procedimientos e instrucciones.
2. Examinar la estructura de descomposicin de los trabajos.
5. Examinar las evidencias de la implantacin y lo equilibrado del control.
4. Entrevistar al personal para averiguar el estado y el funcionamiento de los
procesos y el estado de los productos.
5. Examinar cada documento.
6. Comprobar cada elemento.
6.5. Informes. A continuacin del examen de auditora, el equipo auditor deber
cutir un borrador del informe de auditora a la organizacin auditada pora su revisin
y comentarios.
El equipo auditor podr rehacer el informe de auditora ames de que se tenga el
multado formal del informe. Estas adaptaciones se harn de acuerdo con la revisin
del borrador del informe y resolvern cualquier mal entendido o ambigedad mientras
k mantiene la objetividad y exactitud. Esto tambin sirve para asegurar la fcil
utilizacin del informe dndole consistencia en los detalles c incluyendo cualquier
xva informacin verificada. 1.a prctica rccontendada es involucrar a los
Kprtseniantes de la organizacin auditada en la revisin de los resultados de la
loria.
Involucrando a la organizacin auditada se contribuye a mejorar la calidad del
iefotrae mediante la interaccin y la posible aportacin de cualquier evidencia
dkwoal.
El grupo de auditora organizar una conferencia posterior a la auditora para
toiur con los tcnicos de la organizacin auditada las deficiencias, fallos y (si es
ipbcabie) las recomendaciones. Los comentarios y los puntos abordados por la
organizacin auditada, debern ser resueltos.
www.FreeLibros.me
W) AIDCTOHU INHWMTK'A: tN KVPOQtT. PKACTKXI
hi informe final de la auditoria debe ser preparado, aprobtdo y distribuido pcc d
lder del equipo de auditora a las organizaciones especificadas en el plan de auditori*
6.6. Criterio de terminacin. Una auditora debe -ser considerada temutali
cuando:
1. Se ha examinado cada elemento dentro del alcance de la auditora.
2. Ix>s resultados han sido presentados a la organizacin auditada.
3. La respuesta al borrador de los resultad ha sido recibda y evaluada.
4. El resultado final ha sido formalmente presentado a la organizacin audiiadiy
a la entidad iniciadora.
5. F.l informe final ha sido preparado y enviado a los receptores designados d
plan de auditora.
6. El informe de recomendaciones, xi el plan lo requiere, ha sido preparai) y
enviado a los receptores designados en el plan de auditora.
7. Se han realizado todas las acciones de seguimiento incluidas en el alcance de
la auditora (o en el contrato).
6.7. Salidas. Como un marco estndar para los informes, el informe borrador de
auditora y el informe final de auditora, debern contener como mnimo, lo siguiente:
1. Identificacin d t la auditora. Ttulo del informe, organizacin auditada,
organizacin auditiva y fecha de la auditora.
2. Alcance. Alcance de la auditora, incluyendo U enumeracin de ka
estndares, especificaciones, prcticas y proccdimieitos que constituyen a
objetivo y el criterio contra el cual ser dirigida la auditora de los elemento
software y de los procesos a auditar.
3. Conclusiones. Un resumen e interpretacin de los resultados de la auditori!
incluyendo los puntos clave de los aspectos no confomes.
4. Sinopsis. Un listado de todos los elementos software auditados, los procesos y
los elementos asociados.
5. Seguimiento. El tipo y el cronograma de las actividad:* de seguimiento de b
auditora.
Adicionalmente, cuando lo estipule el plan de audilori. las recomendaciones
debern enviarse a la organizacin auditada o a la entidad que inicie la auditora, l.as
recomendaciones irn en un informe separado de lo* resultado.
6.8 A u d i b i l i d a d . Los materiales que documentan el proceso de auditora deben
ser mantenidos por la organizacin auditor durante un perodo estipulado despus de
la auditora c incluyendo lo siguiente:
www.FreeLibros.me
CAffTVIjO 16. AllOtTOftlA DC LA CAUPAD Ml
1. Todos los programas de trabajo. listas de comprobacin, ele. con todos mis
comentarios.
2. El equipo de tcnicos.
3. Comentnos de las entrevistas as como de las observaciones.
4. Evidencias de prueba* de conformidad.
5 Copias de los elementos examinados con sus comntanos.
6. Informes borradores con las respuestas de la organizacin auditada.
7. Memorndum del seguimiento si es necesario.
16.8. AUDITORA DE SISTEMAS DE CALIDAD DE SOFTWARE
Kl propsito de la auditora de un Sistema de Calidad, o un programa de
evaluacin le la calidad, es suministrar una valoracin independiente sobre la
conformidad de un Han de Aseguramiento de la Calidad del Software.
Especficamente el objetivo es determinar, basndose en ev idencias observables y
verificables. que:
1. La documentacin del programa de calidad del software establecida por la
organizacin de desarrollo recoge como mnimo los elementos bsicos del
estndar ANS1/1EEE 730 u otro estndar apropiado.
2. La organizacin de desarrollo del software sigue el programa de calidad de
software por ellos documentado.
El Plan de Aseguramiento de la Calidad del Software debe incorporar lodos los
objetivos y los criterios de actuacin organizativos: estndares internos y
procedimientos; procesos requerid por la legislacin, contratos u Mras polticas;
conformidad con el estndar ANS1/1EEE 730 u otro estndar apropiado para el
aseguramiento de la calidad del software.
16.9. PROCESO DE ASEGURAMIENTO DE LA CALIDAD
DESCRITO POR ISO 12207
Para realizar cualquier proceso de auditora, es imprescindible conocer la
actividad que se va auditar, por tanto, no debe extraar al lector que vayamos
Kcreliando descripciones de los procesos de calidad y los de desarrollo a lo largo del
texto, en este caso k> que al respecto describe la norma ISO 12207.
La nonna ISO/IEC 12207 "Information icchnotogy - Software life eyele
processe*" 1995. no podrame dejar de citarla en este captulo, ya que es una
portante norma para el proceso de desarrollo del software y para los procesos de
calidad
www.FreeLibros.me
m AlDUOUlA INKMtMXTKA: UN ESTOQUE WACTKO
En la figura anterior se muestra la estructura de dicha norna en la que vemos los
Proces* Primario del Ciclo de Vida, los de Soporte y los Organizativos. El nmero
que figura antes de cada proceso corresponde al apartado donde se describe el mismo
en la norma.
De ella vamos a describir dos de los procesos ms relacionado* con nuestro tema,
como son el Proceso de Aseguramiento de la Calidad y el Proceso de Auditora, que
consideramos que contribuyen a completar una perspectiva ms amplia del tema que
nos ocupa.
El apartado 6.3 relativo a los Procesos de Aseguramiento de la Calidad dice:
l/ys Procesos de Aseguramiento de la Calidad .sirven para suministrar la
seguridad de que durante el ciclo de vida del proyecto los productos y los procesos
estn de acuerdo con los requerimientos especificados y se adhieren a los planes
establecidos. Al ser imparcial, el aseguramiento de la calidad necesita tener libeitad
organizativa y autoridad de las personas directamente responsables del desarrollo de
los productos software o los que realizan los procesos en el proyecto. B
aseguramiento de la calidad puede ser interno o externo. Ccpendiendo de si la
evidencia de la calidad de los productos o los procesos se va a demostrar a la direccin
del suministrador o al cliente. El aseguramiento de la calidad puede hacer uso de los
resultados de otros procesos de Soporte, tales como Verificacin. Validacin.
Revisiones Conjuntas. Auditoras y Resolucin de Problemas.
Este proceso de aseguramiento de la calidad se compone de las cuatro actividades
que describimos a continuacin:
www.FreeLibros.me
b M'mrOKlA DE IA CM.I1>M> W.>
16.9.1. Implementacin del proceso
Esta actividad tiene I siguiente* tafea*:
El proceso de aseguramiento de ln calidad debe establecerse adaptado al
proyecto. Los objetivo de este proceso de aseguramiento de la calidad sern
asegurar que los productos software y los procesos utilizados para conseguir
esto* producto software cumplen con lo requerimiento* establecido y se
adaptan a los planes previstos.
Los procesos de aseguramiento de la calidad deben ser coordinados con los
procesos indicados tic Verificacin. Validacin. Revisin Conjunta y
Auditoria.
El plan para dirigir lo* procesos, actividades y tarea* de aseguramiento de la
calidad debe ser desarrollado, documentado, implemcntado y mantenido
durante el tiempo de duracin del contrato. Este plan deber incluir lo
siguiente:
a) Estndares de calidad, metodologas, procedimientos, y herramientas para
realizar las actividades de aseguramiento de la calidad (o sus referencias a
la documentacin oficial de la organizacin).
b) Procedimiento para la revisin y coordinacin del contrato.
c> Procedimientos para identificar, recoger, cumplimentar, mantener y
acceder a lo registros de calidad.
d) Recursos, planes, y responsabilidades para dirigir las actividades de
aseguramiento de calidad.
e) Determinada* actividades y tareas de los procesos de soporte, tales como
Verificacin. Validacin. Revisiones Conjuntas. Auditorias y Resolucin
de Problemas.
1 j s actividades y larcas planificadas de aseguramiento de la calidad deben
realizarse. Cuando son detectados problemas o no conformidades con los
requer miento* contractual, deben *cr documentados y ser* ir de enerada al
Proceso de Resolucin de Problemas. Deben prepararse y mantenerse los
registros de estas actividades y larcas, su realizacin, los problemas y su
resolucin.
Los registros de las actividades y ureas de aseguramiento de la calidad deben
estar disponibles al cliente as como especificado en el contrato.
* Deber cerciorarse de que las personas responsables de asegurar la
concordancia con los requerimientos del contrato tienen la libertad
www.FreeLibros.me
4 AtpfTiXIA INKMtMTlCA lN F.MOQtJfc mACTICO
organizativa, los recursos y la autoridad para permitir evaluaciones objetvate
iniciar, efectuar, resolver y verificar la resolucin de problemas.
16.9.2. Aseguramiento del producto
Esta actividad tiene las siguientes tarcas:
Deber asegurar que aquellos planes requeridos por el contrato Un
documentados, cumplen con el contrato, son mutuamente consistentes, y eslia
siendo ejecutados como se requiere.
Deber asegurar que aquellos productos software y su documentacin
cumplen con el contrato y estn de acuerdo con los planes.
En la preparacin para el i ministro de los productos software, deber*
asegurarse de que satisfacen completamente los requerimientos contractuales
y son aceptables para el diente.
16.9.3. Aseguramiento del proceso
Esta actividad tiene las siguientes tareas:
Deber asegurar los procesos del ciclo de vida del software (suministro,
desarrollo, operacin, mantenimientos y opone, incluyendo el aseguramiento
de la calidad) empleados para que el proyecto est de acuerdo con el contrato
y se ajuste a los planes.
Deber asegurar que las prcticas intentas de ingeniera de software, entorno
de desarrollo y libreras estn de acuerdo con el contrato.
Deber asegurar que los requerimientos aplicables del contrato principal sen
pasados al subcontratista. y que los productos software del subcontratisu
satisfacen los requerimientos del contrato principal.
Deber asegurar que al cliente y a las otras parte se le aporta el soporte y la
cooperacin requeridos de acuerdo con el contrato, las negociaciones y los
planes.
Deber asegurar que los productos software y los procesos medidos estn de
acuerdo con los estndares y procedimientos establecidos.
www.FreeLibros.me
CaHTMjO 16: AUDITORIA Dt LA CAUDA!) M
Deber asegurar que el personal tcnico asignado tiene el perfil y los
conocimientos necesarios para conseguir cumplir los requerimientos del
proyecto y que recibe la formacin que pudiera necesitar.
16.9.4. Aseguramiento de la calidad de los sistemas
Esta actividad tiene la siguiente tarea:
Las actividades adicionales de gestin de calidad debern asegurar su
concordancia con la clusula de ISO 9001 segn especifique el contrato.
16.10. PROCESO DE AUDITORA DESCRITO POR ISO 12207
El proceso de auditada sirve pora determinar la adherencia con los reque
rimientos. los planes y el contrato cuando es apropiado. Este proceso puede ser
trapicado por cualquiera de las dos partes, donde una de ellas (parte auditora) audita
los productos software o lav actividades de la otra parte (parte auditada).
Etfc proceso se compone de dos actividades:
16.10.1. Implementacin del proceso
Etfa actividad tiene las siguientes tareas:
Las auditoras deben realizarse en determinados hitos, segn lo especificado
en los planes del proyecto.
El personal auditor no debe tener ninguna responsabilidad directa en los
productos software ni en las actividades que auditan.
Todos los recursos requeridos para llevar la auditora deben ser pactados por
las partes, stos incluyen personal de soporte, locales, hardware, software,
herramientas y elementos complementarios.
Las partes debern ponerse de acuerdo en cada auditora sobre: agenda:
productos software (y resultados de las actividades) a revisar, alcance de la
auditora y procedimientos; y criterios de comienzo y de terminacin de la
auditora.
Los problemas detectados durante la auditora deben ser registrados y tratados
en el Proceso de Resolucin de Problemas.
www.FreeLibros.me
Despus de completar la auditora, los resultado de sta deben set
documenudos y entregados a la parte auditada, quien deber acusar recibo a U
parte auditora de cualquier problema detectado en la auditora y en la
resolucin de problemas planificada.
* Las partes debern ponerte de acuerdo sobre los resultados de la auditor y
sobre cualquier punto de accin, responsabilidades y criterios de ciee.
M'DHOOlA INFORMATICA: l~S fcNTOQlT PKAfTKX___________________________ t m
16.10.2. Auditora
lista actividad tiene la siguiente urea:
1.a auditora deber ser dirigida para asegurar que:
a) l.o\ productos software codificados ( u l como un elemerto software) reflejara
lo disertado en la documentacin.
b) 1-Os requerimientos de la revisin ele aceptacin y de prjeba* prescritos por la
documentacin son adecuados pora la aceptacin de los productos software.
c) Los datos de prueba cumplen con la especificacin.
d> Los productos software fueron sucesivamente probados y alcanzaron sta
especificaciones.
e) Los informes de pruebas son correctos y las discrepancias entre los resul ufo
conseguidos y lo esperado han sido resueltas.
0 l-a documentacin del usuario cumple con los estndares tal como se tu
especificado.
g) Las actividades han sido llevadas de acuerdo con los requerimientos
aplicables, los planes y el contrato.
h) El coste y el cronograma se ajustan a los planes establecidos.
16.11. CONCLUSIONES
liemos pretendido hacer una semblanza de los aspectos que consideramos ms
importantes para hacer una Auditora de Calidad, tratando de soportarlos en diversos
estndares y normas que en la mayora de los casos hemos insertado traducindolos
directamente de las mismas para no adulterarlos con una posiMe subjetividad. Con
www.FreeLibros.me
CMmiX) Ifc AtPtKMtlA I. LA CAUDA!) un
esto convide ramo* que nos puede permitir tener una visin inv amplia a travs le los
distintos enfoque* que ilan dic h normas sobre las Auditoras de Calidad.
Aunque somos conscientes de que el abordar una auditora slo con este bagaje
no es suficiente. Un buen auditor en Tecnologas de la Informacin necesita tener una
pila experiencia en las distintas funcione de dicha actividad, estar muy al da en las
distintas metodologas, procesos y herramientas que se emplean, de forma que le sea
fcil detectar los defectos en los planes, en los productos y en los procesos, as como
esur capacitado para poder proponer recomendaciones.
Reconocemos que no es una tarea fcil, pero precisamente por ello es altamente
gratificante el alcanzar un xito que satisfaga los intereses, en muchas ocasiones
contrapuesto*, de las partes involucradas, consiguiendo de la entidad auditada el
reconocimiento de la profesionalidad del auditor al conseguir detectar los problemas
existentes y proponer soluciones, y de la pane que promovi la auditora el conseguir
que se pueda conocer en dnde residan los problemas que no permitan alcanzar los
objetivos deseables.
Pero debemos recordar que esta actividad no es un arte, vino una tcnica, y como
tal debe seguirse un orden y un mtodo en el que nada se da por supuesto si no existe
una evidencia objetiva que lo acredita. En ese conjunto de evidencias se apoyaran
nuestras conclusiones, y de nuestra experiencia y bunv hm- saldrn las
recomendaciones a proponer.
Cohn. L. Inspeciion Moderaiors llandbook. Maynard. M. A: Digital Equipment
Corporation. 1991.
Freedman D. P. y Wcinberg G. M. Handbooi o f Watkihrougtu. Intpccrioni. and
Ttchnical Revicn't. 1990.
ttlE 1028 "Standard for Software Rcviews and Audits.
I. Elabore su propia definicin de "calidad".
2. Qu caractersticas de la calidad define la norma ISO 9126?
www.FreeLibros.me
Objetivos de las auditorias de la calidad.
Qu prerrequisitos se exigen a los tcn
revisin?
Resuma las principales fases del proceso de auditora software.
Cmo se incluyen los procesos de auditoria en la iKma ISQ/IKC 12207?
Diferencias entre aseguramiento del producto y ascguiamicnto del proceso.
Elementos a incluir en un plan para el aseguramiento de la calidad.
Qu conocimientos se requieren para poder llevar a cabo con xito una
auditoria de la calidad?
10. Cmo explicara a un director de informtica las sentabas de llevar a cabo
una auditora de la calidad?
** .\H>ITORlA INtORMATK'A I MMmj lll IKCTKO
www.FreeLibros.me
CAPTULO 17
AUDITORA DE LA SEGURIDAD
Miguel ngel Hamos Gonzlez
17.1. INTRODUCCIN
Para muchos la segundad sigue siendo el rea principal a auditar, hasta el pumo
de que en algunas entidades se cre nicialmentc la funcin de auditoria informtica
pin revisar la segundad, aunque devpos se hayan ido ampliando los objetivos.
Ya sabemos que puede haber seguridad sin auditoria, puede existir auditoria de
ras reas, y queda un espacio de encuentro: la auditoria de la seguridad (figura I7J).
y cuya rea puede ser mayor o menor segn la entidad y el momento.
Lo cierto es que cada da es mayor la importancia de la informacin, especial-
meate relacionada con sistemas basados en el uso de tecnologas de la informacin y
rooBOcacioncs. por lo que el impacto de los fallos, la accesos no autonzados. la
Figura 17.1. Encuentro entre seguridad) auditoria
www.FreeLibros.me
m Aimi nmu FSHUIMATK A UN hNWQt'F. PUAtUTO
revelacin de la informacin, y oirs incidencias. tienen un impacto mocho mayor que
hace unos artos: de ah la necesidad de protecciones adecuadas que se evaluarn o
recomendarn en la auditora de seguridad.
(Tambin es cierto que en muctios casos tan necesario o ms que la proteccin de
la informacin puede ser que las inversiones en sistema y tecnologas de b
informacin estn alineadas con las estrategias de la entidad, huyendo del enfoque de
la tecnologa por la tecnologa.1
I j s rea* que puede abarcar la Auditoria Informtica las recoga el autor de esic
capitulo en su tesis doctoral en 1990, y en lneas generales vienen a coincidir coa Ib
expuestas en esta obra.
En realidad, debemos ir hablando m de Auditora en Sistemas de
Informacin que slo de Auditoria Informtica, y no se tra(a de un juego de palabra
sino de una actualizacin acorde con el nuevo enfoque y las reas que llega a cubrir, y
lejos ya de la denominacin en ingls que seguimos viendo en muebos libros y
artculos actuales -algunos citados en la bibliografa EDP Audit. auditora en proceso
electrnico de dalos (Electronic Data Processing).
La nueva denominacin abarca globalmenie los sistemas de informacin: desde b
planificacin, el alineamiento con las estrategias de las entidades, hasta los sistemas de
informacin y el aprovechamiento de las tecnologas de la informacin aporun
ventajas competitivas a la entidad, la gestin de los recursos, c incluso la medida Je b
rentabilidad de todo ello, que es quiz el nico ponto que personalmente teta
cuando se nos sugiere a la hora de establecer objetivos de la auditora.
Algunas entidades tienen detallados sus costes en la contabilidad analtica, pero
cmo cuantificar en algunas semanas las ventajas y los beneficios -algunos
intangibles y difcilmente cuantificables- si la propia entidad no ha podido hacerlo en
(oda su existencia?
Como se indica en la figura 17.2. adaptada de la obra de Emilio del Peso y el
propio Miguel A. Ramos Confulencialidad y Seguridad de la Informacin: L
l.ORTAH y %ut aplicaciones socioeconmicas, la auditora viene a ser el control del
control. (Recordemos que LORTAD significa Ley Orgnica de Regulacin del
Tratamiento Automatizado de Datos de carcter personal.)
Volviendo a la seguridad, aunque solemos oir varias expresiones como segundad
informtica, seguridad de los sistemas y tecnologas de la informacin, seguridad -o
proteccin- de la informacin, puestos a elegir, y sin llegar a descartar ninguna, nos
quedaramos con la ltima, ya que los datos y la informacin son los activos ms
estratgicos y valiosos relacionados con los sistemas y d uso de las tecnologas de li
informacin.
www.FreeLibros.me
La expresin seguridad informtica, que es la ms usada, puede llegar a
relacionarse, slo con 1 equipos y los entornos tcnicos, como si la informacin en
rm soporte* y ambientes no requiriera proteccin, cuando so* las propias
operaciones de la entidad, el negocio en entidades con nimo de lucro, b que requiere
proteccin.
Si no existen suficientes y adecuadas medidas de proteccin se puede perder in
formacin vital, o al menos no estar disponible en el momento requeride (pensemos en
|rrficos de pacientes muy graves o en control de vuelos), las decisiones tomad*
|eden ser errneas, o se pueden incumplir contratos e incluso la propia legislacin, lo
<fx puede traducirse en grandes multas en el caso de infracciones gravrs. o lo que es
tin peor la inmovilizacin de los archivos prevista en la LORTAD.
Debe evaluar* en la auditora si los modelos de seguridad estn n consonancia
cea las nuevas arquitecturas, las distintas plataformas y las posibiidade* de las
cwwanicaciones. porque no se puede auditar con conceptos, tcnicas o recomen -
daciones de hace algunos arios (que en realidad no son tantos).
F.n cuanto a Ij Justificacin de la auditora, que no parece necesaia en una obra
de este tipo, slo decir que tanto la normativa como la auditora son tecesanas: una
Minora no basada en polticas de la entidad auditada (adems de Us normas pora
alizar la auditora) sera subjetiva y hasta peligrosa (aunque en sistemas de
formacin es una situacin habitual, que no normal); y la existencia de normativa sin
auditora podra equivaler a la no-existencia de la Guardia Civil de Trfico, lo que
bcrcmcntara los accidentes e ira conviniendo la circulacin en catica y peligrosa.
Figura17.2. Auditoracomocontrol del control
www.FreeLibros.me
w; AMXfOXIA ISKMtMATIC'A liX KVKXH l; WtM-TKO
La realidad es que no se conocen dolos completos y fiables sobre el nivel de
proteccin de las entidades en Espaa respecto a sistemas de informacin y vendr
bien algunas estadsticas
En definitiva, como deca un cliente: No pasan ms cosas porque Dios a
bueno", y podemos aadir, que no conocemos la mayor parte de las que pasan, pxij
ya se ocupan las entidades afectadas de que no se difundan.
Volviendo al control, los grandes grupos de controles son los siguientes, adeab
de poderlos dividir en manuales y automticos, o en generales y de aplicacin:
Controles directivos, que son los que establecen las bases, como las poltica
o la creacin de comits relacionados o de funcione: de administracin de
seguridad o auditora de sistemas de informacin interna.
Controles preventivos, antes del hecho, como la identificacin de utu
(seguridad fsica) o las contrasellas (seguridad lgica).
Controles de deteccin, como determinadas revisiones de accesos producid
o la deteccin de incendios.
Controles correctivos, pora rectificar errores, negligencias o accuxa
intencionadas, como la recuperacin de un archivo daado a partir de ua
copia.
Controles de recuperacin, que facilitan la vuelta a la normalidad despe* de
accidentes o contingencias, como puede ser un plan de continuidad adecuidx
Podemos hablar de Objetivos de Control respecto a la seguridad, que vienen
ser declaraciones sobre el resultado final deseado o propsito a ser alcanzado mediae
las protecciones y los procedimientos de control, objetivos como los recogidos b
publicacin COBIT (Control Objectives for nformation and Related Technologic) A
ISACA (Information Systems Audit and Control Association/Foundation).
Cada entidad ha de definir sus propios objetivos de control, en cuanto a seguriid
y otras reas, y crear y mantener un Sistema de Control Interno (funciones, procese*
actividades, dispositivos...) que puedan garantizar que se cumplen los objetivos de
control.
I x auditores somos, en cierto modo, los ojos y odos" de la Direccin, qoc i
menudo no puede, o no debe, o no sabe, cmo realizar las verificaciones o
evaluaciones. (En cuanto a tos ojos ligue existiendo en algunos sectores la fipn
clsica del veedor.)
www.FreeLibros.me
capitulo i r. mixtoIa pfc la niGt'iunad m
En los informe* se recomendar la implantacin o refuerzo de controles, y en
ocasiones inclino que *e considere la supresin de algn control, si resilla redundante
o ya *o es necesario.
hl sistema de control interno ha de basarse en las polticas, y s: implanta con
po)o de herramienta, si bien encontramos a menudo en las auditorias que lo que
tinie es ms bien la implantacin parcial de controles de acceso lgeo a travs de
piquetes o sistemas basada en el criterio de los tcnicos, pero no sustentada en
aonnativa. o bien habiendo partido sta de los propios tcnicos, sin aprobaciones de
ro nivel.
La realidad es que el control interno no esti generalizado en Espaa fuera de los
prevesos que implican gastos, y especialmente pagos, pero existen otros riesgos un
aportantes o ms que las prdidas monetarias directas, relacionados con la gestin
adercada de los recursos informticos o con la propia proteccin de h informacin,
que podran suponer responsabilidades y prdidas muy importantes pan la entidad.
Cuando existe un sistema de control interno adecuado, los procesos de auditora,
especialmente si son peridicos, son revisiones necesarias pero mv rpidas, con
formes ms breves; si el sistema de control interno es dbil, la auditera llevar ms
tiempo y esfuerzo, su coste ser mayor, y las garantas de que se pongan en marcha las
recomendaciones son mucho menores; en ocasiones la situacin dista unto de la ideal
como la del paciente que se somete a un chequeo despus de varios aoi sin control.
Finalmente, queremos indicar que por la lgica limitacin de espacio no ha sido
pon ble detallar ins los puntos, ni incluir listas, que en todo cato sin evtar referidas a
ugn entorno y sector concreto y. por tanto, sin tener pesos, pueden dar resultados
dudosos si quien las usa no sabe adaptarlas e interpretar sus resultados.
17.2. REAS QUE PUEDE CUBRIR LA AUDITORA DE LA
SEGURIDAD
Se incluyen las que con carcter general pueden formar parte de Im objetivos de
uta revisin de la seguridad, si bien sta puede abarcar slo parte de elas si as se ha
determinado de antemano.
En una auditora de otros aspectos - y . por tanto, en otros captulos de evta misma
otra- pueden tambin surgir revisiones solapadas con la seguridad: a*i. a la hora de
retur los desarrollos, normalmente se ver si se realizan en un enlomo seguro y
protegido, y lo mismo a la hora de revisar la explotacin, o el rea de tcnica de
miemas. las redes. la informtica de usuario final, las bases de datos., y en general
cualquier rea, salvo que expresamente se quiera pasar por alto ti seguridad y
www.FreeLibros.me
U CXTOSIA IMmtMVnCA: UX m ACUCO
concentrare en Mrm aspecto* como pueden ser U gestin. costes, nivel de vemen,
cumplimiento de procedimiento* generales, calidad, o cualquier otro.
Volviendo a la rea*, las que t e citan pueden ser objeto de la auditora de
seguridad, si bien en cada caso se habrn fijado lo objetivos que mis intereses, no
considerando o por lo menos no con el mismo nfasis otros, si bien debiendo quedar
claro y por escrito cules son eso* objetivos, tanto cuando se trate de una audrtori
interna como ex tema, en cuyo caso puede mediar un contrato o al menos cu
I propuesta y carta de aceptacin.
La reas generales citadas, algunas de las cuales se amplfan despus, son:
Lo que hemos denominado controle directivo, es decir, los fundamentos de
la segundad: polticas, planes, funciones, existencia y funcionamiento de
algn comit relacionado, objetivos de control, presupuesto, as como que
existen sistema y mtodos de evaluacin peridica de riesgos.
F.l desarrollo de las polticas: procedimientos, posibles estndares, norma y
guas, sin ser suficiente que existan estas ltimas.
Que pora los grupos anteriores se ha considerado el marco jurdico apIxaNe.
aspecto tratado en otros captulos de esta obra, as como las regulaciones o loi
requerimientos aplicables a cada entidad: del Banco de Esparta en el caso de
las entidades financieras, del sector del seguro, los de la Comunidad
Autnoma correspondiente, tal vez de mi Ayuntamiento, o de la casa raitru
las multinacionales o que formen paite de un grupo. Otro aspecto es d
cumplimiento de lo* contrato*.
Amenazas fsicas extema: inundaciones, incendios, explosiones, corte de
lneas o de suministros, terremotos, terrorismo, huelgas...
Control de accesos adecuado, tanto fsicos como los denominados lgico,
para que cada UMiaro pueda acceder a los recurso* a que est autorizado y
realizar slo las funciones permitidas: lectura, variacin, ejecucin, borrado,
copia... y quedando las pistas necesarias para control y auditora, tacto de
accesos producidos al menos a lo recurso* ms crticos como los intento en
determinado* casos.
Proteccin de datos: lo que fije la LOPD en cuanto a los datos de carcter
personal bajo tratamiento automatizado, y otro* controles en cuanto a los dabx
en general. *egn la clasificacin que exista. la designacin de propietarios y
los nesgos a que estn sometidos.
www.FreeLibros.me
CAHUH OIT AflHTORUllfe LA SMitRIDAD *S
Comunicaciones y redes: topologa y tipo de comunicaciones, posible uso de
cifrado, protecciones ante virus, stas tambin en sistemas aislados aunque el
impacto ser menor que en una red
F.l entorno de Produccin, entendiendo como tal Explotacin ms Tcnica de
Sistemas, y con especial nfasis en el cumplimiento de contrato en lo que se
refiera a protecciones, tanto respecto a terceros cuando se trata ce una entidad
que presta servicios, como el servicio recibido de otros, y de forras especial en
el caso de la vubcontratacin total o outsourcinx.
El desarrollo de aplicaciones en un entorno seguro, y que se incorporen
controles en los productos desarrollados y que stos resulten auditaMcs.
La continuidad de las operaciones.
No se trata de reas no relacionadas, sino que casi todas tienen puntos de enlace
y partes comunes: comunicaciones con control de accesos, cifrado con comunica
ciones y sopones, datos con sopones y con comunicaciones, explotacin con varias de
das, y asf en otros casos.
17.3. EVALUACIN DE RIESGOS
Se trata de identificar los riesgos, cuantificar su probabilidad t impacto, y
nuli/ar medidas que los eliminen - l o que generalmente no es posible- o que
feminuyan la probabilidad de que ocurran los hechos o mitiguen el impacto.
Para evaluar riesgos hay que considerar, entre otros factores, el tipo de
informacin almacenada, procesada y transmitida, la criticidad de las aplicaciones, la
tecnologa usada, el marco legal aplicable, el sector de la entidad, la entidad misma y
el momento
Para ello los auditores disponemos de listas, que normalmente inclumos en hojas
c clculo, o bien usamos paquetes, y tal vez en el futuro sistemas exentos. El
problema sigue siendo la adaptacin de los puntos a cada caso, y asignar el peso que
puede tener cada uno de los puntos.
Desde la perspectiva de la auditora de la seguridad es necesario revisar si se han
considerado las amenazas, O bien evaluarlas si es el objetivo, y de lodo tipo: errores y
negligencias en general, desastres naturales, fallos de instalaciones, o Nen fraudes o
delitos, y que pueden traducirse en daos a: personas, datos, programas, redes,
instalaciones, u otros activos, y llegar a suponer un peor servicio a usuarios internos y
externos stos normalmente clientes, imagen degradada u otros difcilmente
www.FreeLibros.me
*0 AimUHtU INHMtMnCA: l-S- EZiHJQCtl PRACTICO
cuantificables. c incluso prdida irreversible de datos. y tunta el fin de la actividad*
la entidad en los casos mis graves.
Para ello es necesario evaluar las vulnerabilidades que existen, ya que la cafaa
de proteccin se podr romper coo mayor probabilidad por les eslabones ms dta.
que sern k que preferentemente intentarn usar quienes quieran acceder de forma
autorizada.
Debemos pensar que las medidas deben considerarse como inversin a
seguridad, aunque Cn algunos casos se nos ha dicho que no es fcil reflejarla ccm
activos contables ni saber cul es su rentabilidad; poden** estar de acuerdo, pero
cul e* la rentabilidad de blindar la puerta de acceso a mes tro domicilio o U de
instalar un antinrobo cn nuestro automvil? K u rentabilidad ti podemos determiar
los dispositivos o controles han servido para evitar la agresin, y a veces h*M
constituido simplemente una medida disuasorio. sobre todo en seguridad lgica, y m
llegaremos a conocer i efecto positivo.
En todo caso debemos transmitir a los auditados que. acems. la segundad ueot
un impacto favorable en la imagen de las entidades (aunque esto *k> no web
justificar las inversiones), y tanto para clientes y posibles como para los emplala.
Unos y otros pueden sentirte ms protegidos, asi como sus activos.
La proteccin no ha de basarse slo cn dispositivos y medios fsicos, sino a
formacin e informacin adecuada al personal, empezando p x la mentalizacio a la
directivos para que. en cascada, afecte a toos los niveles de la pirmide organizativa
El factor humano es el principal a considerar, a l v o e i algunas situaciones de
proteccin fsica muy automatizados, ya que es muy crtico: a las personas no quera
colaborar de poco sirven los medios y dispositivos aunque s e caros y sofisticados.
Adems, es conveniente que haya clusulas adecuadas en los contratos, sean de
trabajo o de otro tipo, especialmente para quienes estn cn funciones ms criticas.
Es necesaria una separacin de funciones: es peligroso que una misma penca
realice una transaccin, la autorice, y revise despus los xsultados (un diario de
operaciones, por ejemplo), porque podra planificar un fraude o encubrir cualqaa
anomala, y sobre todo equivocarse y no detectarse: per ello deben intenedr
funciones/personas diferentes y existir controles suficientes.
En un proceso de auditora, por tanto, se evaluarn todos estos aspectos y otra,
por ejemplo si la seguridad es realmente una preocupacin coporativa no es suficiesit
que exista presupuesto para ello: si las personas a diferentes niveles esk
mental izadas, pues es necesaria una cultura de la seguridad: y si hay un corar tf t
www.FreeLibros.me
CAPTULO 17 AUWTMl Dt uaCtlllWO W
fije o apruebe los objetivos correspondientes y en qu medida v: alcan/an. qu modelo
de seguridad se quiere implantar o se ha implantado, qu polticas y procedimientos
cuiten: mi idoneidad y grado de cumplimiento, as como la forma en que se realiza el
desarrollo de aplicaciones, si el proceso se lleva a cabo igualmente en un enlomo
seguro con separacin de programas y separacin en cuanto a datos si los seguros
cubren los riesgos residuales, y si es t prevista la continuidad de las ofcraciones en el
caso de incidencias.
Una vez identificados y medidos los riesgos, lo mejor sera poder eliminarlos,
pero ya hemos indicado que normalmente lo ms que conseguimos rs disminuir la
probabilidad de que algo se produzca o bien su impacto: con sistemas de deteccin, de
tincin, mediante revisiones peridicas, copiando archivos crticos exigiendo una
contrasea u otros controles segn los caso.
Algunos manuales hablan de transferi r los riesgos, por ejemplo contratando un
seguro pero debemos recordar que si se pterden los datos la entidid aseguradora
taara el importe estipulado - s i no puede acogerse a alguna cliusula en letra
pequea- pero la entidad seguir sin recuperar los datos.
Otra posibilidad es asumir los riesgos, pero debe hacerse a un ni<el adecuado en
b entidad, y considerando que puede ser mucho mayor el coste de la nseguridad que
ti de la seguridad, lo que a veces slo sc sabe cuando ha ocurrido algo. Cul es el
nesgo mximo admisible que puede permitirse una entidad? Alguna vez se nos ha
hecho la pregunta, y depende de k> critica que sea para la entidad la informacin as
con disponer de ella, e incluso puede depender del momento: es un lema tan critico
qae no puede generalizarse.
Algunos de los riesgos se han podido asumir de forma temporil, por estar en
proceso "de cambio las plataformas, las aplicaciones o las instalaciones, o por no
existir presupuesto ante las grandes inversiones necesarias: en todos los casos debe
constar por escrito que se asumen y quin lo hace, y ha de ser alguien con potestad
para hacerlo, ya que a menudo son tcnicos intermedios quienes asumen la
responsabilidad sin poder hacerlo, o bien los directivo* sealan a los tcnicos cuando
comtc algo *in jsicrcr oMimir ninguna rcpoiv*ubli<JuU.
Si la entidad auditada est en medio de un proceso de impanucin de la
tegundad. la evaluacin se centrar en los objetivos, los planes, qu proyectos hay en
curso y los medios usados o previstos.
La evaluacin de riesgos puede ser global: todos los sistemas te informacin,
centros y plataformas, que puede equivaler a un chequeo mdico general de un
individuo, y que es habitual la primera vez que se realiza, o bier cuando se ha
producido el nombramiento de algn responsable relacionado, o cuando una entidad
cotapra otra, pero puede producirse tambin una evaluacin parcial de riesgos, tanto
www.FreeLibros.me
WK U IHHHtl.V ISHMtVIVnCA I V FNHXJt fc PRACTICO
por reas como por centros, departa memos, redes o aplicaciones, m como previ* a
proyecto, como puede ser una aplicacin a iniciar.
A menudo en la auditora externa se (rata de saber si la entidad, a travs de
funciones como administracin de la seguridad, auditora interna, u otras a la
anteriores no existieran, ha evaluado de forma adecuada los riesgos, si los informa
han llegado a los destinatarios correspondientes y si se estn tomando las mci&da
pertinentes, asi como si el proceso se realiza con la frecuencia necesaria y no te
constituido un hecho aislado.
En estos casos se debe considerar la metodologa que se sigue para evaluar la
riesgos mis que las herramienta, aunque sin dejar de analizar estas, y si se ha
considerado lodos los riesgos -al menos los ms importantes- y si se han medido btak
ya que sobre lodo cuando la evaluacin se hace de forma interna por tcnicos del ir a
de sistemas de informacin, suelen minimi/ar los riesgos porque llevan A
conviviendo con ellos o simplemente los desconocen.
La seguridad no es. un tema meramente tcnico, aunque sean muy tcnica
algunas de Lav medidas que haya que implantar.
Es necesaria la designacin de propietarios de los activos, sobre todo los ft*
(por delegacin de los titulares), y que son quienes pueden realizar la clasifican y
autorizar las reglas de acceso; un buen propietario se interesar por los riesgos que
puedan existir, por lo que promover o exigir la realizacin de auditoras y quer
conocer, en trminos no tcnicos, la sustancia de los informes.
Al hablar de seguridad siempre se habla de sus tres dimensiones clsicac
confidencialidad, integridad y disponibilidad de la informacin, y algunos controla
van ms dirigidas a tratar de garantizar alguna de estas caractersticas.
La confidencialidad: -e cumple cuando slo las personas autorizadas (en aa
sentido amplio podramos referimos tambin a sistemas) pueden conocer los daws o h
informacin correspondiente.
Podemos preguntamos qu ocurrira si un soporte magntico con los datos de lot
clientes o empleados de una entidad fuera cedido a terceros?, cul podra ser su us>
final?, habra una cadena de cesiones o ventas incontroladas de esos datos?
La LORTAD y la LOPD han influido positivamente en concienciarnos respecto i
la confidencialidad.
www.FreeLibros.me
CAPtTVLO IT: AUDITORIA Dfc LA SIXAJtlDAD V*
La integridad: consiste en que slo los usuario* autorizados puedan variar
(modificar o borrar) los datos. Deben quedar pistas para control posterior y para
auditoria.
Pendemos que alguien introdujera variaciones de forma que pediramos la
informacin de determinadas deudas a cobrar (o que sin perderla tuviramos que
recurrir a la informacin en papel), o que modificara de forma aleatoria pane de los
domicilios de algunos clientes.
Algunas de estas acciones se podran lardar en detectar, y tal vez las diferentes
copias de seguridad hechas a lo largo del tiempo estaran viciadas" (corruptas
decimos a veces), lo que hara difcil la reconstruccin.
La disponibilidad: se alcanza si las personas autorizadas pueden acceder a
tiempo a la informacin a la que estn autorizadas.
Kl disponer de la informacin despus del momento necesario puede equivaler a
U falu de disponibilidad. Otro lema es disponer de la informacin a tiempo sin que
sta sea correcta, e incluso sin saberse, lo que puede originar la loma de decisiones,
errneas.
Ms grase an puede ser la ausencia de disponibilidad absoluta por haberse
producido algn desastre. En esc caso, a medida que pasa el tiempo el impacto ser
nayor, hasta llegar a suponer la falla de continuidad de la emidad como ha pasado en
michos de los casos producidos (mis de un 80% segn las estadsticas).
Debe existir adems autenticidad: que los dalos o informacin sran autnticos,
ntroductdos o comunicados por usuarios autnticos y con las autorizaciones
cetarias.
17.4. FASES DE LA AUDITORA DE SEGURIDAD
Con carcter general pueden e*r:
* Concrecin de los objetivos y delimitacin del alcance y profundidad de la
auditoria, asi como del periodo cubierto en su caso, por cjcmjAo revisin de
accesos del ltimo truncare; si no se especifica, los auditores debern citar en
el informe el perodo revisado, porque podra aparecer aljuiu anomala
anterior, incluso de hace mucho tiempo, y llegarse a considerar una debilidad
de la auditora.
Anlisis de posibles fuentes y recopilacin de informacin: er el caso de los
internos este proceso puede no existir.
www.FreeLibros.me
no auhtokIa informtica, ux Exrowt. wtuco
Determinacin del plan de trabajo y de los recursos y plazos en caso
necesario, asi como de comunicacin a la entidad.
Adaptacin de cuestionario*, y a veccs consideracn de herramienas o
perfile* de especialistas necesarios, sobre todo en la auditora externa.
Realizacin de entrevistas y pruebas.
Anlisis de resultado* y valoracin de riesgos.
Presentacin y discusin del informe provisional.
Informe definitivo.
17.5. AUDITORA DE LA SEGURIDAD FSICA
Se evaluarn las protecciones fsica.* de datos, programas, instalaciones, equipo*,
rede* y soportes, y por supuesto habr que considerar a las personas: que t#
protegidas y existan medidas de evacuacin, alarmas, salidas alternativas, as cono
que no estn expuesta* a riesgos superiores a los considerado* admisible* en la eabdad
e incluso en el sector, por ejemplo por convenio o normativa especfica; y si twn
todos estos aspectos suelen ser comunes con las medidas generales de la entidad, ea
una auditora de sistemas de informacin nos preocupamos especialmente por quieao
estn en el rea o de los daftos que puedan afectar a los usuirios de los sistemas ti
entra dentro d la auditora.
Las amenazas pueden ser muy diversas: sabotaje, vandalismo, terronute,
accidentes de distinto tipo, incendios, inundaciones, aserias importante,
derrumbamientos, explosione*, as como otros que afectan a las persona* y pueda
impactar el funcionamiento de los centros, tales como errorei. negligencias, huelga
epidemias o intoxicaciones.
(Hay algo ms que no recogemos en lo* informes, pero convencidos de que se
trata de una amenaza real si lo comentamos verbalmente a veces en la presentacia del
informe o en cursos a sabiendas de que produce comentarios: la lotera: si toca en n
rea un premio importante, juegan todos el mismo nmero, y no existen sustituto* o no
hay una documentacin adecuada -pensemos en un grupo que mantiene uu
aplicacin- se puede originar un problema importante, y la. prevencin no es fcil
porque no se puede impedir el hecho.)
Desde la perspectiva de las protecciones fsicas algunc* aspecto* a convaJenr
son:
www.FreeLibros.me
CA>fn;Loi7: AiipmxtlA p t la g.omiPA i
Ubicacin d d ccntro de procesos. de los servidores locales, y en general de
cualquier elemento a proteger, como puedan ser los propios terminales,
especialmente en zonas de paso, de acceso pblico, o prximos a ventanas en
planUu. bajas. Proteccin de computadores porttiles, incluso fuera de las
oficinas: aeropuertos, automviles, restaurantes...
Estructura, diserto, construccin y distribucin de los edificios y de sus
plantas.
Riesgos a los que estn expuestos, tint o por agentes externos, casuales o no.
como por accesos fsicos no controlados.
Amenazas de fuego (materiales empleados): riesgos por agua: por accidentes
atmosfricos o por averas en las conducciones; problemas en el suministro
elctrico, unto por cadas como por perturbaciones.
Controles tanto preventivos como de deteccin relacionados con los puntos
anteriores, asi como de acceso basndose en la clasificacin de reas segn
usuarios, incluso segn da de la semana y horario.
Adems del acceso, en determinados edificios o reas debe controlarse el
contenido de carteras, paquetes, bolsos o cajas, ya que podran contener
explosivos, as como lo que se quiere sacar del edificio, para evitar
sustituciones o sustraccin de equipos, componentes, soportes magnticos,
documentacin u otros activos.
El control deber afectar a las visitas, proveedores, contratados, clientes... y en
caso ms estrictos igualmente a los empleados; los ex empleados se debern
considerar visitas en todo caso.
Proteccin de los soportes magnticos en cuanto a acceso, almacenamiento y
posible transporte, adems de otras protecciones no fsicas, todo bajo un
sistema de inventario, as como proteccin de documentos impresos y de
cualquier tipo de documentacin clasificada.
Es fcil y barato obtener copias magnticas peridicas de datos y de
programas frente al perjuicio que nos puede causar el no haberlo hedi: es
mucho ms difcil o caro, o no es posible, obtener copias ooo igual valor de
otros objetos o activos como obras de arte.
Todos los puntos anteriores pueden, adems, estar cubiertos por seguros.
www.FreeLibros.me
17.6. AUDITORIA DE LA SEGURIDAD LGICA
Es necesario verificar que cada usuario slo pueda acceder a los recurso* a lo
que le autorice el propietario, aunque sea de forma genrica, segn su funcin, y coa
las posibilidades que el propietario haya fijado: lectura, modificacin, borrajo,
ejecucin... trasladando a los sistemas lo que representaramos en una matr 61
accesos en la que figuraran los sujeto: grupos de usuarios o sistemas. Irn objeto* qct
puedan ser accedidos con mayor o menor granularidad: un ditca. una aplicacin, uta
base de datos, una librera de programas, un tipo de transaccin, un programa, un (90
de campo... y para completar la tripleta, las posibilidades que se le otorgan: lerttn.
modificacin, borrado, ejecucin...
Desde el punto de vista de la auditora es necesario revisjr cmo se identifican y
sobre todo autentican los usuarios, cmo han sido autorizados y por quin, y qut
ocurre cuando se producen transgresiones o intentos: quin se entera y cundo y cju
se hace.
En cuanto a autenticacin, hasta tanto no se abaraten ms y generalicen bi
sistemas basados en la himtrica. el mtodo ms usado es la contrasea, cuya
caractersticas sern acordes con las normas y estndares de a entidad, que podran
contemplar diferencias para segn qu sistemas en funcin de la criticidad de lo*
recursos accedidos.
Algunos de los aspectos a evaluar respecto a las contraseas pueden ser
Quin asigna la contrasea: inicial y sucesivas.
l.ongitud mnima y composicin de caracteres.
Vigencia, incluso puede haberlas de un solo uso o dependientes de oaa
funcin tiempo.
Control para no asignar las V ltimas.
Nmero de intentos que se permiten al usuario, e investigacin posterior dt
los fallidos: pueden ser errores del usuario o intentos d< suplantacin.
Si las contraseas estn cifradas y bajo qu sistema, y sobre todo que no
aparezcan en claro en las pantallas, listados, mensaje* de comunicaciones o
corrientes de trabajos (J O . en algunos sistemas).
Proteccin o cambio de las contraseas iniciales que llegan en los sistemas, y
que a menudo aparecen en los propios manuales.
www.FreeLibros.me
CAPtnii.o i AUlHKHlUnEI-AtfcGtRIPAP W
Controles existentes pon evitar y detectar caballos de Troya: en este contexto
se trata de un programa residente en un PC que emulando un terminal simule
el contenido de la pantalla que recoge la identificacin y contrasella del
usuario, grabe la contrasella y devuelva control al sistema verdadero despus
de algn mensaje simulado de error que normalmente no despenar las
sospechas del usuario.
I j no-cesin, y el uso individual y responsable de cada usuario, a partir de la
normativa.
Siempre se ha dicho que la contrasea ha de ser difcilmente rnaginable por
ajenos y fcilmente recordable por el propio usuario, y este ltimo aspccto se pooe en
peligro cuando un mismo usuario ha de identifican ante distintos sistemas, para lo
(fte puede asignar una misma contrasea, lo que supone una vulnerabilidad si la
prc*eccin es desigual, por ser habitual que en pequeos sistemas o aplicaciones
aisladas las contraseas no estn cifradas o lo estn bajo sistemas vulnerables; si opta
por asignar varias contraseas puede que necesite anotarlas.
La solucin ms adecuada por ahora puede consistir en utili/:r sistemas de
identificacin nicos (ungir sign-on) que faciliten la administracin y el acceso,
permitindolo o no a segn qu usuarios/sistemas/funciones, o bien adaptar cualquier
eco tipo de solucin que. con garanlias suficientes, pueda propagar la contrasea entre
tatemas.
En la auditora debemos verificar que el proceso de altas de usuiriox .se realiza
tegsn la normativa en vigor, y que las autorizaciones requeridas son adecuadas, as
como la gestin posterior como variaciones y bajas, y que los usuarios activos siguen
videntes, y si se revisa cules, son inactivos y por qu. por ejempto contrastando
peridicamente con la base de datos de empleados y contratados. Debiera estar
previsto bloquear a un usuario que no accediera en un perodo determinado. 35 das?
Otra posible debilidad que debe considerarse en la auditora es si pueden crearse
tuariones de bloqueo porque slo exista un administrador, que puecc estar ausente
de forma no prevista, por ejemplo por haber sufrido un accidente, e impedir la
creacin nuevos usuarios en un sistema de administracin centralizada v nica: en ms
de ca ocasin, segn de qu entorno se trate hemos recomendado la existencia de
gn usuario no asignado con perfil especial y contrasea protegida qu: pueda utilizar
aJpiieti con autoridad en caso de emergencia: todas sus operaciones debern quedar
registradas para control y auditora.
www.FreeLibros.me
4M AtlCHTOUlA IXKKtMTICA I N l-NKKjt'F 1 ACUCO
17.7. AUDITORA DE LA SEGURIDAD Y EL DESARROLLO DE
APLICACIONES
Todos los desarrollos deben estar autorizados a distinto nivel sejo U
importancia del desarrollo a abordar, incluso autorizados por un comit si los costes
los riesgos superan unos umbrales: se revisar la participacin de usuarios, y <fc k
auditores internos si la auditoria es externa, a qu libreras pueden acceder lo
desanolladores. si hay separacin suficiente de entornos, la metodologa seguk i
ciclos de vida, gestin de tos proyectos, consideraciones especiales respecto a
aplicaciones que traten datos clasificados o que tengan transacciones econmicas o de
riesgo especial, trminos de los contratos y cumplimiento, seleccin y uso de
paquetes, realizacin de pruebas a distintos niveles y mantenimiento posterior, as
como desarrollos de usuarios finales.
El pase al entorno de explotacin real debe esur controlado, no descartndose la
revisin de programas por pane de tcnicos independientes, o bien por audcm
preparados, a fin de determinar la ausencia de "caballos de Troya", bombas lgicas;
similares, adems de la calidad.
Otro aspecto es U proteccin de los programas, al menos desde at
perspectivas: de tos programas, que sean propiedad de la entidad, realizado* por d
personal propio o contratado su desarrollo a terceros, como el uso adecuado de
aquellos programas de los que se tenga licencia de uso.
17.8. AUDITORA DE LA SEGURIDAD EN EL REA DE
PRODUCCIN
luis entidades han de cuidar especialmente las medida de proteccin cn el caso
de contratacin de servicios: desde el posible marcado de datos, proceso, imprco
de etiquetas, distribucin, acciones comerciales, gestin de cobros, hasta d
outsourcing ms completo, sin descartar que cn el contrato se prevea la revisin por
tos auditores, intentos o externos, de las instalaciones de la entidad que provee d
ersieio
Tambin debe revisarse la proteccin de utilidades o programas especialmente
peligrosos, as como el control cn generacin y cambios posteriores de todo d
software de sistemas, y de forma especial el de control de accesos.
Otro aspecto a revisar es el control de los formularios crticos.
La gestin de problemas y cambios y la calidad son aspectos que tambin benea
que ver con la seguridad.
www.FreeLibros.me
17.9. AUDITORA DE LA SEGURIDAD DE LOS D A TOS
Es un pecio que puede entenderse dentro de la Produccin y las
Comunicaciones, pero que merece ser tratado de forma especfica. Decamos que los
dato* y la informacin pueden llegar a constituir el activo mis critico para la entidad,
huta el punto de que en muchas multinacionales la funcin genrica de adminis
tracin de seguridad tiene la denominacin de Data Security.
I-os datos, adems de alfanumricos pueden consistir en imgenes de planos, en
ros disertos u objetos, grficos, acsticos, y otros, y estar almacenados en medios y
soportes diversos.
La proteccin de los dalos puede tener varios enfoques respecto a las
caractersticas: la confidencialidad, disponibilidad e integridad. Puede haber datos
trlleos en cuanto a su confidencialidad, como datos mdicos u otros especialmente
sensibles para la LOPD (sobre religin, sexo, raza...), otros datos cuya criticidad viene
dada por la disponibilidad: si se pierden o no se pueden utilizar a tiempo pueden
causar perjuicios graves y. en los casos ms extremos poner en peligro la continuidad
de la entidad, y finalmente otros datos crticos atendiendo a su integridad,
especialmente cuando su prdida no puede detectarse fcilmente o una vez detectada
do es fcil reconstruirlos.
Aunque los libros no suelen citarlo as. nos gusta hablar de controles en k
diferentes puntos del ciclo de vida de los datos, que es lo que ha de revisarse en la
auditoria:
Desde el origen del dato, que puede ser dentro o fuera de la entidad, y puede
incluir preparacin, autorizacin, incorporacin al sistema: por el cliente, por
empleados, o bien ser captado de otra forma, y debe revisarse cmo se
verifican los errores.
Proceso de los datos: controles de validacin, integridad, almacenamiento: que
existan copio oficente*, sincronizadas y protegidas.
Salida de resultados: controles en transmisiones, en impresin, en distribucin,
en servicios contratados de manipulacin y en el envi; conciliacin previa de
salidas con entradas, por personas di feren tes. p a n dctcct.tr errores y posibles
intentos de fraude.
Retencin de la informacin y proteccin en funcin de su clasificacin:
destruccin de los diferentes sopones que la contengan cuando ya no sea
necesaria, o bien desmagnetizacin.
www.FreeLibros.me
iiv necesaria la designacin de propicanos, clasifcacin de los m *.
restriccin de su uso para pruebas, inclusin de muescas para poder detectar mes o
autorizados, asi como aprovechar las posibilidades de proteccin, control y audftrfa
del Sistema de Gestin de Bases de Datos que se est utilizando.
En cuanto a la clasificacin de datos e informacin debe revisarse quin la ha
realizado y segn qu criterios y estndares: no suele ser prctico que haya ms de
cuatro o cinco niveles. En ocasiones la denominacin sin clasificar se aplica tanto a ta
datos que no requieren proteccin -en ocasiones incluso conviene divulgarlos- cmo a
los que estn pendientes de clasificar, por lo que es necesario diferenciar las doi
situaciones. Tambin es conveniente que se distinga por catearas, asociadas a rea
funcionales o proyectos.
Aquellos soportes que contengan datos o informacin de os niveles ms critica
estarn especialmente protegidos, incluso cifrados. Entre esos supones pueden estar
magntico, papel, comunicaciones, correo electrnico, fax. e iacluso voz.
En algunas entidades tienen etiquetas o cartulas pora diferenciar soporto,
listado, y documentos cuyo contenido est especialmente clasificado, lo que ca
ocasiones puede llegar a alertar incluso a distancia a quienes no estn autorizados.
Respecto a cliente-servidor es necesario verificar los controles en varios puto*,
y no slo en uno central como en otros sistemas, y a veces en plataformas
heterogneas, con niveles y caractersticas de seguridad ruiy diferentes, y cea
posibilidad de transferencia de archivos o de captacin y exhortacin de datos que
pueden perder mis protecciones al pasar de una plataforma a otra.
En el caso del contenido de archivos y bases de datos, las etiquetas tleburna
acompaarles incluso en extracciones parciales que variaran d: plataforma, lo que cu
la actualidad no est plenamente conseguido en todos los casos cuando en las mes
intervienen plataformas y sistemas que no se entienden bie# entre s en cuan a
seguridad: aunque en este momento hay intentos de cierta normalizacin y vaa
apareciendo herramientas que van permitiendo la prtteccin en entornos
heterogneos.
Tambin pueden usarse bases de datos distribuidas, lo que puede aAadu
complejidad al sistema y a los controles a establecer.
La informacin del nivel ms alto de clasificacin normalmente se entregar (o
dejar ver) bajo controles estrictos, incluso anotando qu st entreg o ensert. a
quines, cundo, y con la autorizacin de quin si este extremo es necesario.
www.FreeLibros.me
CArtTVLO I r. AWtTOKlA PE L* iRGl/HlDAI) i?
(in la auditora, si entra en los objetivos, se analizar la desxuccin de la
informacin clasificada: tipo de destructora, tamao de las partculas, y especialmente
5cde se almacena hasta su destruccin, que suele ser un punto dbil.
Fji el caso de soportes magnticos stos habrn de sa destruidas,
desmagnetizados de forma adecuada, o sometidos a varas grabaciones oferentes antes
de su nueva utilizacin.
En una ocasin hemos recomendado en una auditora que lis copias que
recibieran distintos directivos no fueran idnticas - sin afectar a su contenido
sustancial- a fin de poder detectar el origen de fugas o copias, que al parecer se
sospechaba que se venan produciendo.
En el caso de ser necesario el transpone de datos clasificados debe realizarse por
ailes seguros, y si es en soporte magntico o por transmisin deben ir cifrados,
adems de la posibilidad de transportar soportes magnticos en compartimentos
errados y que la llave no est en poder de los transportistas o est protegida.
17.10. AUDITORA DE LA SEGURIDAD EN
COMUNICACIONES Y REDES
Ea las polticas de la entidad debe reconocerse que los sistemas, roles y mensajes
tacsrutxlos y procesados son propiedad de la entidad y no deben usctsc pora otros
aes no autorizados, por seguridad y por productividad, tal vez salvo emergencias
oorcretas vi as se ha especificado, y ms bien para comunicaciones por voz.
En funcin de la clasificacin de los datos se habr previsto el uso de cifrado,
qoe en la auditora se evaluar o se Ikgar a recomendar, y se revisarn la generacin,
be|it<xl, comunicacin, almacenamiento y vigencia de las claves, especialmente de
1* maestras.
Cada usuario slo debe recibir en el men lo que pueda seleccionar realmente.
Los usuarios tendrn restriccin de accesos segn dominios, nicamente podrn
cargar los programas autorizados, y slo podrn variar las conjuraci ones y
aprtenles los tcnicos autorizados.
Debern existir protecciones de distinto tipo, y tanto preventivas como de
Seccin. ante posibles accesos sobre lodo externos, as como frente a virus por
fcres vas de infeccin, incluyendo el correo electrnico.
www.FreeLibros.me
*n Avtxuwu iMoiMncA un BaogiiEntcnco
Se revirarn especialmente las redes cuando existan repercusiones ecoofieai
porque se trate de transferencia de fondos o comercio electrnico.
Algunos de los puntos complementarios a revisar son:
Tipos de redes y conexiones.
Informacin y programas transmitidos, y uso de cifrad'.
Tipos de transacciones.
Tipos de terminales y protecciones: fsicas, lgicas, llanada de retomo.
Proteccin de transmisiones por fax si el contenido est clasificado, si bita <t
preferible evitar el uso de este medio en esc caso.
Proteccin de conservaciones de voz en caso necesario
Transferencia de archivos y controles existentes.
Consideracin especial respecto a las conexiones externas a travs 4t
pasarelas Iftiuawy) y cncammadorcs (rouicn). as como qu ccoerota
existen.
Ante la generalizacin de modalidades avanzadas d: proceso, empieza a
preocupar y a ser objeto de auditora aspectos como:
Internet c Intranet: separacin de dominios c implantacin de medida
especiales, como normas y cortafuegos (firewaU). y no slo en relacin con b
seguridad sino por accesos no justificados por la funcin desempead, cobo
a pginas de ocio o erticas, por lo que pueden suponer para la productividad
El correo electrnico, tanto por privacidad (PGP. Prety Good Privacy te coi
uomlo mucho) y paro evitar viru como paro que el uso del correo se*
adecuado y referido a la propia funcin, y no utilizado para fines particular,
como se ha intentado hacer en muchas entidades y no siempre con xito, coa
otros recursos anteriores como telfono, fax. fotocopiadoras. o el uso de lo
propios computadores.
Otro de los aspectos que preocupan es la proteccin dt programas, y tanto I)
prevencin del uso no autorizado de programas propiedad de la entidad o de
los que tengan licencia de uso. como la carga o transmisin de otros de losqx
no se tenga licencia o simplemente para los que no exista autorizacin interna.
www.FreeLibros.me
U w _________________________________ CAPTULO I? Al'IXTORI Dfc LA StCtlMUAD 40
Tambin preocupa el control obre la pgina web: quin puede
modificarlo y desde dnde, porque ve han dado casos desagradables en alguna
entidad que impidan muy negativamente en su imagen, y no tanto por los que
lo ven directamente, sino por la publicidad que en los medio* se puede dar a
extox hechos. Finalmente preocupan tambin los riesgos que puedan existir en
el comercio electrnico, aunque se estn empezando a itili/ar internas
fiables como SET (Sccure Electronic Transaction).
En relacin con todo ello, y para facilitar el control y la auditora, c necesario
que queden registrados los accesos realizados a redes exteriores y protegidos
esos registros, asi como la fecha y hora y el usuario o terna, y el tipo de
informacin transferida y en qu sentido.
17.11. AUDITORA DE LA CONTINUIDAD DE LAS
OPERACIONES
Es uno de los puntos que nunca se deberan pasar por alto en tna auditora de
seguridad, por las consecuencias que puede tener el no haberlo revsado o haberlo
hecho n la suficiente profundidad: no basta con ver un manual cuy ttulo sea Plan
de Contingencia o denominacin similar, sino que es imprescindble conocer si
funcionara con los garantas necesarias y cubrira los requerimientos en un tiempo
inferior al fijado y. con una duracin suficiente.
Hablamos de Plan de Contingencia o Plan de Continuidad, frente a otras
denominaciones que en principio descartamos como Recuperacin de Desastres o Plan
de Desastres (s nos parece adecuada Plan de Recuperacin ante Desastres, pero las
ciencias a prever son tambin de otros niveles).
En la auditora es necesario revisar i existe tal plan, si completo y
tetualizado. si los diferentes procesos, reas y plataformas, o bien si existen planes
erentes segn entornos, evaluar en todo caso su idoneidad, as com los resultados
de Im pruebas que se hayan realizado, y si permite garantizar razonablemente que en
caso necesario, y a travs de los medios alternativos, propios o contratados, podra
permitir la reanudacin de las operaciones en un tiempo inferior al fijado por los
responsables del uso de las aplicaciones, que a veces son tambin los propietarios de
Im mismas pero podran no serlo.
Si las revisiones no nos aportan garantas suficientes debemos sugerir prueba
complementarias o hacerlo constar en el informe, incluso indicarlo cr el aportado de
Imitaciones.
www.FreeLibros.me
i AUDTCmlA LNFCmMTKA: UN ENKXjO mCIl
Es necesario verifica/ que la solucin adoptada es adecuada: cenuo propio. ijcoa.
compartido o no... y que existe el oportuno contrato si hay participacin de oo
entidades aunque sean del mismo grupo o sector. No est de ms revisar si en d cate
de una incidencia que afectara a varias entidades geogrficamente prximas ta
solucin prevista dara el servicio previsto a la auditada.
Un punto fundamental en la revisin es la existencia de copias actualizadas de
los recursos vitales en un lugar distante y en condiciones adecuadas tanto fsica
como de proteccin en cuanto a accesos: entre dichos recursos estarn; bases de daut I
y archivos, programas (mejor si existen tambin en versin fuente. JCL (JobControl *
I jnguage) o el equivalente en cada sistema, la documentacin necesaria, formulario! >
crticos y consumibles - o garantas de que se serviran a tiempo-, documeaoa. .
manuales tcnicos, direcciones y telfonos, los recursos de comunicado*
necesarios; datos y voz. y cualesquiera otros requeridos para funcionar con garaatias.
Otros aspectos que hemos encontrado cotivo debilidades a veces son: que e<ta
copia del propio plan fuera de las instalaciones primarias, que est previsto ejecutar
determinado software en un equipo alternativo, con identificacin especfica diferett*
de la del equipo primario que es el inkialmente autorizado; y que se tenga copa
accesible del contrato, tanto para demostrar algo al proveedor como para verificar leu
trminos pactados.
Dentro de la criticidad de las aplicaciones se puede distinguir entre las mis
crticas, con impacto muy alto en el negocio y sin alternativa, otras con alternativas, e
incluso diferenciando si con costes altos o inferiores, y aquellas cuya intcmipcite.il
menos en un nmero de das fijado, no tiene casi incidencia, y habr que distinguir qu
tipos de consecuencias e impacto, en funcin del sector y entidad, y da del mes en qoe
ocurriera el incidente, y tal vez la hora en algunos casos.
Frente a lo que vena siendo la previsin de contingencias en estos artos posada,
centrndose slo en el host como gran servidor, hoy en da. con la clara tendencia a
entornos distribuidos, es necesario considerar tambin stos en la previsin de las
contingencias.
Es necesario en la auditora conocer las caractersticas del centro o sistema
alternativo, y debe revisarse si la capacidad de proceso, la de comunicacin y la de
almacenamiento del sistema alternativo son suficientes, as como las medidas de
proteccin.
Debe existir un manual completo y exhaustivo relacionado con la continuidad
el que se contemplen diferentes tipos de incidencias y a qu nivel se puede decidir que
se trata de una contingencia y de qu tipo.
www.FreeLibros.me
CArtIVIOIT At DItUKlA DKI.A SEGURIDAD 411
A pesar de la importancia del tema y de las consecuencias nefasta* que se pueden
derivar si no se han previsto las contingencias, es un tema no exigido por ley en
Esparta. si bien parece sobradamente justificada su existencia para defender los
intereses de los accionistas, clientes, proveedores, empleados, o ciudadanos cn general
segn qu tipo de entidad sea: cn algn caso se ncu ha preguntado al incluirlo cn el
informe como una recomendacin, pero qu me obliga a tener el plan? Afortunada
mente ex un punto fcil de explicar y que la Alta Direccin suele entender y aceptar.
17.12. FUENTES DE LA AUDITORA
Las fuentes estarn relacionadas con los objetivos, y entre ellas pueden estar.
Polticas, estndares, normas y procedimientos.
Planes de segundad.
Contratos, plizas de seguros.
Organigrama y descripcin de funciones.
Documentacin de aplicaciones.
Descripcin de dispositivos relacionados con la seguridad.
Manuales tcnicos de sistemas operativos o de herramientas.
Inventarios: de sopones, de aplicaciones.
Topologa de redes.
Planos de instalaciones.
Registros: de problemas, de cambios, de visitas, de accesos lgicos
producidos.
Entrevistas a diferentes niveles.
Archivos.
Programas.
I j observacin: no figura en los manuales pero la consideramos importante.
Actas de reuniones relacionadas.
Documentacin de planes de continuidad y sus procbas.
Informes de suministradores o consultores.
A menudo los clientes nos ofrecen a los auditores externos tos interines de los
otemos o de otros externos anteriores, si bien nosotros en concreto preferimos
Miliarios cuando ya est en vas el borrador de nuestro informe para no vemos
fluidos.
17.13. EL PERFIL DEL AUDITOR
Kl perfil que se requiere para llevar a cabo auditoras de sistemas de informacin
aocst regulado, pero es evidente que son necesarias una formacin y sobre lodo una
pcricncia acordes con la funcin, c incluso con las reas a auditar: seguridad fsica.
Ktmas operativos concretos, determinados gestores de bases de datos o plataformas.
www.FreeLibros.me
4i; AllXTOUlAISKWtMTMA UKSMXJI'I HtM lUO
c incluso lenguajes si hubiera que llegar a revisar programas, adems de n
imprescindible en el perfil otras caractersticas o circunstancias comunes, com
independencia respecto a los auditados, madure/, capacidad de anlisis y de lntesa,
inters no meramente econmico. i
En el seno de la citada ISACA existe un certificado relacionado: OSA (Certed
Information Systems Auditor). <
A la hora de crear la funcin de auditoria interna de sistemas de informaciog
suele plantear m se forma a auditores ya expertos en otras reas: auditora de <eaui
normalmente, o si se forma a tcnicos del rea de informtica, o si se coaenea i
auditores de otra entidad, ya experimentados: cada opcin tiene sus ventajas t
inconvenientes, entre los que pueden estar:
Lo* auditores de otras reas sern expertos en tcnicas generales con#
entrevista, y en redactar informes, pero desconocern las particularidades jr
riesgos de las tecnologas de la informacin.
Los informticos y expertos en reas relacionadas no sern expertos ea
tcnicas generales y en control (salvo que provengan de administracin de
seguridad), si bien puede ser ms fcil que aprendan estos aspectos qse
ensear --especialmente mantener al da- a un auditor general respecto a
novedades tecnolgicas.
Quien venga de otra entidad puede no tener ni unos i reconveniente* ni otro, e
incluso puede conocer el sector; y hay una ventaja ms: no conoce a fas
personas que tendr que entrevistar, lo cual es positivo, pero no siempre k
quieren incorporar recursos externos.
Otro aspecto es dnde ubicar la funcin: encontramos con frecuencia que etfi
dentro del rea de Informtica o Sistemas de Informacin o Tecnologas: en definitiva
dentro del rea auditada por lo que no tiene la independencia necesaria. Es preferible
que est dentro de la auditora general o que sea una funcin staff de algtin directivo
por encima de las rea* objeto de auditora.
Se incluye un cuadro (vase la figura 17.3) con algunas recomendaciones ea
cuanto a pautas de conducta.
www.FreeLibros.me
Ser independeme* y objetivos | Actuar en beneficio propio por encima del |
imerr del e lele
Ser competentes en la materia (eguridad) Asumir encargos para lo* que no estn
Basi# sus informe* en verificaciones y
Verificar que se c* altan peridicamente
nego* o bien evaluarlos
Ccoorcr perfiles de usuarios ___ ___
Conocer criterios y prctica* sobre
camellas
Basarlos en uiposiciones
Revisar la segundad dia a d(a o
administrarla (son funciooe* de otros)
Realizar gestin perfile* de uuunw
Gestin/asignacin contmeAas o conocerla*
Verificar que la aplicaciones se desarrollan y
mantienen segn normas y se incorporan
coMrote*
Realizar funcione* de anlisis o gestionar
Rrvnar codificacin de programa* (guridad
>calidad) y la* proetia* realizadas. o bien
P"**1*----------------------------------------------
Revisar la documentacin (jplicacionei.
Codificar programa*
Realizar la documentacin
Verificar que siguen lo* procedimiento* Escnbr procedi miemos_________
Aceptar presiones de sus jefe* 0 clientes y que
el informe no sea veraz
Garantizar que no se puedan rralizaritaher j
realizado delitos, fraudes o errore*
Responcabtlizarse del contenido de sus
lEvabtar riesgos e informe*
Smentir los informes con pifvle* de trabajo Enzarzarse en discusiones de diferencias de ]
Eitar al dia en cuanto a avances, riesgos.
iModdoras
Auditar con tcnica*, mtodo* o
Figura 17.3. Pauta* de conducta de los auditores
17.14. TCNICAS, MTODOS Y HERRAMIENTAS
En cada proceso de auditora se fijan los objetivo*, mbito > profundidad, lo que
sne para La planificacin y para la consideracin de las fuentes, segn los objetivos.
m con de las tcnicas, mtodos y herramientas ms adecuados. El factor sorpresa
pede llegar a ser necesario en las revisiones, segn lo que se quiera verificar.
Coeno mtodos y tcnicas podemos considerar los cuestionarios, las entrevistas,
b observacin, los mustreos, las CAAT (Computer Aidcd Auditing Tech iques), tas
www.FreeLibros.me
utilidades y programas, lo paquetes especficos, las pruebas, la simulacin en parakb
con datos reales y programas de auditor o la revisin de programas.
17.15. CONSIDERACIONES RESPECTO AL INFORME
En I se harn constar los antecedentes y los objetivos, para que quienes lew d
informe puedan verificar que ha habido una comunicacin adecuada, as como qt
metodologa de evaluacin de riesgos y estndares se ha utilizado, y una breve
descripcin de los entornos revisados para que se pueda verificar que se han revisado
todas las plataformas y sistemas objeto de la auditora.
Debe incluirse un resumen para U Direccin en trmino* no tcnicos.
Dependiendo de los casos ser preferible agrupar aspectos similares: seguridad
fsica, seguridad lgica... o bien clasificar los puntos por centros o redes, espccsalmertt
en entidades grande* u existen responsables diferentes: en caso de duda ser un pumo
a comentar previamente con quienes van a recibir el informe, ya que con frecuencia
prefieren entregar, a cada uno la parte que ms le afecta, as como planificar y
controlar rea por rea o por departamentos la implantacin de medidas.
En cada punto que se incluya debe explicarse por qu es un incumplimiento o
una debilidad, as como alguna recomendacin, a veces abarcando varios puntos.
El informe ha de ser necesariamente revisado por lo* auditados, as como
discutido si es necesario antes de emitir el definitivo.
En muchos casos, bien en el propio informe o en otro documento, se recogen las
respuestas de los auditados, sobre todo cuando la auditora es interna.
Ia entidad decide qu acciones tomar a partir del informe, y en el caso de t e
auditores internos stos suelen hacer tambin un seguimiento de las implantaciones.
Lo auditado r.i*mprc buscn un informe lo ms txnignu |*bWc, nicmia-x que
los auditores no* proponemos llegar a un informe veraz y til: estos diferente* pumos
de vista a veces crean conflictos en el proceso de auditora y en la discusin del
informe.
En algunos casos los informes se han usado para comparar la seguridad de
diferentes delegaciones, sucursales, o empresa* de un mismo grupo, o bien filiales de
una multinacional, pero si los entornos no son homogneos las comparaciones pueden
no ser muy tiles y llegar a distorsionar.
www.FreeLibros.me
CArtniio i r auottorIa de la seoikpao <is
Con frecuencia quienes han pedido la auditora quieren conocer la calificacin
respecto a seguridad, adems de disponer de un informe complementario o resumen
ca trminos no tcnicos; quieren saber si estn aprobados en seguridad, as como los
riesgos ms destacados.
Es necesario, por tanto, diferenciar puntos muy graves, graves, memorables... u
otra clasificacin, en definitiva establecer algunas mtricas de seguridad y clasificar
los puntos segn su importancia y prioridad, que pueden ser reconsideradas por la
Direccin <fc la entidad a la hora de implantar las medidas, y en algunos casos se
puede llegar a entregar una lista provisional de proyectos de implantacin.
En ocasiones, en el caso de auditora externa, los clientes que no conocen los
Km:tev. habituales de la auditora sobreentienden que una ve/ finalizada sta los
auditores daremos una asistencia mis propia de consultores, y que incluso llevaremos
* cabo implantaciones, redactaremos normas, o que al menos en los informes
especificaremos las soluciones: nombre de la herramienta que refuerza la seguridad en
mi entorno por ejemplo, cuando a menudo esto requiere un estudio que se sale de los
faiites c incluso de la independencia propios de la auditora. Por ello, es importante
qoe se delimiten las responsabilidades y los productos a entregar que son objeto de
utu auditoria externa en el contrato o propuesta.
Alguno* de los puntos importantes que pueslen llegar a estar en los informes
twpccto a seguridad, y sin que. se pueda generalizar porque depender de la entidad.
KCtor y circunstancias, pueden ser la ausencia de:
Copias de activos crticos en cuanto a continuidad, en lugar diferente y
distante.
Cumplimiento de la legislacin aplicable asi como de las polticas y normas
internas: en el caso de la legislacin incluso pueden producirse sanciones, y en
el caso concreto de la LOPI) la inmovilizacin de archivos como hemos
indicado.
Diferenciacin de entornos de desarrollo y produccin, en cuanto a datos y
programas, y control de accesos.
Involucracin de la Alta Direccin, preferentemente a travs de algn comit.
Motivacin de los empleados y directivos en relacin con la seguridad.
Evaluacin peridica y adecuada de riesgos.
----------------------------------
www.FreeLibros.me
Es. frecuente tambin que quienes han pedido la auditora quieran
despus, en qu medida se han resuelto los problemas, a partir de lax
tomad**, a travs de los informes de los auditores interno* o de quienes impla
medidas.
Otro deseo frecuente es querer conocer la evolucin de la situacin en el ti
ya que aparecen nuevos riesgos, se reproducen oros, y algunos pueden vari
clasificacin en funcin del cambio de plataformas u oros.
Para elk> ex til mostrar en algin informe -principalmente los auditores irwroos-,
algunos cuadros que muestren la evolucin, que en algunos casos ha sido til pan
demostrar la rentabilidad de una funcin como administracin de la seguridad o
auditora interna o para evaluar la utilidad de un plan de seguridad.
17.16. CONTRATACIN OE AUDITORA EXTERNA
Incluimos el epgrafe porque consideramos su utilidad en funcin de las
preguntas que a veces se nos hacen y de los casos que hemos llegado a conocer: si so
se sigue un proceso de seleccin adecuado de auditores externos no se puede
garantizar lo* resultados y se puede llegar al desencanto al recibir el informe, lo fte
puede suponer no llegar a conocer las posibilidades reales de la auditora de sistemas
de informacin, sobre todo en un tema tan delicado como la seguridad, o bien tescr
una visin pobre y desfigurada, como les ocurre a algunos a partir de experiencias
atpicas.
Algunas consideraciones pueden ser
La entidad auditora ha de ser independiente de la auditada en el caso de una
auditora extema: si est i ofreciendo oros servicios a la ve/, o pieasa
ofrecerlos en el futuro, o incluso a veces si ha sido proveedora en el pasado. a
menudo puede encontrar dificultades internas para entregar un informe veraz j
completo.
En ocasiones los propios auditores lo han llegado a comunicar, por tica.
I-a* persona* que vayan a realizar el trabajo han de ser independientes y
competentes, segn el objetivo: sistemas operativos o plataformas concretas,
por lo que no esti de ms examinar sus perfiles e incluso mantener alguna
entrevista, sin descartar preguntar por sorpresa en una reunin qu aspectos
revisaran y qu tcnicas usaran en el entorno que se les describa.
No es tan comn pedir referencias de otros trabajos similares como en el cuo
de consultara pero se puede hacer, aunque para ello los auditores debieran
pedir permiso previo a sus dientes.
41 AUDITORIA IMOKMTtCA: UN ENFOQUE PRACTICO________________________
www.FreeLibros.me
CAPfRIO IT AUWTOKU Pt LAStGUHIHAO 417
La auditora ha de encargarte a un nivel suficiente, normalmente Direccin
General o Consejero Delegado, y a este nivel recibir lo informe*, porque ti
no a veces no se cuenta con el respaldo suficiente en las revisiones, y en todo
caso puede que si el informe no ex favorable quede escoodido. y se ha perdido
el dinero y a veces la oportunidad.
Finalmente, a ttulo de curiosidad, en una ocasin se nos pidi que no figurara
la palabra auditora cn el informe final, porque haba aversin por el trmino,
por asociarse en la entidad a los auditores con los verdugos: no es un caso
aislado y es impropio.
Recordemos que puede ser necesario dar o mostrar a los audiurcs todo lo que
necesiten para realizar su trabajo, pero nada ms, e ineluse lo que se les
muestre o a lo que se les permita acceder puede ser coa restricciones: slo
parte de una base de datos, epgrafes de algunas actas, o simplemente
mostrarles documentacin, que no pueden copiar o no pueden sacar de las
instalaciones del diente: se puede exigir una clusula de confidencialidad, y
raramente se les deben mostrar dalos reales confidencial de clientes,
proveedores, empleados u otros, aunque se haga en la prctica ton frecuencia.
En cato de duda o de conflicto puede decidir un comit de auditora o el
propio de Direccin.
17.17. RELACIN DE AUDITORA CON ADMINISTRACIN DE
SEGURIDAD
Hemos encontrado en ms de una ocasin que la misma persona tena las
fiincioow; de administracin de seguridad y auditora (informtica) ntcma. lo cual
peede parecer bien a efectos de productividad, pero no es admisible respecto a
Kgregacin de funciones, siendo preferible, si la entidad no justifica qie dos personas
cumplan en exclusiva ambas funciones, que se cubra slo una, o bien que la persona
(tabee otras funciones complementarias pero compatibles, como podran ser algunas
relacionadas con calidad.
En entidades grandes la funcin consta adems de corresponsales funcionales o
autonmicos.
La funcin de Administracin de Seguridad en parte ser nter ocutora en los
procesos de auditora de seguridad, si bien los auditores no podemos perder nuestra
tccesaria independencia, ya que debemos evaluar el desempeo de la funcin de
idministracin de seguridad, desde si sus funciones ton adecuadas y estn respaldadas
www.FreeLibros.me
41X AfPtTOWA IMORMM1CA l'N INKXJU! rKACllCO
por algn documento aprobado a un nivel suficiente, hasta fi cumplimiento de am
funciones y si no hay conflicto con otras.
La funcin de auditoria de sistemas de informacin y la de administracifa di
seguridad pueden ser complementaria*, si bien sin perder su itdcpendcncia: se traud
funciones que contribuyen a una mayor y mejor proteccin, y resultan como aidq
protectores, como se muestra en la figura 17.4.
Figura 7.4. Funcione i de auditoria de S y auditora de seuridad como "amoi
protectores
Ambas funciones han de mantener contactos percos y prestarse cierta
atinencia tcnica.
Normalmente Administracin de seguridad habr de inplantar las recomenda
ciones de los auditores una s e / fijadas las prioridades por la Direccin de la entidad.
Administracin de Seguridad puede depender del rea de Sistemas de Informa
cin. sobre todo si existe Auditora de SI interna, pero s pjede estar en peligro n
desempeo qui/ sea preferible que tenga otra dependencia uperor. o al menos una
dependencia funcional de reas usuarias como puede ser de Direccin de Operaciones
o similar, la existencia de un comit de Seguridad de la Informacin, o bien de una
funcin de Seguridad Corporativa puede resultar til.
www.FreeLibros.me
CArtTlXO 17; AUPTTCXtlA PC LA SBCIHIPAP 419
En ocasiones los administradores de seguridad tienen casi exclusivamente una
funcin importante pero que slo forma una paite de i cometido: la administracin
del paquete de control de accesos: RACF, Top Secrct. u otros, con frecuencia por
haber sido tcnicos de sistemas, y en ocasiones porque siguen sindolo, lo que
representa una gran vulnerabilidad y no siempre bien aceptada cuando la hemos
recogido en los informes de auditoria.
Por otra porte, si la persona que oficialmente administra la seguridad nicamente
incorpora usuarios y asigna contrasellas iniciales en uno de los sistemas, generalmente
el ms importante, se trata de una labor necesaria pero en absoluto la nica, dndose a
veces una carencia de objetivos de seguridad, de modelos, de planes de seguridad. as
como de seguimiento de transgresiones.
Otra situacin que se suele producir respecto al paquete de control de accesos, y a
veces coexistiendo con la sealada, es la que indicbamos: coincidencia de los roles de
administracin de seguridad y auditora interna en la misma persona, relativamente
comprensible porque son papeles que hay que asignar en los sistemas o paquete.
Hemos conocido situaciones de cierta tensin cuando los administradores han tenido
que crear usuarios con perfil de auditor -por ejemplo cuando stos asumen sus
facciones respecto al paquete- y quitarte ese perfil a s mismos.
Ambas funciones han de tener una dependencia jerrquica adecuada, una
descripcin de funciones idnea, y que las personas cuenten con formacin y
experiencia acordes y estn motivadas; cuando a alguien se le asigna una de estas
fsncioocs pora que no desaparezca del rea o incluso de la entidad, como
consecuencia de reorganizaciones o absorciones, difcilmente va a cumplir bien su
papel. Finalmente, que ambas funciones, sin perder de vista su cometido, quieran
colaborar para conseguir un boen nivel de proteccin.
Volviendo brevemente a la formacin y experiencia, hemos encontrado
vulnerabilidades de distinta ndole en individuos con un conocimiento tcnico de los
nemas muy profundo, y probablemente mayores vulnerabilidades cuando se da el
caso contrario: aquellos que administran o revisan sin saber qu hacen, cmo lo hacen.
afecta en el rendimiento, o i w i recomemlaciottc o iiiîusiviotics icspccto a la
itguridad impactan gravemente en la productividad o crean situaciones de verdadero
bloqueo o de autntica burocracia.
17.18. CONCLUSIONES
Aunque an no se ha producido en Esparta el despegue de la auditora ni de la
teguridad que esperamos desde hace artos, lo cierto es que se han dado avances
www.FreeLibros.me
significativos. y cabe esperar que siga e*ia tendencia y las entidad vayan enien-
diendo cada vez ms la utilidad de la proteccin de la informacin y de la auditora.
Tambin es cierto que han surgido bastantes entidades suministradoras que lu
incluido la seguridad y la auditora entre sus posibles servicios, o simplemente h a
aceptado trabajos, en ambos casos sin disponer de expertos, lo que con frecuencia ta
supuesto un desencanto en la entidad auditada, y a veces resultados penosos, que so
benefician ni a la profesin ni a la auditora misma.
Por otra parte, y as lo hemos indicado en el captulo, los auditados finales, y mis
los responsables de las reas que sus colaboradores, siguen en muchos caso to
entender la esencia y utilidad de la auditora, y su obsesin es evitarla y. cuando y
inevitable, a veces eludirla o al menos no resultar entrevistados: como que el proceso
no fuera con ellos (es del responsable hacia abajo, pero exclusiva, como nos dijo ui
Director de Sistemas de Informacin en una ocasin), o tal vez para poder alegar <pe
ellos no han facilitado la informacin que figura en el informe final.
En otras ocasiones han preparando a los entrevistados respecto a qu deben decir
y qu no en cuanto a riesgos o controles existentes, e incluso han hecho que todas Us
entrevistas se mantuvieran en su despacho y en su presencia, como nos pas en un
auditora de seguridad ciertamente delicada, por lo que los auditores a veces hemos de
ser algo psiclogo sin formacin para ello e interpretar k> que se nos dice, lo que se
nos quiere decir, y distinguir la versin oficial de la realidad, interpretar silencios y
miradas, entrevistar a varias personas y llegar a evidencias por distintos medios.
Por otra parte, hemos podido verificar que la auditora, su filosofa, as como s
tcnicas y mtodos, interesan cada vez ms a los responsables de Sistemas de
Informacin, a veces para conocer cmo pueden evaluar los auditores sus reas, pero i
menudo saber cules pueden ser los riesgos y qu controles implantar.
1.0 que ellos mismos pueden realizar no se puede considerar una auditora, mb
por falta de independencia que por desconocimiento de las tcnicas, pero si pueden
constituir unos autodtagnsticos muy tiles, especialmente cuando se realizan coa
ayuda de listas o herramientas adaptadas o adaptables al entorno.
1.0* cambios en la tecnologa influyen en qu auditar y en cmo auditar. En
efecto, en los ltimos aos han ido apareciendo rea* nuevas, c o n las mencionada
de comercio electrnico, cliente-servidor, orientacin a objetos, entorne
multiplataforma. teletrabajo y ottitourcing. adems de otros sistemas operativo* o
nuevas versiones de los mismos, lo que viene a suponer novedad en los riesgo* y ea
Us medidas y la necesidad imperiosa por parte de tas auditores de estar muy al tanto:
como otros tcnicos relacionados con las tecnologas de la informacin tenemos U
servidumbre - o el placer y la oportunidad- de estar permanentemente informados.
www.FreeLibros.me
CAftni.o 11: AivnoKlA i. i,a seciki dad 4; 1
Aunque las implantaciones de la seguridad van siendo ms sofisticadas y
llegando a reas o aspectos casi desconocidos hace artos, esto no implica que estn
plenamente revuelto los ms bsicos: encontramos bastantes deficiencia en controles
fsicos, no tanto porque no existan cuanto por las brechas o descuidos que se pueden
encontrar.
Ms preocupante an es la inexistencia de controle* bsicos, como en relacin
con la segregacin de funciones, separacin de entornos o casi ausencia de normativa.
La auditora en nxtemas de informacin no est suficientemente implantada en la
mayora de las entidades espartlas, si bien supondra una mayor garanta de que las
cosas se hacen bien y como la entidad quiere: en general hay coincidencia entre ambos
puntos. Puede ser tambin una profesin con futuro cuando la auditora despegue.
Como funcin aporta al auditor un conocimiento privilegiado del rea de
Sistemas de Informacin con una perspectiva muy amplia.
La forma de realizar el trabajo va variando y se est llegando a aplicar el control
por excepcin y la teleauditora.
En cuanto a nuevas reas, surge el auge del comercio electrnico, el control de
pginas WEB: la revisin de quien autori/a. vara y controla los contenidos: en las
calidades por seguridad y productividad, y en tos hogares, aunque esto se sale de la
aiditcra y queda en el control para evitar que los menores accedan a contenidos con
iolcacia o pornografa.
Por lo que se ha incluido en el captulo se presenta de forma breve, como
responde a obra general que abarca los diferentes aspectos de la auditora, por lo
que hemos resumido el contenido del material de cursos propios tanto sobre Auditora
de la Segundad como sobre diferentes aspectos de la propia Seguridad.
EDPAmhting. Al'ERBACH, 1997.
ftjw Stcurily Management. AUERBACH. 1997.
bttapro Repons on Informal ion Security. DATAPRO. McGraw-Hill. 1997.
BACA (Information Systems Audit and Control Association/Fosindation) COBIT:
Conirot Objectives f o t Information and Related Technology. Abril. 1996.
() Las tres primeras obras son de actualizacin permanente.
www.FreeLibros.me
1. La seguridad de la informacin en Espaila: situacin se conocen real mera
lo* riesgos? Perspectivas.
2. El perfil del auditor en segundad de sistema de infoonacin.
3- Estndares para la auditora de la seguridad.
4. La comunicacin a auditados y el factor sorpresa en auditoras de segurtdal
5. Qu debe hacer el auditor w se le pide que omita o vare algn punto o w
informe?
6. Auditora de la seguridad en las prximas dcadas: nuevos riesgos, tctuca
y herramientas.
7. Equilibrio entre seguridad, calidad y productividad.
8. Qu es mi s crtico: datos, programas, penaras, comunicaciones,
instalaciones...?
9. Relaciones entre Administracin de Seguridad y Auditora de Sistemas de
Informacin interna y extema.
10. Clculo de la rentabilidad de la auditora de seguridad.
www.FreeLibros.me
CAPTULO 18
AUDITORA DE REDES
Jos Ignacio Boixo Prcz-Holanda
18.1. TERMINOLOGIA DE REDES. MODELO OSI
Para poder auditar redes, lo primero y fundamental es utilizar el mismo
vocabulario (mis bien jerga) que los expertos en comunicaciones que las manejan.
Debido a la constante evolucin en este campo, un primer punto de referencia es poder
referirse a un modelo comnmente aceptable. El modelo comn de referencia,
adoptado por ISO (International Standardt Organizaran) se denomina Modelo OSI
(Opcn Syitem Interconection). y consta de estas siete capas:
Define el (omino de los datoque tg van a presentar a la aplicacin.
Establece los proceiiirsmo* Je aperturas y erres de vcun de
Comprad* la integridad de lo datos transmitidos (que no ha habido
Transforma los paquetes de informacin en tramas adaptada a lo
dUpomio fsicos sobre los cuales te realiza la transmisin.
Transforma la informacin en seAale ffuca* adaptada al medio de
www.FreeLibros.me
tu Al' IHIUKlA IXKHWIK A IX I.NKXJO. fKAfiMX)
La potencia del modelo OSI prov iene de que cada capa no tiene que preocupo
de qu es lo que hagan I capas superiores ni las inferiores: cada capa se comuna
con su igual en el interlocutor, con un protocolo de comunicaciones especfico. Eatrc
cada por de capa N y capa N-l cst i perfectamente definido el paso de la informacita.
que se produce dentro de la misma mquina, con mtodos clsicos de programan!
en kxal.
Para establecer una comunicacin, la informacin atraviesa descendentemente la |
pila formada por las siete capas, atraviesa el medio fsico y a<ciende a travs de las *
siete capas en la pila de destino. Por tanto, cada capa tiene ubos mtodos prefijad
para comunicarse con las inmediatamente inferior y superior.
IX* esta manera, se aslan los protocolos que se utilizan en unas capas con k
protocolos que se utilizan en otras. Por ejemplo, es posible innsmitir trfico TCPrtP
(capas superiores), a travs de Ethernet o Token-Ring indistintamente (captt
inferiores), gracias a esta independencia entre capas.
Este mtodo de especificar a qu capas correspond cada protocolo de
comunicaciones resulta muy til a efectos didcticos, pues rpidamente se tiene una
visin del alcance y utilidad del protocolo o elemento de comunicaciones en cuestin.
Como regla mnemnica para recordar fcilmente el orden de las siete capas OSI.
suele utilizarse la frase "Formemos Esta Red y Todos Seremos Pronto Amigof*
(Fsico. Enlace, Red. Transporte. Sesin. Presentacin y Aplicacin).
En los niveles inferiores, habitualmente hasta el nivel tres, rs donde se definen las
redes LAN (Local Arca Xetwork). MAN (Metropolitan Area Network) y WAN fWide
Arca Network). Las funcionalidades de estos tres tipos de redes son similares,
variando fundamentalmente la distancia que son capaces de salvar entre el emisor y d
receptor (LAN: dentro de un edificio. MAN: dentro de >in cimpus o zona urbana.
WAN: cualquier distancia), siendo la velocidad inversamente proporcional a la
distancia.
I-a red LAN ms extendida. Ethernet, est basada en qic cada emisor enva,
cuando desea, una trama al medio fsico, sabiendo que todos los destinatarios estn
permanentemente en escucha. Justo antes de enviar, el emisor c pone a la escucha, y
si no hay trfico, procede directamente al envo. Si al escichar detecta que cero
emisor est enviando, espera un tiempo aleatorio antes de volverse a poner a la
escucha. Segn crece el trfico, se incremento la probabilidad de que dos emisores
hayan escuchado que el medio est libre y se pongan a transmitir simultneamente.
En ese caso, se habr producidos una colisin y las tramas :nviadas se destruirn
mutuamente, crendose una alteracin que es percibido fincan en le como colisin de
tramas. Cada emisor procede entonces a dar la trama como no enviada y a esperar n
www.FreeLibros.me
CArturo I AtUXTTft A Ofc mOJCS *2i
tiempo aleatorio ante* de ponerte de nuevo a escuchar, exactamente igual que cuando
el nvedio estaba ocupado. I-s tecnologa de Ethernet (10 Mcgabits por segundo
Mbps). Fai Ethernet (100 Mbps) y Giga Ethernet ( 1.000 Mbps) v batan cn el mismo
principio, incrementando sucesivamente la velocidad de transmisin La Ethernet fue
normalizada por el norteamericano Instilte of Electric and Electronic Engincers con
el nombre IEEE 802.3.
El cable que fsicamente conecta a equipos Ethernet se denomina tegmento. En
ve/ de tender un nico cable que recorra todo lot equipos del tegmento, ve suele
tender un cable por equipo y juntar todos los cables cn un concentrado- pasivo (lau")
o activo (hub). Cada segmento admite un nmero mximo de equipos, por lo que
los tegmentos han de ser conectados entre s mediante dispositivo que hagan que la
informacin pase del segmento origen al segmento de destino, pero confinando cn
cada segmento la informacin que no deba salir de l y as evitar anegar lo segmento
adyacente.
La l > N Token-Ring. desarrollada por IBM. est normalizada cono IEEE 802.5.
wne velocidades de 4 y 16 Mbps y una mejor utilizacin del canal cuando se
incrementa el trfico. La FDDI es otra IJVN. hatada cn inmtmisin a travs de fibras
pica, a velocidades de centenas de Mbps, que te suele utilizar para inu-rconcctar
segmentos de LAN.
Para rede WAN, est muy extendido el X.25. Se basa en fragmentar la
formacin cn paquetes, habitualmcnte de 128 caracteres. Estos paquetes se entregan
a un transportista habitualmente pblico que se encarga de ir cnvii dolos saltando
entre diversos nodos intermedios hacia el destino. En cada nodo t e lleva una cuenta
| con el nodo inmediato (colateral), para saber que cada paquete te ha recibido
correctamente, o si hubo fallo, proceder a su retransmisin. Para su tnnsmisin. cada
piquete recibe una cabecera y una cola, y as queda convertida en una trama con
control de trfico y de errores entre cada pareja colateral de nodos. Mediante este
salto de nodo a nodo se puede establecer trfico a cualquier distancia a velocidades
Cficas de decenas de Kbps.
Cl Trame-Relay es UcuiKntc lo mismo qsic el X.2S. pero, aprovechando que la
fiabilidad entre nodo e muy alta, slo se comprueba que los pococies han sido
transportado sin errores cuando son recibidos en el destinatario: esto ahorra multitud
de comprobaciones cn los nodo intermedios, incrementando la velxidad hasta cl
ordena de los cientos de Kbps.
El ATM (Asynchronus Transfer Modc/modo de transferencia asincrono) utiliza
m concepto de alguna manera similar a Framc Relay, con tramas de 53 caracteres
(cinco de cabecera y 48 de informacin a transportar), que se conmutan en nodos
www.FreeLibros.me
auimiobIa informtica un f.nfoqce Acuco
opecialmente diseftados, con lgica prcticamente cubicada, a muy alta velocidad,
desde los cien .Mbps.
18.2. VULNERABILIDADES EN REDES
Todos los sistemas de comunicacin, desde el punto de vista de auditora,
presentan en general una problemtica comn: La informacin transita por lugares
fsicamente alejados de las personas responsables. Esto presupone un compromiso en
la seguridad, ya que no existen procedimientos fsicos para garantizar la inviolabilidad,
de la informacin.
En las redes de comunicaciones, por causas propias de la tecnologa, pueden
producirse bsicamente tres tipos de incidencias:
I* Alteracin de bits. Por error en los medios de transmisin, una trama puede
sufrir variacin en pane de su contenido. I-a forma ms habitual de detectar,
y corregir en su caso, este tipo de incidencias, es su fijar la trama coa ai
Cdigo de Redundancia Cclico (CRC) que detecte cualquier error y permita
corregir errores que afecten hasta unos pocos bits en el mejor de los casos.
2* Ausencia de tramas. Por error en el medio, o en algn nodo, o po
sobrecarga, alguna trama puede desaparecer en el camino del emisor il
receptor. Se suele atajar este riesgo dando un nmero de secuencia a las
tramas.
3* Alteracin de Secuencia. El orden en el que se envan y se reciben las
tramas no coincide. Unas tramas han adelantado a otras. En el receptor,
mediante el nmero de secuencia, se reconstruye el orden original.
Por causas dolosas, y teniendo en cuenta que es fsicamente posible interceptar la
informacin, los tres mayores riesgos a atajar son:
I* Indagacin. Un mensaje puede ser ledo por un tercero, obteniendo b
informacin que contenga.
T Suplantacin. Un tercero puede introducir un mensaje espurio que el
receptor cree proveniente del emisor legtimo.
3 Modificacin. Un tercero puede alterar el contenido de un mensaje.
Para este tipo de actuaciones dolosas, la nica medida prcticamente efectiva en
redes MAN y WAN (cuando la informacin sale del edificio) es la criptografa En
www.FreeLibros.me
CAPtUILOIK Al'DtTORUPeREDCS 427
role* LAN suelen utilizarse ms bien medidas de control de acceso al edificio y al
obleado, ya que U criptografa es muy onerosa todas (a para redes locales.
Dada la proliferacin de equipos que precisan comunicacin de falos dentro de
los edificio*, es muy habitual plantearse sistemas de cableado integral en vez de tender
u cable en cada ocasin. Esto es prcticamente un requisito en edificios con cierto
volumen de usuarios.
Los sistemas de cableado suelen dividirse segn su mbito. En cada plaa o
m u se tienden cables desde un armario distribuidor a cada uno Se b s potenciales
pacstos. Este cableado se denomina habitualrnente de planta". Estos armarios estn
conectados a ku ve/, entre s y con las salas de computadores, denominndose a estas
conexiones cableado "troncal". Desde las salas de computadores punen las lneas
hacia los transportistas de datos (Telefnicas o PTTs). saliendo tos cables al exterior
del edificio en lo que se denomina cableado de ruta".
El cableado de planta suele ser de cobre, por lo que es propenso a escuchas
("pinchazos") que pueden no dejar rastro. El cableado troncal y el de ruta cada vez
ns frecuentemente se tienden mediante fibras pticas, que .son muy difciles de
bterceptar. debido a que no provocan radiacin electromagntica y a qae la conexin
fsica a una fibra ptica requiere una tecnologa delicada y compleja.
En el propio puesto Je trabajo poede haber peligros, como grabar.'retransmitir la
imagen que se ve en la pantalla. tcclalos que guardan memoria del orden en que se
han pulsado las teclas, o directamente que las contraseas estn escritas en papeles a la
vhu.
Dentro Je las reJe* locales, el mayor peligro es que alguien instale una "escucha"
no auton/ada. Al viajar en claro la informacin dentro de la red local, es
imprescindible tener una organizacin que controle estrictamente I equipos de
acocha, bien sean stos fsicos (snif f cO o lgicos ("traceadorts"). Ambos
ocuchadores. fsicos y lgicos, son de uso habitual dentro de cualquier instalacin de
cierto tamao. Por tanto, es furxlamcnial que esc uso legtimo est o>ntrota<k> y no
devenga en actividad espuria.
El riesgo de interceptar un canal de comunicaciones, y poder extraer de l la
formacin, tiene unos efectos relativamente similares a los Je pxlcr entrar, sin
ccctrol. en el sistema de almacenamiento del computador.
Hay un punto especialmente critico en los canales de comunicacioies que son las
contraseas Je usuario. Mientras que en el sistema de almacenamiento las contraseas
cien guardarse cifradas, es inhabitual que los terminales u computadores personales
se capaces de cifrar la contraserta cuando se enva al computador central o al
servidor.
www.FreeLibros.me
18.3. PROTOCOLOS DE ALTO NIVEL
Como protocolos <Ic alto nivel, los ms importante* por orden de aparicin en h
industria so: SNA. OSI. Netbios. IPX y TCP/1P.
System Ntlwork Architecture. Fue disertado por IBM a partir de los artos
al principio con una red estrictamente jerarquizado, y luego pasando a una trucan
mis distribuida, fundamentalmente con el tipo de sesin denominado LU 6.2.
El SNA se encuentra fundamentalmente en los computadores centrales
donde sigue gozando de un extraordinario vigor, especialmente para
con terminales no inteligentes de tipo 3270, y pora sesiones estableci
computadores centrales y componentes software IBM.
asi
Fue disertado por el antiguo Comit Consultivo Internacional de Telooo*>
Telgrafos -CCTIT-. actualmente Unin Internacional de Telecomunicaciones -flU
bsicamente compuesto por las compartas telefnicas nacionales (llamadas KIT). 8
disertaron todas las capas, desde los medios fsicos hasta las aplicaciones
trasferencia de archivos o terminal virtual. Donde ha tenido xito es en el pro
de Ked X.25 y en el correo elecudnisv X.400.
Netbios
Este protocolo fue el que se propuso, fundamentalmente por Microsoft, pa
comunicar entre s computadores personales en redes locales. Es una extemita a n
(net") del "Basic Input/Output System" del sistema operativo DOS. E*
orientado a la utilizacin en I.AN, siendo bastante gil y efectivo.
www.FreeLibros.me
IPX
Ei el protocolo propietario de Novell que. al alcanzar en su momento una
pttcin de predominio en el sistema operativo en red, ha gozado de gran difusin. Su
j serte est ligada a la de esc fabricante.
TCPilP
(Tramfer Control Protocol/Jntemet Prtnocol). Disertado originilmente en los
atenta, para sobrevivir incluso a ataques nucleares contra los EE.UU.. e
impjlsado desde los mbitos acadmicos, la enorme versatilidad de este protocolo y
aceptacin generalizada le ha hecho el paradigma de protocolo abierto, siendo la
tase de interconexin de redes que forman la Internet. Es el protocolo que est
opoafixJose. por derecho propio, corno gran unificador de toda-, las redes de
ceancactoaes.
Lamentablemente. no existe una independencia defacto entre las aplicaciones y
los protocolos de alto nivel. Es todava poco habitual que los clsicos programas de
eompuiador central IBM se usen con protocolo distinto de SNA. Por su parte el
TCPiTP posee uru gran cantidad de aplicaciones, ampliamente difunds!, pero que no
pueden funcionar con otros protocolos.
Por ejemplo, la transmisin de archivos FTP (File Tramfer Proncol). el correo
dectrnico SMTP (Simple Mail Tramfer Protocol) o el terminal virtud Tclnet han de
cctct precisamente sobre una "pila" de protocolo TCP/1P. Se esablece as una
alimentacin donde las utilidades refuerzan al protocolo TCP/1P. que se suelve
cada vez ms atractivo para que los desabolladores escriban nuevas utilidades, a l
orientadas. Adems, precisamente por su apertura, el TCP/IP es el preferido por
organismos reguladores y grandes empresas, pues permiten evitar, a. ser abierto, la
dependencia de ningn fabricante en concreto.
Una solucin que est teniendo xito es "encapsulax" un protocolo sobre otro.
Arf. el Netbios puede ser transportaste sobre TCP/IP: la capa inferior. Netbcui. puede
ser sustituida por TCP/IP. quedando el Netbios "cncaptulado" sobre TCP/IP. Sin
embargo, han de tenerse muy en cuenta las vulnerabilidades qje se crean al
capsular. En el caso de Netbios sobre TCP/IP son vulnerabilidaJes serias, pues
facilitan el tomar control remoto de recursos que se pens que slo <e accederan en
fecal. confiando, al menos en porte, en la proteccin fsica.
Al ser los sistemas de comunicaciones, procesos "sin historia", donde no se
almacenan permanentenvente datos de ningn tipo, los sistemas <Je recuperacin se ven
especialmente beneficiados por esta caracterstica. Si una sesin cae. una vez que se
www.FreeLibros.me
* AUDITORA PiFORMATKA fX ENFOQIE PRACTICO
vuelve a establecer la sesin, el incidente queda solucionado. F.s responsabilidad del
aplicacin volver a remicializar si la interrupcin se produjo en mitad de una umdid
de proceso.
Por ejemplo, si la intemipcin de la sesin se ha producido a mitad de uta
transferencia de archivo, ver misin de la aplicacin, cuanlo la sesin se re.s-.ui, .
determinar si vuelve a comenzar la transmisin del archivo desde el principio o ti |
I rcutili/a la parte que ya se ha transmitido.
Si es una persona quien ha sufrido el incidente, cuanlo se reanude la scafe
deber volver a identificarse con su nombre de usuario y ontraserta. comprobad
hasta qu punto la aplicacin en la que estaba operando recogi los ltimos datos qae
introdujeron.
Esta restriccin fundamental, de que los sistemas de comunicaciones te
almacenan datos, permite una mayor facilidad a la hora de duplicar equipamiento
Dado que una vez cerrada la sesin no queda ninguna infoimacin a retener (sai -
obv iamente estadsticas y pistas de auditora), la sesin, al reanudarse, puede utilizar b
misma o diferente rota. Si existen diversos nodos y diversos enlaces entre ellos, b !
cada de un nodo slo ha de significar la interrupcin de las sesiones que per d
transiten, que se podrn reiniciar a travs de los resumes iodos. Por ello, es m
norma generalmente aceptada, al menos en redes de cierto lamato. tener nodo j
enlaces replicados para prevenir situaciones de contingencia.
Una vez ms. el protocolo TCP/1P demuestra en este caso su utilidad. Al haba
sido este protocolo disertado pora encontrar rulas remanentes, inclusive ame carta
masivas, est especialmente bien orientado para facilitar la reestructuracin de uru red
ante fallos de parte de sus componentes, sean stos lneas, no Jos o cualquier otro tijo
de equipamiento. Cada vez mis se est orientando los eqiipos de red a manQ*
prioritariamente trfico TCP/IP y aadir facilidades de gestrin de sobrecargas, rx*
alternativas, tratamientos de contingencias y todo tipo de situiciones que aconteces a
una red en funcionamiento.
18.4. REDES ABIERTAS (TCP/IP)
Ame el auge que est tomando el protocolo TCP/IP. como una primen .
clasificacin de redes, se est adoptando la siguiente nomenclatura para las role
basad en este protocolo:
Intranet: Es la red interna, privada y segura de um empresa, utilice o t "
medios de transporte de tercero.
1
www.FreeLibros.me
CArtnitO I AUDITORIA PC RUX 4)1
Extranct: Es una re<l privada y segura, compartida por un conjunto de
empresas, aunque utilice medios de transporte ajenos e inseguro, como
pudiera ser Internet.
Internet: Es la red de redes, "metared" a donde se conecta cualquier red que se
desee abrir al exterior, pblica c insegura, de alcance mundial, donde puede
comunicar cualquier pareja o conjunto de interlocutores, dotada adems de
todo tipo de servicios de valor aadido. Infovfa es la Internet que sopona
Telefnica, con peculiaridades fundamentalmente comerciales.
El mayor peligro que representa un acceso TCP/IP no autorizado viene
precisamente por la mayor virtud del TCP/IP: su amplia disponibilidad de utilidades.
tWi la estandarizacin de las utilidades TCP/IP, es muy razonable suponer que cada
aûina con acceso TCP/IP tenga "puertos abiertos, que a su vez tienen direcciones
realizadas donde encontrar transmisores de archivos, servidores de correo.
Kmtsalcs virtuales y todo tipo de servicios de utilidad. Una ausencia de proteccin
Bfuficj/a que un tercero puede utilizar estos servicios normalizados, de comn
costeada en cualquier mquina, en beneficio propio.
Un dispositivo especficamente dedicado a la proteccin de una Intranet ante una
Eitraaet, y fundamentalmente ante Internet, es el cortafuegos (Firewall). sta es una
tyina dedicada en exclusiva a leer cada paquete que entra o sale de una red para
permit: vu paso o desecharlo directamente. Esta autorizacin o rechazo est basada
a usas tablas que identifican, para cada pareja de interlocutores (bien sea basado en el
tpo de interlocutor o inclusive en su identificacin individual) los tipos de servicio*
que pueden ser establecidos. Para llevar a cabo su misin, existen diversas
figuraciones, donde se pueden incluir cncaminadores (routers). servidores de
proximidad (proxy). zonas desmilitarizadas, bastiones, y dems parafemalia. a veces
copiada de modelos militares.
Las polticas de proteccin en un cortafuegos suelen denominarse desde
paranoica.'' hasta promiscuas", pasando por todo tipo de gamas intermedias. Dcese
de la poltica paranoica cuando est prohibido absolutamente todo, requirindose una
aM'uAii cspc^fii para cada servicio en concreto Mr cada par de interlocutor
tercios. Dccsc de poltica promiscua cuando todo c u autorizado, identificndose
especficamente aquellos servicios concretos entre parejas concretas de interlocutores
que se prohben. Lo mis habitual es autorizar especficamente servicios (por ejemplo,
arreo electrnico) para cienos tipos genricos de usuarios (por ejemplo, a todos).
ow>* servicios (por ejemplo, terminal vinual) a ciertos usuarios especficos (por
jtmpk>. servidor de terminales virtuales) y el resto no autorizarlo.
www.FreeLibros.me
INTERNET
EXTRANET
Figura 18.I. Proteccin de una red Intranet
Para proteger la red interna "Intranet Sel exterior vuele utilizarse el esquena
expuesto en la figura 18.1. o bien variaciones del mismo. Se pane de la base de qse U
informacin que viaja entre la Intranet y el exterior ha de atravesar la "zocu
desmilitarizada" (DMZ de sus siglas inglesas), pasando por dos cncaminadores. Uo
encaminadr protege las accesos desde el exterior hacia la zona desmilitarizad!
(cncaminador externo) y otro protege los accesos desde la zona desmilitarizada hacii
la Intranet (cncaminador interno). En la zona desmilitarizada se instalan aquclka
servicios a los que haya que acceder desde el exterior y desde el interior, en mi
mquina especialmente segura, denominada bastin, que debe ser dedicad!
exclusivamente a este fin.
Por ejemplo, un servidor proxy accede a un servidor Internet, recuperando U
informacin que haya solicitado un usuario interno, y almacenndola para que poeili
ser recuperada desde la Intranet. De esta manera ve evita una conexin directa dede
una mquina interna a un servidor Internet. Del mismo modo, el correo clectrexo
podra recibirse en un servidor instalado en la zona desmilitarizada y reexpedirse hac
el interior. El objetivo es evitar establecer sesiones directas entre una mtaaai
Intranet y una maquina externa Los encaminadores impedirn que se establezca
conexiones de este tipo, salvo aquellas que especficamente se determinen. 0
cncaminador extemo slo permitir que atraviese trfico autorizado entre el exterior y
el bastin, y el cncaminador interno har lo propio con el trfico entre el bastin y U
red interna.
Este esquema de proteccin puede ser simplificado, a costa de disimeuir
funcionalidades y solidez, prescindiendo en primer lugar del cncaminador interno, y
en segundo lugar del bastin. Abrir al exterior, sin proteccin, una red interna, quei
fuera de la buena prctica informtica.
www.FreeLibros.me
El peligro mis clsico ex que un extrao se introduzca desde el exterior hacia U
red interna. Dado que las tcnicas para saltar los procedimientos de seguridad son
pibltcas y se puede acceder a ellas desde Internet, una primera preocupacin debiera
ser, peridica, controlada y preventivamente, intentar sallar los procedimientos de
segundad antes de que un extrao los ponga a prueba.
Para comprobar los controles de acceso desde el exterior, asi corno las
vulnerabilidades en la red interna, cortafuegos, servidores, etc. existen programas
especfico* ya comercializados, como por ejemplo SAFEsuite. Satn. Cops... que
facilitan esta tarca, comprobando la* vulnerabilidades ya cooocidai. Las nuevas
versiones de estos programas, que aparecen regularmente, incluyen comprobaciones
de las nuevas debilidades detectada*. Como en el caso de los anti-vini*. *e deben
tener estos programa* actualizados a fecha reciente.
Un primer ataque es conseguir la identificacin de un usuario. Para ello pueden
tizarse tcnicas de indagacin, leyendo el trfico hasta encomiar nombres sJe
usuario y contraseas, poner a prueba la buena fe de lo usuarios mandndoles un
mensaje del tipo soy su administrador, por favor, cambie su contrastla a manzana "
o directamente intentar encontrar identificaciones habituales de usuirios ("prueba",
opel". master"...). o que ya vienen por dcfecio en muchos sistemas.
Aunque los archivos de contraseas estn cifrados, habitualnentc utilizando
como clave de cifrado de cada contrasea la propia contrasea, como kxs mtodos de
cifra se conocen, existen programas que son capaces de probar miles de contraseas
usuales ya cifradas para ver si corresponden con alguna del archivo de contraseas
cifradas. Por ello es fundamental evitar que los archivos con las contraseas cifradas
caigan en manos de terceros.
En los sistemas distribuidos, se suele utilizar la tcnica de Vronfianza entre
nodos", de manera que si un usuario est autorizado para el nodo A. y solicita desde el
aodo A un servicio al nodo B. como el nodo B confa en que el nod> A ya ha hecho
la autenticacin del usuario, el nodo B admite la peticin del usuaria sin exigirle la
contrasea. Un intruso que sea capo/ de entrar en un nodo puede po: tanto entrar en
ledos los nodos que confien" en el nodo ya accedido.
Tambin aparece diversa "fauna maligna" como "gusanos", mensajes de correo
electrnico que se reproducen y acaban por colapsar la red: caballos de Troya",
programas aparentemente "inocuos" que llevan cdigo escondido: virus, que se
amocopian de un programa/documento "infectado" a otros programas/dorumentov
"limpios": puertas falsas", accesos que muchas veces se quedan de la etapa de
instalacin/depuracin de los sistemas.
www.FreeLibros.me
4U AID1TOKK INFORMTICA: US h.VKXJDI. fKCnCO
18.5. AUDITANDO LA GERENCIA DE COMUNICACIONES
Cada v mis las comunicaciones estn tomando un papel determinante cn d
tratamiento de datos, cumplindose cl lema el computador es la red " .
No siempre esta importancia queda adecuadamente reflejada dentro de b
estructura, organizativa de proceso de datos, especialmente cn organizaciones de tipo
"tradicional". donde la adaptacin a los cambios no se produce inmediatamente.
Mientras que comnmente el directivo informtico tiene amplios conocimiento* de
proceso de datos, no siempre sus habilidades y cualificaciones en tema* de
comunicaciones estn a la misma altura, por lo que cl nesgo de deficiente anclaje de li
gerencia de comunicaciones cn el esquema organizativo existe. Por *u parte, j*
informticos a cargo de la* comunicaciones suelen autoconsiderarse cxclusivameak
tcnicos, obviando considerar la* aplicaciones organizativas de su tarea.
Todo* estos factores convergen en que la auditora de comunicaciones no *iemf*t
se practique con la frecuencia y profundidad equivalentes a las de otras reas del
proceso de datos.
Por tanto, el primer punto de una auditora es determinar que la funcia de
gestin de redes y comunicaciones est claramente definida, debiendo ser responnNe.
en general, de las siguientes reas:
- Gestin de la red. inventario de equipamiento y normativa de concctividad.
- Monitorizacin de las comunicaciones, registro y resolucin de problema*.
- Revisin de costes y su asignacin de proveedores y servicios de trantpone.
balanceo de trfico entre rutas y seleccin de equipamiento.
- Participacin activa cn la estrategia de proceso de dato*, fijacin de estndire*
a ser usados en el desarrollo de aplicaciones y evaluacin de necesidades e
comunicaciones.
Como objetivos del control, se debe marcar la existencia de:
Una gerencia de comunicaciones con autoridad para establecer procedimientos
y normativa
Procedimientos y registro* de inventarios y cambios.
Funciones de vigilancia del uso de la red de comunicaciones, ajustes de
rendimiento, registro de incidencias y resolucin de problemas.
www.FreeLibros.me
Procedimientos para d seguimiento del coste de las comunicaciones y su
reparto a las personas o unidades apropiadas.
Procedimientos para vigilar el uso de la red de comunicaciones, realizar
ajustes para mejorar el rendimiento, y registrar y resolver cualquier problema.
Participacin activa de la gerencia de comunicaciones en el diserto de las
nuevas aplicaciones on Une para asegurar que se sigue la normativa de
comunicaciones.
lista de control
Comprobar que:
* G. 1. La gerencia de comunicaciones despache con el puesto directivo que en
el organigrama tenga autoridad suficiente para dirigir y controlar la
funcin.
* G.2. Haya coordinacin organizativa entre la comunicacin de datos y la de
voz. en casa de estar separadas estas dos funciones.
* G J . Existan descripciones del puesto de trabajo, competencias.
requerimientos y responsabilidades para el personal involucrado en las
comunicaciones.
* G.4. Existan normas en comunicaciones al menos para las siguientes reas:
Tipos de equipamiento, como adaptadores LAN. que pueden ser
instalados en la red.
Procedimientos de autorizacin para conectar nuevo equipamiento
en la red.
Planes y procedimientos de autorizacin p a n la introduccin de
lineas y equipos fuera de las horas normales de operacin.
Procedimientos para el uso de cualquier conexin digital con el
exterior, como linea de red telefnica conmutada o Internet.
Procedimientos de autorizacin para el uso de exploradores fsicos
(sniffers) y lgicos (mocadores).
www.FreeLibros.me
6 AUDITORIA lsmWMATK~A UN ENTOqtE PKCTKX)
Concrol fsico de los exploradores fsicos (sniffers). que deben war
guardado*.
Control de qu mquinas tienen instalados exploradores lgica
(traceadores). y de que stos slo se pueden invocar por usuna
autorizados.
G.5. Los contratos con transportistas de informacin y otros proveedla
tienen definidas responsabilidades y obligaciones.
G.6. Existan planes de comunicaciones a largo plazo, incluyendo cstrakpa
de comunicaciones de voz y datos.
G.7 . Existen, si fueren necesarios, planes para comunicaciones a ab
velocidad. como fibra ptica. ATM. etc.
G. 8. Se planifican redes de cableado integral para cualquier nuevo edificioo
dependencia que vaya a utilizar la empresa.
G.9. El plan general de recuperacin de desastres considera el respaldo y
recuperacin de los sistemas de comunicaciones.
G. 10. Las listas de inventaro cubren todo el equipamiento de comunicaciMCf
de datos, incluyendo mdems, controladores, terminales, lneas y
equipos relacionados.
G.l 1. Se mantienen las diagramas de red que documentan las conexkaei
fsicas y lgicas entre las comunicaciones y otros equipos de proceso de
dalos.
G. 12. Se refleja correctamente, en el registro de inventario y en los diagnou
de red. una muestra seleccionada de equipos de comunicaciones, de
dentro y de fuera de la sala de computadores.
G . l 3. Los procedimientos de cambio para equipos de comunicaciones, m
como para aadir nuevos terminales o cambios en direcciones, o
adecuados y consistentes con otros procedimientos de cambio en la
operaciones de proceso de datos.
G. 14. Existe un procedimiento formal de prueba que cubre la introduccido de
cualquier nuevo equipo o cambios en la red de comunicaciones.
www.FreeLibros.me
CAPTULO la AUPnom^DfcRfBfS 457
G.15. Para una seleccin de disersas altas o caminos en la red. e un perodo
rccicnte. los procedimientos formales de control han sido cumplidos.
* G.I6. Estn establecidos ratios de rendimiento que cubren ir i s como la de
tiempos de respuesta en los terminales y tasas de errores.
G. 17. Se vigila la actividad dentro de los sistemas on l i nt y sr realizan los
ajustes apropiados pora mejorar el rendimiento.
G.I8. Existen procedimientos adecuados de identificacin, documentacin y
toma de acciones correctivas ante cualquier fallo de comutcaciones.
G . I9 . La facturacin de los transportistas de comunicacknes y otros
tendedores es revisada regularmente y los cargos con discrepancias se
conforman adecuadamente.
* G.20. Existe un sistema comprensible de contabilidad y cargo en costes de
comunicaciones, incluyendo lneas, equipos y terminales.
G.2 I. Los gestores de comunicaciones estn informados y participan en la
planificacin pre-implementacin de los nuevos sistemas de
informacin que puedan tener mpacio en las comunicaciones.
* G 22 Las consideraciones de planificacin de capacidad en comunicaciones
son tomadas en cuenta en el diseo c mplementacin de nuevas
aplicaciones.
11.6. AUDITANDO LA RED FSICA
En una primera divisin, se establecen distintos riesgos para >xs datos que
ceculan dentro del edificio de aquellos que viajan por el exterior. Por tanto, ha de
diurse hasta qu punto las instalaciones fsicas del edificio ofrecen garantas y han
Joestudiadas los vulnerabilidades existentes.
Eb general, muchas veces se parte del supuesto de que si no existe acceso fsico
desde el extenor a la red interna de una empresa las comunicaciones inte t u s quedan a
alvo. Debe comprobarse que efectivamente los accesos fsicos provenientes del
alee* han sido debidamente registrados, para c si lar estos accesos. Debe tambin
reprobarse que desde el interior del edificio no se intercepta fsicamente el cableado
ClMKteuo").
www.FreeLibros.me
m_AVDIJOKl\ INKWMAIK A I NI.MOQt'l IHAITX l
En caso de dcvUre. bien ea total o parcial, ha de poder comprobarse cuil a b
parte del cableado que queda en condiciones de funcionar y qu opentisidid pucdi
soportar. Ya que el rendido de cables es una actividad irrealizable a muy corto pino,
los pl a n de recuperacin de contingencias deben tener prevista la recuperacio a
comunicaciones.
Ha de tenerse en cuenta que la red fsica es un punto claro de contacto entre U
gerencia de comunicaciones y la gerencia de mantenimiento general de edificios, qtc
I es quien suele aportar clectncistav y personal profesional para el tendido finco t
cables y su mantenimiento.
Como objetivos de control, se debe marcar la existencia de:
Areas controladas para los equipos de comunicaciones, previniendo arf
accesos inadecuados.
Proteccin y tendido adecuado de cables y lineas de comunicaciones, paca
evitar accesos fsicos.
Controles de utilizacin de los equipos de pruebas de comunicaciones, sale#
para monitonzar la red y su trfico, que impidan su utilizacin inadecuada
Atencin especfica a la recuperacin de los sistemas de comunicacin de
datos en el plan de recuperacin de desastres en sistemas de informacin.
Controles especficos en caso de que se utilicen lneas telefnicas nonrafa
con acceso a la red de datos para prevenir accesos no autorizados al sistema o
a la red.
I.ista de control
Comprobar que:
* F. I. FJ equipo de comunicaciones se mantiene en habitaciones cerrad coa
acceso limitado a personas autorizadas.
* F.2. La seguridad fsica de los equipos de comunicaciones, tales con
controladores de comunicaciones, dentro de las salas de computadora
sea adecuada.
www.FreeLibros.me
* F.3. Slo personas con responsabilidad y conocimientos estn incluidas en la
lista de personas permanentemente autorizadas para entrar en las salas
de equipos de comunicaciones.
* F.4. Se toman medidas para separar las actividades de electricista* y
personal de tendido y mantenimiento de tendido de limas telefnicas,
as como sus autorizaciones de acceso, de aqullas del personal bajo
control de la gerencia de comunicaciones.
* F.S. En las zonas adyacentes a las salas de comunicaciones, tudas las lneas
de comunicaciones fuera de la vista.
* F.6. Las lneas de comunicaciones, en las salas de comunicaciones, armarios
distribuidores y terminaciones de los despachos, estarn etiquetadas con
un cdigo gestionado por la gerencia de comunicaciones, y no por su
descripcin fsica o mtodos sin coherencia.
* F.7. Existen procedimientos para la proteccin de cable y bocas de
conexin que dificulten el que sean interceptados o enneciados por
personas no autorizadas.
* F.S. Se revisa peridicamente la red de comunicaciones, buscando
intercepciones activas o pasivas.
* F.9. Los equipos de prueba de comunicaciones usados pan resolver los
problemas de comunicacin de datos deben tener propsitos y funciones
definidos.
*F.IO. Existen controles adecuados sobre los equipos de prueba de
comunicaciones usados para monitorizar lneas y fijar problemas
incluyendo:
Procedimiento restringiendo el uso de estos equipos a personal
autorizado.
Facilidades de traza y registro del trfico de datos que posean lo*
equipos de monitorizacin.
Procedimientos de aprobacin y registro ante las conexiones a lneas
de comunicaciones en la deteccin y correccin de problemas.
HA CAPfnftX) 18 AUDITOttU Dfc RUX-S 4
En el plan genera) de recuperacin de desastres para servicios de
informacin pre*ta adecuada atencin a la recuperacin y vuelta al
servicio de los sistemas de comunicacin de dato*.
www.FreeLibros.me
* F.I2. Existen planes de contingencia para desastre* que slo afecten a Ut
comunicaciones, como el fallo de una sala completa de comunicacioact
F . 13. l-as alternativas de respaldo de comunicaciones, bien sea con lis
mismas salas o con sala* de respaldo, consideran la seguridad fftica de
estos lugares.
* F.I4. Las lneas telefnicas usadas para datos, cuyos nmeros no debee ter
pblicos, tienen dispositivos/procedimientos de seguridad tales ccoo
retrol lanuda, cdigos de conexin o interruptores para impedir accesx
no autorizados al sistema informtico.
AL'DtTORlA INFORMATICA- CX ENFOQUE PRCTICO___________________________m
18.7. AUDITANDO LA RED LGICA
Cada vez mis se tiende a que un equipo pueda comunicarse con cualquier otro
equipo, de manera que sea la red de comunicaciones el substrato comn que le* ute.
Ledo a la inversa, la red hace que un equipo pueda acceder legtimamente a cualquitt
otro, incluyendo al trfico que circule hacia cualquier equipo de la red. Y todo cll
por mtodos exclusivamente lgicos, sin necesidad de instalar fsicamente runpit
dispositivo. Simplemente si un equipo, por cualquier circunstancia, se pone a enviar
indiscriminadamente mensajes, puede ser capaz de bloquear la red completa y. por
tanto, al resto de los equipos de la instalacin.
Es necesario monitorzar la red. revisar tos errores o situaciones anmalas que ie
producen y tener establecidos l<xs procedimientos para detectar y aislar equipos en
situacin anmala. En general, si se quiere que la informacin que viaja por la red do
pueda ser espiada, la nica solucin totalmente efectiva a la encriptacin.
Como objetivos de control, se debe marcar la existencia de:
Contraseas y otros procedimientos para limitar y detectar cualquier inientodt
acceso no autorizado a la red de comunicaciones.
Facilidades de control de errores para detectar errores de transmisin y
establecer las retransmisiones apropiadas.
Controles pora asegurar que las transmisiones van solamcnie a usur*
autorizados y que los mensajes no tienen por qu seguir siempre la misan
ruta.
Registro de la actividad de la red. para ayudar a reconstruir incidencias y
detectar accesos no autorizados.
www.FreeLibros.me
CAttnix) i AiiDcronlA o: miots m
Tcnicas de cifrado de datos donde luya riesgos de accesos impropio* a
transmisiones sensibles.
Controles adecuados que cubran la importacin o exportacin de dalos a
trat* de puerta*, en cualquier punto de la red. a otros sistemas informticos.
Luta de control
Comprobar que:
L.l. El software de comunicaciones, para permitir el acceso, exige cdigo de
usuario y contrasea.
L.2. Revisar el procedimiento de conexin de usuario y comprobar que:
Los usuarios no pueden acceder a ningn sistema, ni siquiera de
ayuda, antes de haberse identificado correctamente.
Se inhabilita al usuario que sea incapaz de dar la contrasea despus
de un nmero determinado de intentos infructuosos.
Se obliga a cambiar la contrasea regularmente.
l a s contraseas no son mostradas en pantalla cuando se teclean.
Durante el procedimiento de identificacin, los usuarios son
informados de cundo fue su ltima conexin para ayudar a
identificar potenciales suplantaciones o accesos no autorizados.
L.3. Cualquier procedimiento del fabricante, mediante hardware o software.
que permita el libre acceso y que haya sido utilizado en la instalacin
original, ha de haber sido inhabilitado o cambiado.
L.4. Se toman estadsticas que incluyan tatas de errores y de retransmisin.
L.5. 1.0* protocolos utilizados, revisados coa el personal adecuado de
comunicaciones, disponen de procedimientos de control de errores con
la seguridad suficiente.
www.FreeLibros.me
L.6. Lim mensajes lgicos transmitidos identifican el originante. U fedu, b j
hora y el receptor.
L.7. El software de comunicaciones e>ccwa procedimientos de control y |
conectivos ante mensajes duplicados, fuera de orden, perdidos, o
retrasados.
L.8. l-a arquitectura de comunicaciones utiliza indistintamente cualquier reu
disponible de transmisin pora minimizar el impacto de una escucha dt
datos sensibles en una ruta determinada.
L.9. Existen contretes para que los dalos sensibles slo puedan set impresa
en las impresoras designadas y vistos desde los terminales autorizado.
I. 10. Existen procedimientos de registro pora capturar y ayudar a rccoosmr
todas las actividades de las transacciones.
L. 11. Loa archivos de registro son revisados, si es posible a travs de
herramientas automticas, diariamente, vigilando intentos irapropca de
acceso.
I - 12. Existen anlisis de riesgos pora las aplicaciones de proceso de dito >
fin de identificar aquellas en las que el cifrado resulte apropiado.
L. 13. Si se utiliza cifrado:
Existen procedimientos de control sobre la generacin e intercambio
de claves.
Las claves de cifrado son cambiadas regularmente.
El transporte de las claves de cifrado desde donde se generan a t a
equipos que las utilizan sigue un procedimiento adecuado.
L.I4. Si se utilizan canales de comunicacin uniendo diseos edificios de b
misma organizacin, y existen datos sensibles que circulen por ello*,
comprobar que estos canales se cifran automticamente, para evitar q x
una interceptacin sistemtica a un canal comprometa a todas Ib
aplicaciones.
L. 15. Si la organizacin tiene canales de comunicacin con otras
organizaciones se analice la conveniencia de cifrar estos canales.
4*2 AUDITORIA PtKHIMAllCA: W l-NKXX1* PRCTICO__________________
www.FreeLibros.me
* L.I6. Si se utiliza la transmisin de dMos sentibles a travs <k redes abiertas
como Interne!, comprobar que estos datos viajan cifrados
L.I7. Si en una red local existen computadores con ntdems. ve han reviudo
los controles de seguridad asociados para impedir el acceso de equipos
forneos a la red local.
* L.I8. Existe una poltica de prohibicin de introducir programas personales o
conectar equipos privados a la red local.
L . I 9 . Todas las "puertas traseras" y accesos no especficamente autorizados
estn bloqueados. En equipos activos de comunicaciones, como
puentes, encaminadorcs. conmutadores, etc., esto significa que los
accesos pora servicio remoto estn inhabilitados o tienen
procedimientos especficos de control.
L.20. Peridicamente se ejecutan, mediante los programas actualizados y
adecuados, ataques para descubrir vulnerabilidades, que los resultados
se documentan y se corrigen las deficiencias observadas Estos ataques
deben realizarse independientemente a:
Servidores, desde dentro del serv idor.
Servidores, desde la red interna.
Servidores Web. especficamente.
Intranet, desde dentro de ella.
Cortafuegos, desde dentro de ellos.
Accesos desde el exterior y/o Internet.
Aadrcw S. Tanenbaum. Red a de computadores. Prentice Hall. Es el ibro de referen
cia. por antonomasia, en comunicaciones.
Virios. COAST. Computer Operations. Audii and Scurit Technology.
h1tp://www es purdue.edu/coast Un actualizado compendio de conocimientos
sobre el tema, con hiperenlaces a k> ms significativo del sector.
Steven L. Tellccn. Intranet Organi&tion: Strategies f o r managing ctange. Intranet
Partners. http://www.intranetpartners.com/1ntranciOrg. Enfoque nuy orientado a
la prctica empresarial cotidiana.
www.FreeLibros.me
U AVOtTOHU IVKXtVIMKTA l'S' EXKMJlt HtAtUCO
1. Cules son lo* niveles del modelo OSl?
2. Cules son las incidencias que pueden producir en Us redes de
comunicaciones?
3. Cules son los mayores riesgos que ofrecen tas redes?
4. Existe el riesgo de que se intercepte un canal de comunicaciones?
5. Qu suele hacerse con las contrasellas de los usuarios?
6 . Cules son los protocolos ms importantes de alto nivel?
7. Diferencias cnire Internet. Intranet y Extraa.
8. Qu es un "cortafuegos"?
9. Qu es un "gusano"?
10. Qu objetivos de control destacara en la auditora de la gerencia de
comunicaciones?
www.FreeLibros.me
CAPTULO 19
AUDITORA DE APLICACIONES
J o t f Mara Madurga Oteiza
19.1. INTRODUCCIN
Qu duda cabe que una meticulosa y exhaustiva auditora de una aplicacin
informtica de relevancia en una empresa o entidad podra dar pie para poner en
funcionamiento la prctica totalidad de la extensa gama de tcnica y rica metodologa
de la auditora informtica.
Debo, por lano, aclarar de pan ida el alcance de este trabajo dentro del contexto
de la obra en que se integra: al contar con capitulo* especfico* dedicados a numerosos
pecio tcnicos y al resto de etapas de la vida de un sistema, incluso a su explotacin
j euntcninucnto. mi exposicin se iw a centrar en la fase final de la vida de la
aplicacin informtica, la de su funcionamiento ordinario, una vez superada la crtica
tupa de su implantacin, que habr cerrado el ciclo precedido por las de concepcin y
desarrollo.
Tambin he de confesar mi propsito de que prime la recopilacin de
experiencias recogidas en los trabajos de este tipo que he tenido ocasin de dirigir,
wbre el rigor de una recapitulacin de estndares de objetivo* de control, que pueden
tet localizados sin dificultad a trass de numerosas fuentes. Dichas experiencia* *e
hin detensuelto en aplicaciones de gran envergadura y complejidad: utilizadas por un
considerable nmero de usuarios, con gran dispersin geogrfica, diversidad de
plataformas y compleja red de comunicaciones, lo que debiera haber permitido aflorar
juyor nmero de problema* a tener en cuenta y a los que dar solucin.
Asi pues, el objeto de este trabajo consiste en tratar de ayudar a planificar,
preparar y llevar a cabo auditorias de aplicaciones en funcionamiento en cuanto al
www.FreeLibros.me
M AOfTOKlA INKXtMTICA US LMOQUK HtmTO
grado de cumplimiento de los objetivos para los que Uts mismas fueron creadas: n |
carcter general. stos estarn en U lnea de servir de eficaces herramientas operativa
y de gestin que potencien la ms eficiente contribucin, por pane de l a I
organizaciones usuarias de las aplicaciones, a la consecucin de los objetivos I
generales de la empresa, grupo o entidad a la que pertenecen.
19.2. PROBLEMTICA DE LA AUDITORA DE UNA
APLICACIN INFORMTICA
Una aplicacin informtica o sistema de informacin habitual mente persipe
como finalidad:
Registrar fielmente la informacin considerada de inters en tomo a la*
operaciones llevadas a cabo por una determinada organizacin: magnitudes
fsicas o econmicas, fechas, descripciones, atributos o caractersticas,
identificacin de las personas fsicas yfo jurdicas que intervienen o guvtba
relacin con cada operacin, nombres, direcciones, etc.
Permitir la realizacin de cuantos proceso* de clculo y edicin ve*
necesarios a partir de la informacin registrada, podiendo, por unto,
almacenar automticamente ms informacin que la de partida, aunque
siempre basada en aquella.
Facilitar, a quienes lo precisen, respuesta a consulta de todo tipo sobre b
informacin almacenada, disertadas en conienido y forma para dar cobertura a
las necesidades ms comunes constatadas.
Generar informes que sirvan de ayuda para cualquier finalidad de inters cu b
organizacin, presentando la informacin adecuada: *e aplican -sega
convenga- criterio de seleccin, ordenacin, recuento y totalizacin per
agolpamiento*, clculo* de todo tipo, desde estadstico* comunes (media,
desviacin tpica, valores mnimo, mximo, primero y ltimo, etc.), hasta tos
ms sofisticado* algoritmo*.
Si este planteamiento se consigue trasladar con rigor a una aplicacin informtica
y los usuarios la manejan con soltura y con profesionalidad. la organizacin a la que
pertenecen contar con un importante factor de xito en el desarrollo de su actividad
Sin embargo, ni el rigor en la creacin de la aplicacin ni la profesionalidad en el
uso de la misma pueden ser garantizados. Adems la profesional idad no inmunizi
contra el cansancio y el estrs. Asumido est tambin que de humano* es equivocarse,
cometer errores y omisiones involuntariamente. Y tampoco es imposible que en en
www.FreeLibros.me
CAHlUO H At btTOttU t. AltKACIONhS Ul
mxncnto determinado un empleado descontento cometa errores intencionadamente o
tfte otro, en apuros econmicos, sucumba a la tentacin de intentar un fraude perfecto
i considera mnima la probabilidad de ser descubierto, tal y como funciona el sistema
1 1 organizacin, que puede no estar dando muestras de ejercer un control interno
OfUTOSO.
Y no son stas las nicas amenazas al normal cumplimiento de la finalidad de
locslra aplicacin:
La posibilidad de fallo en cualquiera de los elementos que intervienen en el
proceso informtico: software mltiple perteneciente a diferentes firmas,
computador central y dispositivos perifricos, transmisin de datos
(servidores, mdems, lneas de comunicaciones, etc.) constituye otra fuente de
posibles riesgos.
La oooexin cada vez ms generalizada de las empresas a entornos abiertos
como la Internet multiplica los riesgos que amenazan la confidencialidad e
integridad de la informacin de nuestros sistemas. Y en este caso el nmero
de interesados en descubrir debilidades que les abran las puertas para enredar
y manipular la informacin a la que sean capaces de acceder no tiene lmites.
Todat esas amenayis v cualquier otra que pueda ser identificada contra el
tomen funcionamiento de nuestra aplicacin y la consecucin de tus objetivos, han
4tMo ser objeto de un anlisis minucioso ya desde la fase de su concepcin. Para
a h ana de ellas se habrn debido estudiar las posibles medidas tendentes a eliminar
Im riesgos que entraan o. cuando menos, a reducir la probabilidad de su
I autnali/jcin hasta niveles razonablemente asumibles. siempre teniendo en cuenta el
corto de tales medidas (que no cuesten ms las cintas que el manto, segn d dicho
polilla;).
Dichas medidas son fundamentalmente medidas de control interno que. con
arkttt general, consisten en los procedimientos para verificar, evaluar y tratar de
pnnti/ar que "todo" funciona como se espera: de acuerdo con las polticas,
fceetric*. norma* y procedimicntoc Mecidos n lo diferente mbito* de
HpMabilidad.
En el terreno de una aplicacin informtica, el control interno se materializa
tntancntalmcnlc en controles de dos tipos:
Controles manuales: a realizar normalmente por porte de personal del rea
L
usuaria: actuaciones previstas para asegurar que -en su caso- se preparan,
autorizan y procesan todas las operaciones, se subsanan adecuadamente todos
los errores, son coherentes los resultados de salida respecto a referencias
disponibles sobre los dalos de entrada, y las bases de datos que dan soporte a
la aplicacin mantienen en los niveles debidos diferentes indicadores de
www.FreeLibros.me
44 Aturro!* ISIOHMTWA t'S PaOQt'H HtCUCO
medicin fe \u integridad y totalidad (nmero de registros en archivo yh
tablas, de relaciones o ndices, totales de magnitudes nume,
conciliaciones, etc.).
Controles automticos: incorporados a los programas de la aplicacin qee
sirvan de ayuda para tratar de asegurar que la informacin se reguae j
mantenga completa y exacta, los procesos de todo tipo sobre la mi un* km
correctos y su utilizacin por pane de los usuarios respete los mbitos de
I confidencialidad establecidos y permita poner en prctica principios generala
de control interno como el referente a la segregacin d* funcione*.
Controles que. segn su finalidad, se suelen clasificar en:
Controles preventivos: Tratan de ayudar a evitar la produccin de error a
base de exigir el ajuste de los datos introducidos a patrones de formato y
estructura (dalo numrico, fecha vlida, etc.), pertinencia a una lista de
valores vlidos o a un archivo maestro, rango entre lmites determinad,
incorporacin de dgitos de control en datos clave (cdigos de dentikaeia.
referencias de documentos, nomenclaturas, etc.) y, en general, cualquier
criterio que ayude a asegurar la correccin formal y verosimilitud de los daM
(la exactitud slo puede garantizarla el usuario).
Son de gran utilidad las comprobaciones de conjunto de datos, buscando n
compatibilidad, adecuacin y coherencia (por ejemplo, una cuenta de catj#
p u o k no ser compatible con un tipo de instalacin).
Controles defectivas: Tratan de descubrir a pasterfi errores que no hiji
sido posible evitar.
Controles correctivos: Tratan de asegurar que se suhsanen todos los enera
identificados mediante controles Jetectivos.
Y que pueden ser utilizados:
En las transacciones de recogida o toma de dato*.
En todos los procesos le informacin que la aplicacir realiza.
En la generacin de informes y resultados de salida
Pues bien, como apuntbamos hace un momento, ya en c diserto le la aplicante
se debi hacer un estudio a conciencia para seleccionar de entre los posibles, y
teniendo en cuenta su costo frente a su previsible efectividad ontra el riesgo que trata
de contrarrestar, los controles considerados idneos para cada situacin planteada et
los diferentes pasos de funcionamiento de la aplicacin.
www.FreeLibros.me
CaUTILO I AUDITORIA Dt AI1ICACIOSES *W
Este lu d io debi ser propuesto por los responsables del rea informtica
-contando siempre en el diseo con la participacin de representantes de la
organizacin usuaria-, m i s a d o por personal de auditora ruerna, y aprobado en
ltima instancia por la direccin de la organizacin usuaria, mxima responsable de la
aplicacin.
Es importante recalcar la conveniencia de la participacin de Auditora interna
(con un carcter ms general que Auditora informtica) en la revisin <c los controles
dileados durante el desarrollo de la aplicacin. Sus recomendacitocs deben ser
consideradas -aunque la decisin final en caso de discrepancia debe radicar en la
organizacin usuaria-. Lo que est fuera de toda duda es que seria tremendamente
tais costoso, tener que incluir cualquier control una vez. finalizado el desarrollo, como
modificacin, porque se pusiera de nunifiesto su necesidad como rebultado de una
auditora posterior a la mplementacin.
La participacin de Auditoria interna en el desarrollo de un siitcava informtico
debe tener un alcance ms amplio que el referente al sistema informtico, ya que debe
contemplar no slo los riesgos relacionados con la aplicacin, sino iodos los que
fuedan afectar al proceso completo al que la misma sirve de Herramienta, podiendo
proponer que la aplicacin registre informacin especfica. pistas de auditoria",
pira facilitar a futura auditabilidad del proceso respecto a tales ricsjps. Lo mismo
cabe decir, en cuanto al requerimiento de pistas de auditora, pora facilitar las futuras
auditoras informticas de la aplicacin.
Despus de lo expuesto, podemos centrar la problemtica de la auditora de una
aplicacin: se trata de realizar una rev isin de la eficacia del funcionamiento de los
controlrs diseados p ara cada uno de los pasos de la misma frente a los riesgos
que, trat an de eliminar o minimizar, como medios para asegurir la fiabilidad
(totalidad y exactitud), seguridad, disponibilidad y confidencialidad de la informacin
gestionada por la aplicacin.
Ello obliga a replantearse nuevamente, y con carcter previo, si los propios
lingos tenidos en cuenta en mi momento son todos los posibles o s< detectan otros
noevos: unos y otros deben ser evaluados, analizada la probabilidad de su
materializacin y sus consecuencias previsibles, de cara a reconsiderar si los controles
i=p(antdos. tal como estn actuando, superan con garantas de xito la exposicin a
amenazas percibida en la situacin actual.
Quede bien entendido que. por muy completa que resulte la revisin que hagamos
de una aplicacin informtica y de los controles que incorpora, no es suficiente para
garantizar la seguridad de la misma: sta se consolida con la realizacin de una
evaluacin de los controles generales y una revisin de los controle de la funcin
informtica, que estarn recogidos en el Plan de trabajos de auditora informtica.
www.FreeLibros.me
19.3. HERRAMIENTAS DE USO MS COMN EN LA
AUDTORA DE UNA APLICACIN
Antes le nadi conviene hacer hincapi en que la tremenda evolucin de lit
tecnologas, en lodo lo referente a lo* sistemas de informacin, obliga a un esfuma
considerable de formacin a todo el personal de auditora interna, y en particular a Im
especialistas en auditora informtica Este reto debe estar asumido por la direccin de
Auditora, que debe impulsar la respuesta adecuada al mismo, recogida en
ambicioso plan de formacin, que incluya la atencin a las nuevas tendencia* jr
preocupaciones.
Ello no es bice para que. dentro de la poltica de la empresa, se conicmfie b
posibilidad de contratar la realizacin de determinadas auditorias informticas noy
especializadas (outsourcing! o personal auditor que participe en trabajos; pero sxtapR
ser conveniente que b direccin de todos los trabajos sea conducida, y con suficime
conocimiento general aun en los temas ms especializados, por auditores de la propia
empresa.
Haremos un recorrido por las herramientas ms comnmente utilizada en la
auditora de la aplicacin informtica dentro del contexto que hemos delimitado <n la
introduccin.
En ocasiones se podrn combinar varias a la vez; por ejemplo se puede, en usa
entrevista con otro propsito, aprovechar b ocasin para realizar una prueba de
conformidad prevista, adems de observar la utilizacin de b aplicacin por d
entrevistado e incluso, si ste estuviera interesado, rellenar o comentar un* ctKuesta
que se le haba dirigido.
19.3.1. Entrevistas
De amplia utilizacin a k> largo de todas b s etapas de b auditora, las entres ni
deben cumplir una serie de requisitos:
Las personas a entrevistar deben ser aquellas que ms puedan aportar al
propsito pretendido.
La entrevista debe ser preparada con rigor de cara a sacar el mximo parti)
d c el b .
Para ello es indispensable escribir el guin de temas y apaados a tratar (no tu
cuestionario cenado), para evitar que quede sin tratar algn asunto de iiKert;
www.FreeLibros.me
caMt ii o m AimnmU t. AH.iCAriosr.s <si
tambin exige haber alcanzado el nivel de conocimientos sobre la aplicacin
ncccsano en esc momento para conducir con soltura la entrevista.
Ha de ser concertada con lo interlocutores con antelacin suficiente,
informndole del motivo y las materia a tratar en ella, la duracin
aproximada prevista y. en su cacto, solicitando la preparacin de la
documentacin o informacin que pueda ser necesario aponen durante la
misma: no debe faltar la invitacin a colaborar con cuantas sugerencia
estimen oportuno, no slo sobre el propio objeto de la entrevista sino tambin
con miras ms amplia en relacin con el proceso global desarrollado por la
organizacin y la aplicacin informtica que apoya el proceso.
Las jefaturas de las personas a entrevistar deben estar informadas de las
actuaciones previstas; en general ser positivo que sea el propio jefe quien
comunique al interesado la necesidad de participar en la auditora.
Durante el desarrollo de la entrevista, el auditar tomar las anotaciones
imprescindibles; lo ms prximo posible a la finalizacin de la entrevista el
auditor debe repasar sus anotaciones, completando con detalles que pueda
recordar aquellas que pudieran haber quedado esbozadas, y reflexionando
sobre las posibles implicaciones de las novedades o singularidades que el
interlocutor haya podido aportar.
19.3.2. Encuestas
Pueden ser de utilidad tanto para ayudar a determinar el alcance y objetivo de la
auditoria como para la materializacin de objetivos relacionados con el nivel de
utisfaccin de lo usuario.
Con U* lgicas salvedades, la mayor pane de los requisitos enumeradas para la
eatrevisu son tambin de aplicacin para las encuestas.
En este caso, in embargo, s que hay que preparar un cuestin ano que pueda
ser contestado con la mayor rapidez a base de marcar las respuestas entre las
posibles.
Conviene que todas las preguntas vayan seguidas de un espacio destinado a
observaciones, y no slo las que soliciten descripcin cuando la respuesta
haya podido ser Otros", caso de eleccin entre varias alternativas. Al final
del cuestionario hay que solicitar sugerencias u observaciones abiertas, mejor
en pgina exclusiva para ello, que pueda ser fotoeopiada por quienes necesiten
ms espacio para sus comentarios.
www.FreeLibros.me
*K AUDITORIA INFORMTICA UN fcNFOQtT PRACTICO
Aunque no puede ni debe exigirse la identificacin personal del encuestado, ti
debe hacerse de la organizacin a la que pertenece (Cuidado con los rccueecos
de resultados de la encuesta por organizacin que pudieran quedar con un
nica respuesta: no deben ser obtenidos, limitando, por tanto, la obtencin de
tales recuentos a la condicin de contar con ms de una respuesta en el
agolpamiento.) Sin embargo, s puede invitarse a que se identifique quien r
tenga ningn inconveniente en ello, lo que permitira contactos enrqucccdom
si la encuesta contestada plantea asuntos de inters.
19.3.3. Observacin del trabajo realizado por los usuarios
Aunque por otros medios puede llegarse a comprobar que la aplicacin functotu
con garantas de exactitud y fiabilidad, es conteniente observar cmo algn usuario
hace uso de aquellas transacciones ms significativas por su volumen o riesgo: pjee
ayudar a detectar que. aunque el resultado final sea bueno y. por tanto, los controle
establecidos sean efectivos, la eficiencia no est en el nivel ptimo: no ex infrecuerfie
que un auditor experimentado identifique mejoras en este tipo de observaciones: desde
carencias del usuario o vicios adquiridos que pueden denotar falta de formacia, hasta
mejoras de diseo que puedan aumentar la agilidad y productividad en el uso de U
aplicacin: recomendaciones de opciones o valores propuestos por defcctti
simplificacin de pasos, etc.
Debe aprovecharse esta oportunidad para probar tambin la efectividad de kn
controles de las transacciones en cuestin, solicitando la simulacin de siiuacioees
previsibles de error para comprobar si la respuesta del sistema es la esperada: interno
de duplicar una operacin real, de cometer errores de diferentes tipos en la
introduccin de cada uno de los datos, etc.
19.3.4. P rueba s de conformidad
De uso general en todo el campo de la auditora, son actuaciones orientadu
especficamente a comprobar que determinados procedimientos, normas o controles
internos, particularmente los que merecen confianza de estar adecuada mera;
establecidos, se cumplen o funcionan de acuerdo con lo previsto y esperado, segn lo
descrito en la documentacin opotiunx
1.a comprobacin debe llevar a la evidencia a travs de la inspeccin de los
resultados producidos: registros, documentos, conciliaciones, etc. y/u ohservacta
directa del funcionamiento de un control ante pruebas especficas de su
comportamiento.
www.FreeLibros.me
CAPTULO IV AUPITOKA DB AHJCACtOVES 45)
La evidencia de incumplimiento puede ser puesta de manifiesto a travs de
informes de excepcin.
Los testimonios de incumplimiento no implican evidencia pero, si porten de
varias personas, es probable que la organizacin asuma como vlidos dichos
testimonios y, por unto, las consecuencias que de los mismos pudieran
derivarse de cara a posibles recomendaciones, ahorrando esfuerzos para tratar
de conseguir su confirmacin documental.
19.3.5. Pruebas s ubstantivas o de validacin
Orientadas a detectar la presencia o ausencia de errores o irregularidades en
pocesos. actividades, transacciones o controles internos integrados en ellos.
Tambin pertenecen al dominio general de la auditora.
Estn especialmente indicadas en situaciones en las que no hay evidencia de que
oinan controles internos relevantes, suficientes como para garantizar el correcto
funonainicnto del proceso o elemento considerado.
Todo tipo de error o incidencia imaginable puede ser objeto de investigacin
en c su clase de pruebas. En el mbito de la auditora d una aplicacin
informtica, irregularidades de diversa ndole que pueden afectar a las
transacciones:
- Transacciones omitidas, no registradas en el sistema.
- Duplicadas, registradas ms de una vez.
- Inexistentes indebidamente incluidas.
- Registradas sin contar con las autorizaciones establecidas.
- Incorrectamente clasificadas o contabilizadas en cuentas diferentes a las
procedentes.
- Transacciones con informacin errnea, desde su origen o por alteracin
posterior, que no refleja 1 realidad. coi posibles coiuccuciKia.i en:
El montante o fechas de devengo incorrectas de derechos y obligaciones
de la empresa respecto a terceros.
La exactitud de las valoraciones conublcs o la falta de conciliacin con
ellas de la contenida en la Aplicacin.
La exactitud de las mediciones fsicas, con posible desajuste respecto a
inventaras.
www.FreeLibros.me
4SI AUlITtHtU ISnHtSItlCA IIN tiNtOQt'E PRACTICO
Infinidad de recursos pueden ser utilizados pora delectar indicios, en prnet
instancia de posibles errores; indicios cuya presencia deber lie* a
profundizar en la investigacin pora constatar la existencia real de anomalas.
Muchos de ellos se apoyan en la utilizacin del computador:
- Anlisis de ralios. as como fluctuaciones y tendencias en magnitudes 4ce
miden aspectos relacionados con la actividad desarrollad* en los procesos.
- Conciliaciones con ponidas que a efectos de control puedan llevarse en u
propia aplicacin o de otros sistemas, como el econmico-financiero.
- Informes de excepcin producidos por la propia aplicacin pon idetcific* j
situaciones que interesa sean objeto de revisin. Apae de los de
obtencin rutinaria previstos en el sistema, debiera disponerse de ros
especficos para la realizacin de auditorias, planteados desde la etapi de
diserto para poder ejecutar a demanda.
Otros recursos clsicos utilizados para la deteccin de errores o sus indicios
son de ejecucin manual. Normalmente se aplican sobre muestras, estadstkas
y no estadsticas.
- Para las primeras evidentemente son de aplicacin las tcnicas de muestreo
estadstico, que debern ser respetadas para el clculo del tamaflo de las
muestras y su seleccin en funcin del nivel de significacin y error
mximo con que interese trabajar en cada caso.
- Las muestras no estadsticas, dirigidas, basarn la seleccin en la bsqseda
de las operaciones con mayor probabilidad de error y/o consecuencias ms
graves, previo anlisis de las condiciones de la informacin disponible qse
permitan componer un indicador de priorizacin. asignando puntuaciones
al cumplimiento de determinadas condiciones.
Ejemplos de estos recursos de ejecucin manual son; Arqueo, Inventar,
Inspeccin. Comprobacin con los documentos soporte de la transaccifa
(factura, albarn. etc.) y Confirmacin de saldos por pane de terceros (dientes
y proveedores).
19.3.6. U:io del computador
El uso de computadores constituye una de las herramientas ms valiosa en b
realizacin de la auditora de una aplicacin informtica. Nos referimos tac
a los computadores personales, con los que el auditor informtico debe estar
www.FreeLibros.me
(.APtTVLO I ACOtTOKA tlf. AMJCMKXSbS 4SS
familiarizado manejando con soltura la tcnicas de edicin de textos y
presentaciones. hoja de clculo, gestor de bases de datos, correo electrnico,
etc., como al computador u computadores sobre los que se explota la
aplicacin objeto de la auditora.
Existen en el mercado infinidad de productos de software concebidos para
facilitar La tarea del auditor: Herramientas que permiten el acceso generalizado
a la informacin contenida en archivos y hases de datos de forma transparente
para el usuario y con independencia de las caractersticas de organizacin y
modo de almacenamiento. Muchos de estos productos se presentan como
"herramientas de auditora", ya que incorporan facilidades tpicas de c^n
funcin como pueden ser la generacin de muestras estadsticas, edicin de
circularzaciones. etc.
Sin restar n i valor a estos productos, y desde la ptica del auditor interno, se
pueden obtener resultados similares haciendo uso de herramientas disponibles
en la organizacin y no necesariamente disertadas pora funciones de auditora.
Contando con una herramienta de interrogacin, un lenguaje SQL IStruciured
Qutiy l/xnguagf). se puede acceder a la informacin y seleccionar la que
interese: su proceso posterior a travs de un gestor de base de datos, tipo
ACCESS o similar, ofrece un potencial de tratamiento prcticamente
ilimitado.
Las pistas de auditora de que cu provista la aplicacin deben constituir un
poyo importante a la hora de utilizar el computador para delectar situaciones
o indicios de posible error. Lo mismo cabe decir de los informes de
excepcin, particularmente los diseados especficamente para propsitos de
auditora.
Tambin hay que considerar la posibilidad de utilizar la propia aplicacin,
aplicando juegos de ensayo o transacciones ficticias preparadas por los
auditores, para verificar la eficacia de los controles implantados. Este tipo de
pruebas no es siempre recomendable, sobre todo si no ha sido prevista tal
www.FreeLibros.me
456 Al'PtTTHtU ISMmMTKA IN ENPOQtT; PttACUCO
19.4. ETAPAS DE LA AUDITORA DE UNA APLICACIN
INFORMTICA
19.4.1. Recogida de informacin y documentacin sobre la
aplicacin
Ames de plantearnos el alcance de los trabajos de auditoria sobre a p l i ca r n
informticas necesitamos disponer de un conocimiento bsico di la aplicacin y de m
entorno. Realizamos un estudio preliminar en el que recogemos toda aquella
informacin que nos pueda ser til para determinar los puntos dbiles existentes y
aquellas funciones de la aplicacin que puedan entraar riesgos.
A travs de entrevista con personal de los equipos responsables de la aplicante,
tanto desde la organizacin usuaria como de la de Sistemas de informacin, se inicia
el proceso de recopilacin de informacin y documentacin que permitir profundiza
en su conocimiento hasta los niveles de exigencia necesarios para la realizacin dd
trabajo, y en una primera fase, hasta el nivel de aproximacin sificieMe para estar ea
disposicin de establecer y consensuar los objetivos concretos de la auditoria.
El primer reto con el que nos encontramos es el de identificar las personas mis
adecuadas, en cada uno de los mbitos de organizacin, pan poder transmitir al
responsable de la auditoria el conocimiento ms amplio posible de la aplicacin, ves
fortalezas, posibles debilidades, riesgos c inquietudes suscitadas en tomo a ella.
Identificadas dichas personas se intenta crear un ambiente d: colaboracin, con d
fin de que transmitan al equipo auditor su visin personal de la situacin, apenando
cuantas sugerencias estimen de inters, adems de suministrar h documentacin que
se les solicite y estn en disposicin de proporcionar.
Para cubrir esta etapa del trabajo de auditoria resulta til ccnfeccionar unas guias
que nos permitan seguir una determinada pauta en las primeras entrevistas y
contengan la relacin de documentos a solicitar lodos aquellos que ayuden a:
* Adquirir una primera visin global del stema: Descripcin general de la
aplicacin, presentaciones que hayan podido realizarse de la aplicacin *
distintas finalidades a lo largo de su vida. Plan de Sistemas de la empresa. <n
lo que respecta a la aplicacin a auditar; en l debern figurar explcitamente
sus objetivos, planes y presupuestos. (Un documento de gran trascendencia
por su repercusin en la eficacia en el uso de la aplicacin es el 'Manual de
usuario": Concebido como soporte a la formacin en d uso de la aplicacin
informtica, debe ser claro, completo y estar bien estructurado para facilitar su
www.FreeLibros.me
C\HTVlO I AlDTTOtUA DE API IC APONES 57
consulta Es fundamental que est actualizado al da y en mi opinin
imprescindible que los usuarios puedan acceder a l a travs Je la red.)
Conocer la organizacin y los procedimientos de los servicios que utilizan la
aplicacin. Medame el examen de lista de personas o dichos servicios,
organigrama de los mismos y dependencias funcionales entrr ellos, bases de la
organizacin y de la separacin de funciones, grado de participacin de los
usuarios en el desarrollo y en las pruebas de la aplicacin, medidas generales
de control (proteccin fsica, proteccin lgica), poltica de formacin y
sensibilizacin de los usuarios, grado de satisfaccin de los usuarios, etc.
Describir el enlomo en el que se desarrolla la aplicacin: ccoocer recursos de
computador central asignados, nmero de mini o micro computadores
asignados total o parcialmente a la aplicacin, cantidad de curaos perifricos
asignados, configuracin de la red y de las lneas de comuikacioncs usadas,
etc.
F.nteixler el entorno de software bsico de la aplicacin, identificando las
seguridades que ofrece y los riesgos inducidos.
Asimilar la arquitectura y caractersticas lgicas de la aplicacin, lis necesario
conocer los principales tratamientos y cmo estn estructurados lo dalos:
programas clave de la aplicacin, lenguaje y mtodo de programacin,
archivos maestros, bases de datos y diccionario de datos, modo de captura, de
validacin y de tratamiento de los datos, informes (listados! generados por la
aplicacin, as como la periodicidad de los diferentes tratamirntos.
Conocer las condiciones de explotacin de la aplicacin y os riesgos que se
pueden dar. Es decir, si la aplicacin la explotan directamente los usuarios o
depende de los servicios informativos, volumen de caparas. volumen de
informacin almacenada en los archivos maestros, seguridaces de explotacin
(accesos, salvaguardias, etc.), planificacin y organizacin general de la
explotacin, caractersticas generales: tiempos de respuesta, frecuencia y
naturalejui de l u incidencia*. duracin de lo proceso baich.
Conocer las condiciones de seguridad de que dispone la apicacin: controles
que incorpora, definicin de perfiles de acceso a los recursos y a la aplicacin,
existencia de pistas de auditora, grado de automatizacin (mnima
intervencin humana), documentacin.
Disponer de informacin relativa a: Estadsticas de tiempos de explotacin
para cada proceso, de tiempos de respuesta de transacciones on line. de
tiempos de reproceso por fallos o errores, tiempes dedicados al
mantenimiento, informes de gestin de los accesos, informes de seguimiento
www.FreeLibros.me
1M AlTHTCXtl A IMOKMTICA t'S f.NTOQl'fc VACTICO
de los salidas, protecciones de los recursos signados i la aplicacin, perfila
de acceso a los recursos de la aplicacin.
Resuda conveniente que el auditor solicite los documentos formalmente,
facilitando su relacin, y que stos le sean suministrados en s<f>ortc informtica en U
medidu de lo posible.
Hemos citado explcitamente slo unos cuantos documeilos. por probenus de
espacio, relacionando los lugares comunes que deben a b ri r . Adiciooilmeme
cualquier informe, comunicacin o acta de grupos de trabajo que pucdjn cstir
implicados en tareas de ingeniera de procesos, crculos de calidad, raejea
permanente o cualquier otra iniciativa innovadora en el rea de negocio a la que sirve
la aplicacin, sern de gran utilidad para el auditor en su cometido. Proceder en ate*
casos contactar con los responsables de tales proyectos, para potenciar las sinergia
que surgirn, enriqueciendo los resultados de todos.
19.4.2. Determinacin de los objetivos y alcance de la
auditora
El examen de los documentos recopilados y la revisin de los lemas tratados I
largo, de las entrevistas mantenidas, es decir, las observaciones iras el cum a
preliminar, la identificacin de los punios dbiles y las uviones crticas, debea
permitirle al auditor establecer su propuesta de objetivos de la auditora de b
aplicacin y un plan detallado del trabajo a realizar. Emndenos que dedicando mis
recursos cuanlo mayor fuera la debilidad o ms graves las consecuencias de h
aincna/a que se somete a revisin.
Es de desear que los objetivos propuestos sean conseisuados con el equipo
responsable de la aplicacin en la organizacin usuaria.
Es preciso conseguir una gran claridad y precisin c i la definicin de lot
objetivos de la auditora y del trabajo y pruebas que se propote realizar. delitruod)
pcrteciamentc su alcance de manera que no ofrezcan dudas de interpretacin.
En la preparacin del plan de trabajo trataremos de incluir.
1.a planificacin de los trabajos y el tiempo a emplear, orden en que *
examinarn los diferentes aspectos, centros de trabajo en que se t u j
desarrollar las pruebas, cargas de tiempos y asignacin de los trabajos tnut
los diferentes colaboradores del equipo.
i
www.FreeLibros.me
l.as herramientas y mtodos, entrevistas con los usuarios y lo* informticos,
servicios que se van a audiur. documentos que hay que obtener, etc.
El programa de trabajo detallado, adaptado a las peculiaridades de cada
aplicacin, pero tratando de seguir un esquema tipo:
- Identificacin y clasificacin de los objetivos principales de la auditora.
- Determinacin de subobjetivos para cada uno de los objetivos generales.
- Asociacin, a cada subobjetivo de un conjunto de preguntas y trabajos a
realizar teniendo en cuenta las particularidades del entorno y de la
aplicacin a auditar.
- Desarrollo de ternas como:
Modos de captura y validacin.
Soportes de los datos a capturar
Controles sobre los datos de entrada.
Tratamiento de errores.
Controles sobre los tratamientos: secuencia de programas, valores
caractersticos, controles de versin, exactitud de los clculos, etc.
Controles de las salidas: clasificacin y verificacin de las salidas;
presentacin, distribucin, diseo y forma de los listados.
Pistas para control y auditora
Salvaguardias.
Tests de confirmacin, test* sobre los datos y los resultados. Aquellos que
consideramos necesarios para asegurar que los controles funcionan como se
han descrito y previsto, y que los controles internos son aplicados.
> CArtTl'LOt AUDITORA Pti AH JCAOOM3 4
Ejemplos de objetivos de auditorias de aplicaciones
A modo de ejemplo, sealaremos las lneas maestras (no serviran como objetivos
mes por incumplimiento de los requisitos enunciados) de algunos objetivos que
fucilen establecerse en este tipo de auditoras de aplicaciones informticas:
L Kmitir opinin sobre el cumplimiento de los objetivos, planes y
presupuestos contenidos en el Plan de Sistemas de Informacin sobre la
aplicacin a auditar
1.1. Cumplimiento de los plazos previstos en cada una de las fases del
Proyecto: Estudio previo. Diserto. Programacin. Pruebas. Conversin
en su caso. Plan de formacin e Implantacin.
www.FreeLibros.me
4<0 Al'DtKXtlA INKHtStTlCA fX ENHXy^ PUACTIOO
1.2. Cumplimiento de los presupuestos previstos en cada una de la* ho
enumerad y para cada uno de los conceptos manejados: equipo,
software, contratacin exterior, personal propio, etc.
1.3. Cumplimiento de las previsiones de coste de funcionamiento normal de
la aplicacin y de su mantenimiento al nivel de desglose adecuado.
2. Kvaluar el nitH de satisfaccin de los usuarias del sistema, tanto d* b
linea operativa como de las organizaciones de coordinacin y por*
respecto a la cobertura ofrecida a sus necesidades de informacin
2.1. Nivel de cobertura de funcionalidades imple menudas respecto al tool
de las posibles y deseables en opinin de los usuarios, incluyendo en e
concepto de funcionalidad la posibilidad de obtencin de informes de
gestin y de indicadores de seguimiento de las actis-idades de la
organizacin usuaria.
2.2. Nivel de satisfaccin con el modo de operar las diferewes
funcionalidades soportadas por la aplicacin, incluyendo los diseos de
pantallas e informes de salida, mensajes y ayudas: idcntificacifl de
mejoras posibles.
2.3. Nivel de satisfaccin con la formacin recibida para el uso de la
aplicacin, utilidad del ".Manual de usuario" y funcionamiento de lot
canales establecidos para la resolucin de k>s problemas que surgen en
el uso del sistema (Lnea caliente?).
1 4 . Nivel del satisfaccin con los tiempos de respuesta de la aplicacin y
con la dotacin de equipos informticos y sus prestaciones.
2-5. Nivel de satisfaccin con la herramienta de usuario para procesar
informacin de la aplicacin, en el caso de disponer de ella. (Caso de ao
estar operativo y haber indicios de su posible conveniencia, el objetivo
podra ser el estudio de la conveniencia o no de su implantacin.)
3. Kmitir opinin sobre la idoneidad del vistema de control de accesos de la
aplicacin
3.1. Evaluar la eficacia y seguridad del Sistema de control de acceso
diseado. (Controles referentes a la identificacin de usuario y palabra
de paso y posibles intentos reiterados de acceso no autorizado.)
www.FreeLibros.me
CAHtl'l O 19 At IMIOHlA Pfc AHICACIOSBS 61
3.2. Analizar si la asignacin de operaciones y funcionalidad; permitidas a
cada uno de los perfiles de usuario diseados responde a criterios de
necesidad para el desempeo del trabajo y segregacin de funciones.
3.3. Comprobar que I asignaciones de perfiles a usuarios icspondcn a los
puestos que ocupan y se evita la asignacin de perfiles a usuarios nicos
en cada centro opera! i so.
4. Verificar H grado de fiabilidad de la informacin
4.1. Revisin de la eficacia de los controles manuales y programados de
entrada, proceso y salida: seguimiento de varias operaciones concretas
identificablcs a lo largo del ciclo completo de tratamiento.
4.2. Comprobacin por muestreo de la exactitud de la informacin
almacenada en los archivos de la aplicacin con respecte a documentos
originales.
4.3. Pruebas de validez y consistencia de dalos de la aplicacin mediante
proceso informtico de la Base de datos real con herramientas de
usuario.
4.4. Pruebas de conciliacin de magnitudes totalizadas en la aplicacin
durante varios perodos de tiempo frente a las disponibles, quiz
tambin a travs de utilizacin de herramientas de usuario, en otros
sistemas con los que mantiene relacin (sistema contabe. almacenes,
compras, etc.).
19.4.3. Planificacin de la auditora
La auditora de una aplicacin informtica, como toda auditora, debe ser objeto
de una planificacin cuidadosa. En este caso es de crucial importancia acertar con el
comento ms adecuado para su realizacin:
- Por una parte no conviene que coincida con el perodo de su implantacin,
especialmente crtico, en que los usuarios no dominan todava la aplicacin y
estn ms agobiados con la tarea diaria. En el perodo xximo a la
implantacin, frecuentemente ve detectan y solucionan pequeiWs fallos en la
aplicacin, situacin que convendra est superada antes de iniciar el proceso
de auditora
www.FreeLibros.me
- Por otra porte el retrato excesivo en el comienzo de la auditora puede alargar
el perodo de exposicin a nosgos superiores que pueden y deben >er
aminorados como resultado de ella.
En nuestra experiencia, se han manejado perodos de entre 4 y 8 meses desde d
inicio de la implantacin en funcin de la magnitud de la aplicacin.
Tambin hay que establecer el mbito de actuacin: tratndose de
organizaciones implantadas en amplias zonas territoriales, ser neceur
delimitar el campo de actuacin de la mayor parle de las pruebas a realizan
un reducido nmero de centros de trabajo. Sin embargo, se ampliar d
mbito. de manera que abarque la representacin ms extensa posible de
usuarios y centro, en aquellas pruebas en que se considere factible, sil
incurrir en un coste desproporcionado (encuestas, procesamiento de
informacin, contactos telefnicos, etc.).
Para la seleccin de ese limitado nmero de centros en los que llevar a cabo d
trabajo de campo, conviene solicitar a la organizacin usuaria que lot
proponga, en base a razones por las que estime puedan aportar mayor valor rf
trabajo: vu participacin como pilotos en el desarrollo del sistema o en
proyectos de innovacin y mejora relacionados con el proceso, haber
experimentado recientes cambios organizativos o en su personal directivo que
puedan implicar riesgos adicionales, la existencia de indicadores de actividad
que se desvien significativamente de la media general, etc.
Debe conseguirse cuanto antes, solicitndolo ya en las primeras tornas de
contacto, las autorizaciones necesarias para que el personal de auditora, que
est previsto participe en el trabajo, pueda acceder a la aplicacin y a las
herramientas de usuario. Se solicitar un perfil de auditor - s i especficamente
se hubiese considerado- o. en otro caso, aquel que ofrezca las mayores
posibilidades de slo consulta: permitir dedicar a su conocimiento, y a
preparar pruebas que puedan precisar mi uso, esos tiempos de parada que
suelen producirse en el desarrollo de otros trabajos que vayan a ejecutarte
durante los meses anteriores al inicio del trabajo de campo de nuestra auditora
de aplicacin.
19.4.4. Trabajo de campo, informe e implantacin de mejoras
En principio las etapas de realizacin del trabajo de campo, de redaccin dd
informe y de consenso del plan de implantacin de mejoras, no ofrecen peculiaridades
de relevancia respecto a otros trabajos de auditora. Es por eso que no vamos a hacer
www.FreeLibros.me
CaHUII-O I Al'DITOtllA Dti AfKCAOOWS 4fc1
nls refere ocia a ellas que algn comentario que la experiencia nos sugiere de validez
p*r* cualquier auditoria.
La etapa de realizacin del trabajo de campo consiste en la ejecucin del
programa de trabajo establecido. Evidentemente, k resultados que se van
obteniendo pueden llevar a ajustar el programa en funcin de dichos
resultados, que pueden aconsejar ampliar la profundidad de algunas pruebas,
acometer otras no previstas y concluir alguna antes de su final.
- Una recomendacin de cara a esta etapa es la de plantearse la mnima
utilizacin de "papeles de trahajo. en el sentido literal, fsico, potenciando
la utilizacin de PCs porttiles como soporte de la informacin de las
muestras con las que se vaya a trabajar y para la recogida de informacin y
resultados de las diferentes pruebas: no es slo cuestin de imagen, sino de
productividad.
Respecto a la etapa de redaccin del informe de la auditora, que recoger las
caractersticas del trabajo realizado y sus conclusiones y recomendaciones o
propuestas de mejora, quiero recoger la inquietud, que compartimos los
integrantes de nuestra direccin de Auditora, por el tiempo que nos est
requiriendo: lo consideramos excesivo, tanto en horas de dedicacin como en
avance del calendario. Son de aplaudir iniciativas como la propuesta en el
articulo "The single page aodit repon", de Francis X. Bossle y Alfred R.
Michcnzi. publicado en la revista Interna! auditor de abril de 1997. que por
nuestra parte estamos dispuestos a experimentar.
En cuanto a la etapa de implantacin de las mejoras identificadas en la
auditora, simplemente quisiera lanzar un reto: la situacin ptima a alcanzar
es conseguir que la organizacin auditada asuma las propuestas de actuacin
para implantar las recomendaciones como objetivos de la organizacin,
iniciativa con la que gratamente nos hemos visto sorprendidos en un reciente
trabajo en nuestra empresa: sta es la mejor seftal de valoracin positiva por
pane de una organizacin a un trabajo de auditora.
19.5. CONCLUSIONES
l a creciente importancia asignada a los sistemas de informacin como ayuda
aotinuble c imprescindible en el desarrollo de los procesos de negocio, aportando no
ya informacin, sino conocimiento -se est demandando- que apoye la correcta toma
de decisiones atribuye esa misma importancia a la auditora d t las aplicaciones
informticas, garantes del correcto cumplimiento de la funcin encomendada a las
m u s . Efectivamente, si la base de la toma de decisiones no es segura, fiable y
confidencial los resultados pueden ser exactamente los contrarios a los pretendidos.
www.FreeLibros.me
464 AllDfnxtlA INtOHMATKA W MtOQlT. fRCTlCO___________________________ U4W
Por otro lado el enorme y continuo avance tecnolgico en este terreno y la
a pertura de lo sistemas al exterior. exlRe un gran esfuerzo de formacin a ta
auditores informticos, que debe ser cuidadosamente planificado, pura poder segur
ofreciendo las garantas mencionadas en un entorno cada vez ms amenazado por
nuevos riesgos. enmAados t n cas mi u n f tecnologas. Tngase en cuenta que lis
amenazas son de tal calibre, que pueden llegar al extremo de poner en peligro la
supervivencia de aquellas empresas que fracasen en el cmpciVo de tener bajo control d
conjunto de la funcin informtica que da soporte a sus sistemas de informacin.
Manuales de Auditora informtica de las empresas de Auditora y Consultora
Metodologta de Auditora AUDINFOR". del Instituto de Auditores 1 memos de
hs parta (incluye programa informtica).
Handbook of EDP Auditing. de Stanley D. Halper. Glem C. Da vis, P. Jarlath ONcd-
Dunnc y PamcU R Pfau (COOPERS & LYBRAND).
Systems auditability & control, compilado por: The Institutc of Intemal Auditor*. lie.
Researcbed by: Stanford Research Institute.
1. Qu fines persigue una aplicacin informtica?
2. Enumere las principales amenazas que pueden impedir a las aplicaciones
informticas cumplir sus objetivos.
3. Qu es una pista de auditora"?
4. Explique en qu ocasiones utilizara la tcnica de encuesta frente a U de
entrevista.
5. Cundo se deben llevar a cabo pruebas de conformidad? Y pejehs
substantivas?
www.FreeLibros.me
CAPfTVIOW AID!* Ufc AHKACTONKt **5
6. Valore la importancia del manual de amao p a n la auditora de
aplicaciones.
7. Qu aspecto* se deben considerar en la preparacin del plan de trabajo
detallado?
8. Proponga tcnicas para medir el nivel de satisfaccin del usuario con el
modo de operar de las aplicaciones.
9. Cmo verificara el grado de fiabilidad de la informacin tratada por una
aplicacin?
10. Cree conveniente que el auditor tenga autorizacin para actualizar datos de
las aplicaciones que esti auditando?
www.FreeLibros.me
CAPTULO 20
AUDITORA INFORMTICA DE EIS/DSS
Y APLICACIONES DE SIMULACIN
Manuel Palao Gama-Suelto
b i e captulo versa sobre la Auditora Informtica (Al) de lo "Ezecuttve Informa-
bcn Syuemx/Deeision Support Systems y las Aplicaciones de Simulacin.
Aunque se trata de aplicaciones informticas cuantitativamente minoritarias, su
nto creciente, su importancia relativa y otras caractersticas las hacen particularmente
iKercsantes para el auditor informtico.
20.1. PROPSITO Y ENFOQUE
El objetivo de csJc capitulo es presen lar este tipo de paquetes y aplicaciones
tefalando sus caractersticas diferenciales respecio de la mayora de las aplicaciones
informticas de gestin, y realizar unas reflexiones y recomendaciones de Auditora
hfcrmtka (Al) especficas para esas caractersticas diferenciales.
Por razones de deferencia hacia el lector y del espacio disponible, se ha optado
per un enfoque genrico (sin abundar en tcnicas o paquetes comerciales concretos,
pe ejemplo) y por excepcin (sin cubrir en detalle temas y tcnicas ms generales ya
cubiertos en otros captulos).
En todos los casos, supondremos que se trata de implantaciones de paquetes y no
de desarrollos a medida (que difcilmente estaran justificados).
'Ulan S.ttWm'. Snirn * Inhcnus-W* * U Direccin: en aktarer SI DI MSI I
-Ptfiutm SmpfK-Hi Syttemi", SnMnut di Ayub a U IVoute: en adelante SAO(DSS|
www.FreeLibros.me
4W AllDrrORU INFORMATICA: tNENKXyife
20.2. DESARROLLO DE LAS DEFINICIONES OPERATIVAS
DE LOS CONCEPTOS CLAVE
-Ov tres conceptos introducidos al principio del capitulo exigen ciertas prccisknc*
para poner en perspectiva el planteamiento de este capitulo.
20.2.1. Auditora Informtica
Sin perjuicio del ms amplio y detallado planteamiento que sobre Al se hace i la
Parte I de este libro, deseo destacar aqu dos caractersticas importantes de la mi>ra: i)
la amplitud y variabilidad del concepto, misin, objetivos detallados y tora
organizativa* de la AI; y ii) su nula o baja regulacin oficial.
20.2.1.1. Amplitud y variabilidad del concepto de Al
Si se acepta como definicin operativo amplia de Auditoria Informtica:
a) Una actividad profesional de investigacin, evaluacin, dictamen y
recomendaciones...
b) centrada en la informtica como actividad o fin en s misma...
c) como instrumento al serv icio de otras funciones ms o menos dependitnus de
ella...
d) o en ambos aspectos...
e) con el fin de enjuiciar si ayudar (auditores... consultores) a que...
0 la organizacin y su funcionamiento sean conformes (Control Interno) con lo
dispuesto... (estructuras polticas, procedimientos...
g) por quien tiene poder legitimo para disponerlo (los "due/los" (interesados o
smktholders]: Consejo. Presidente Director General. Administrar
Pblica...
quedar manifiesta la amplitud y variabilidad seflaluda.
20.2.1.2. Nula o baja regulacin oficial de la Al
La sariabilidad de concepciones sobre lo que es la Al. su relativa juventud, una
insuficiente apreciacin de su importancia y otros intereses en juego han limitado o
frenado dicha regulacin (diversa, segn pafses y sectores -estos ltimos, tratados a
la Pane III de este libro-).
www.FreeLibros.me
CAffU-XO a>. AtlWTOKlA IMORMUCA PE HSSiPSS YAIUACIOXK- M
Ante c u falta de regulacin, las asociaciones profesionales, y en esie caso -de
oodo destacado- ISACA (Information Systems Audit and Control Aisociation) han
propuesto normas y cdigos de buena prctica de uso voluntario, entre los que cabe
destacar CobiT. A este conjunto de documentos (an en evolucin ruando escribo
oto) me remitir, ms adelante, como norma de aplicacin.
20.2.2. SID[E/S] / SAO[DSS]
Los Sistemas de Informacin a la Direccin -SID|YS|- y los Sistemas de Ayuda
a U Decisin -SAD[/JSS}- han venido suponiendo en la historia de la Informtica de
Gestin un Santo Grial" o "manto de Penlope": un anhelo an no suficientemente
realizado.
Los SID[/5] y los SADfOSS) han sido, casi desde que se acuaron los trminos,
ccopafteros de viaje, aunque su tecnologa, grado de evolucin y nivel 4c uso no sean
prejos.
20.2.2.1. Antecedentes de los SIDfEISI
Las prestaciones tipiis de U Informtica de Gestin a lo largo d: sus diversos
idicn evolutivos: InformatiMcin Administrativa (Nminas y Contabilidad) en la
fcada de los sesenta: Sistemas de Informacin en los setenta, etc., no lun podido o no
haa sabido aportar al Directivo la informacin adecuada (oportunidad, actualidad,
nd de agregacin, ele.) que requera.
Ya en la dcada de los setenta comenz' la moda del MIS ("Management
hfomaiivn System". Sistema de Informacin de Gestin), que an da nombre a mis
e un de pan amento informtico. Dicha moda supuso buenas aportacunes tericas y
picas. pero muchas ms operaciones de oportunismo en mercadotecnia4 a su
mpacto en la informacin de direccin fue limitado.
www.FreeLibros.me
20.2.2.2. Aparicin de los SIDJE/S)
A mediados de los artos chenla comenzaron a proliferar paquetes. apljcaacoei j
textos de SID[EIS\. con planteamiento vanados, muchos de los cuales no la
quedado retenidos en las actuales tendencias. Entre esos planteamientos, uno -cay* .
ira/as permanecen- es el de tajar de rango al MIS. que devendra una herramicro -
pura mandos medios, dejando espacio por arriba para el ms noble SID|E/S|\
4 AtOTIORlA INFORMTICA: UN PJOQl'B WttUCO___________________________H a 1
20.2.2.3. l.os actuales Sll)[A7.S|
En los ltimos sitos, los SID(/S] parecen haberse estabilizado en su enfoque y
funcionalidades, como esquematiza el cuadro siguiente, y que se resume en: pie
accesibilidad y fcil uso.
Esta facilidad de uso ha conducido a una utilizacin ahemathxi de los SID(/.St
su utilizacin como un siMcma general de informacin "para todos.6
Tabla 20.1. Caractersticas usuales de los actuales SIDfElSJ
Ttertaz Grfica | Iconos. irtuitiso. (tfctil. men dinmicos con cambio *ta-
activos, hipcrlcxlo. kipemiedio.
personal i/abte.
"Qery" sencillo. "tala drivea
Por jerarquas anidadas. ' drill-dohw*.
Deteccin de detsuctone
Hntomo ofimtico
Herramienta
Bases de Dato Corporativas. Crectet
directamente a la BD Corporalit (por ejemplo, f
OLAPj en hijar de hacer rplicas o extracto "locata*.
Informacin H l t n u Informacin cualitativa.7
Tupia (vdimcnuonalf ipar-idictru Ol-AP. ROtAP) __
Predefinidas > personali/able.
InixmjciiVi hi0rica y de conlexio.
Semforo.
Mlododcjfcsirrolio
Programacin
I Usualmeitte. prototipos evolutivos.
] Grfica irteraciiva. por mens. grneracio automtica dt
I cdigo de alio nivel (estructurado) propietario, ediuble. I
' JOIINW. pp. 330-331.
S* h KulUa el juego de piUns I:IS EurnM/l înnin' Surrm Snunt k
Informvion jura Todo Ver C*v> CIGNA Corpetti en CURTO*, p 25.
' l . m wlcmu <3e lorauK.-K'in. genculmeete. vMo san dalos unliutistn. <rr*S> -ifurrcn
en la estructura de ccoirol c la egresa. espeviTh-aamc fura el uto por ese xenu." CVRT95*. f. 21
www.FreeLibros.me
CAPfniLO Xt AUDITORAINHlKMAtKA t >KVPM Y APUTACIONES 471
Ejemplos de paquetes con e s t funcionalidades pueden ser: HOLOS.
COMMANDER. Pll.OT. DSS de MicroSrategy.
20.2.2.4. Antecedentes de los SAD (/J.S'.S)
La decisin es la Urea por antonomasia de la persona* y en un contexto
empresarial moderno- del ejecutivo.
Los sistemas le ayuda a la decisin son tan antiguos como la Himanidadv: los
racionales y eficientes, bastante mis modernos <y an poco aplicados) ,
En todo caso, los ejecutivos toman decisiones continuamente" de forma poco
estructurada. A m me parecen particularmente interesantes dos aspectos: la baja
nubili dad (a los datos, modelos, nuooes y documentos), y la baja/nula
potabilidad (exigencia de responsabilidad por la decisin concreta) drecu.
20-2.2.5. Aparicin de los SAD|O.S.S)
Los SADf/J.U'| ton. tambin, tan antiguos como la Informitica.
20-2-2.6.1.os actuales S A I * . )
Los actuales SAD(/>SS1 comparten una serie de caractersticas que se resumen en
b guente tabla.
*En cuanto' libre" que *c enfrenta a cfcican.
*1j Prospectiva KtenUtKK U islrulufu. kn fc.uk*. U quiromancia. y sus cVmn numcrcnum
tan (muchas r las coale* han llegado a r*esiros dfasl.*i m u n a 40 000 arto* 1. C (Bntanntca. 15
t IV: (tune lelhnj") En nmgdn ciw se tu probado w valor predKtivo o de ayjda a I* decisWw
acKul. y ra c*w Kxi kan dejado evidencia . al mac*. un "tetiDa" inequvoco de enir a nteres
* u> adwmstracetx
" la tllunut iMcadas se la drwotUAj un lorawdable aui>|ue. en general, incoKluyenle y
atruvanrctt tevVKX- cuergo de cw raernos psicolgicos. socules y escmmios bre a tema de
La 'te* de la dcciun" (es Kstaditfica) persigue b solucin ptima aprtii de na ene
* ettaios Mecales. unos estados finales posMes y un conjunto de evpenmecbvs ditpoaiMft El
>v*4cu de la decisin" (en MalerrdlKas) busca u algonenw o rewxivwlad que K una respuesta
*4ut.->a (Britamica. ISed.lll. pp 424. u).
" ' estructurada. muki-dunmwxuiet. ad Hor. e mpradeoNe* .* CURTWa. p 2J.
www.FreeLibros.me
Tabla 20.2. Caractersticas de los actuales SADDSS/
Herramientas C alculadora
Estadstica descriptiva grfica t riattiva
Series Temporale*
Modelos
Anlisis tendencias. Bsqueda automtica del
mejor ajuste
Paramftrico
No Pnxcdimentales
Ajustes automticos
Leus uajes de 4* Generacin
-What i r Anlisi sensibilidad
-Goal ScetinfT Bsqueda de objetivos (normalmente con
en un intervalo).
I .'lujlmettt. una "opcin" de un S1DIEISI1
Cnectividad Soporte ofimtico C'dccisiooe* inmediatas!
20.2.3. Aplicaciones de Simulacin
Desde Io inicios de la Informtica. sta ve ha usado en variadas aplicacioncs de
simulacin.
20.2.3.1. Aplicaciones de Simulacin
La irrupcin de la Investigacin Operativa en la gestin en kw aos cincuenta dio
lugar en los sesenta a una irrupcin (limitada al reducido mbito de las empresas
suficientemente "culturi/adax") de aplicaciones y paquetes de simulacin11,
fundamentalmente de teora de colas.
20.2J.2. Aplicaciones de Gestin y Aplicaciones Tcnicas
Aqu me ceilir a las aplicacioncs "de gestin" para ayuda a la toma de dccisiooes
DAS(DSS). aunque es evidente que la frontera est desdibujada, pues -salvo en casos
de ciencia pura- las simulaciones tcnicas" sirven o pueden servir para loma de
decisiones de gestin", en muchos casos de gran transcendencia econmica.
Las aplicacioncs de gestin" - a su vez- sirven a dos grandes propsitos: i) la
planificacin o diserto; y ii) la optimizacin o reingeniera.
GPSS. Central Parpse Syittm. lodivfa cuoenie. e* uno de tlk
www.FreeLibros.me
captulo a> Atono i a i nkxmatka ot msvpss y apix'aciomj
Fu el primer caso, se trata de disertar o planificar una realidad an inexistente (es
I caso de inversiones en infraestructura o en planta). En este caso, los grados de
libertad al desarrollar el modelo son mximos (se pueden cambiar la "ctructura" y sus
"reglas"; los riesgos de error asociados, tambin, al no existir posibilidad de
contrastacin emprica directa (comparar el funcionamiento del modelocon la realidad
que modeli/a).
En el segundo caso, la infraestructura ya existe, se trata de mejorar-mis o menos
Aclmente- su funcionamiento. En este caso, los grados de libertad - y los riesgos
ociados- son menores: la estructura" es i n a m o v i b l e ' s e pueden explorar reglas
alternativas; caben ciertos contrastes empricos.
20.2-3.3. Tcnicas de modeluacin y simulacin por computador
Hay una gran variedad de tcnicas de simulacin combinables con la variedad de
lenguajes en que se pueden impkmentar.
Las aplicaciones de simulacin se programan, todava mis frtcucitcmcntc de lo
deseable, en FORTRAN o en BASIC, con una introduccin progresiva de lenguajes
ms modernos.
Entre los paquetes, aparte de una plyade de paquetes para fires especficos
-desde gestin de tesorera a distribucin en planta de grandes superficies, pasando,
por ejemplo, por optimizadores del proceso de produccin de cerveza-, hay tambin
tea gran variedad de paquetes de propsito general (horizontales, no especficos de
a funcin o sector): entre stos, por citar dos1* tipos importantes, cstin los de
anulacin esttica y los de simulacin dinmica: y los deterministas y los
cstocscos. La tendencia (no justificable en este espacio) es hacia los dinmicos,
estocsticos c interactivos, y con una excelente interfaz grfica (GUI). Entre stos se
pueden citar: Arena. Taylor II, y WITNESS1'. Todos ellos se caracterizan (en mayor o
menor grado) por una orientacin a objetos, una fcil programacin grfica, por
men*. y por cdigo de alto nivel (generado automticamente). Su potencia,
fletiblidad y facilidad <tr uso varan al igual que sus facilidades de "nrumentacin
Mema".
Los SID y los SAE se presentan frecuentemente juntos, como se ha dicho, por
tazones funcionales y comerciales, aunque estrictamente- pueden tratarse de modo
independiente. En la figura de la pgina siguiente, se muestran conjuntamente.
www.FreeLibros.me
*U AUXtOKlA INfOHMTICA UN t.NtOQt'F PKACHC1)
A partir de un Banco de Dalos Corporativo |1) se obtienen directamente (o
indirectamente [2|. mediante una Base de Dato* local) vistas (31. Ambo*
enfoques tienen ventajas e inconvenientes: el ataque directo a la Base de Ruca
Corporativa tiene la ventaja del acceso a la totalidad actualizada y el inconveniente
de la mayor concurrencia, tiempo de respuesta y complejidad (cuando, de hecho, d
nivel desagregado rara vez interesa al ejecutivo); el uso de una base de datos privada o
local para el SID reduce y resume la informacin y plantea el problema de los crcrioi
y filtros de extraccin y el del ciclo de refresco (que. en la mayora de los sectores, no
es crtico). I-a tendencia es el ataque directo a la Base de Dalos Corporativa
Las "vistas (3) son la frontera entre los SID y los SAE: dependen del upo de
herramientas que se les apliquen: si no hay ninguna o son sencillas, nos qudame co
el SIO. si son ms complejas, posamos al SAD (4). Si se aplican paquetes de
simulacin [S] que rebasan las herramientas propias del SAD, estamos en una
situacin de SAD. pero usando otras herramientas y -cventualmente- otras fuentes de
dalos [6].
20.3. SINGULARIDADES DE LA Al DE LOS SID[E/S],
SAD [DSS] Y SIMULACIN
Sobre Al de los SID(fc751 se encuentra una cierta cantidad de documentacin; do
as sobre SAD //>S.S/ y Simulacin. Sin embargo, parece que debera preocupar a is
este ltimo grupo de aplicaciones, debido -sobre iodo- a la materiadair o
importancia relativa de las decisiones que entren frecuentemente en juego.
www.FreeLibros.me
20.3.1. Al de los SID[EIS]
Por lo que respecta a la Al de los SID|/5|. las tablas 20.3 y 20.4 resumen los
principales riesgos de control general y de aplicacin'*.
Tabla 20.3. Riesgot de Control General
Se puede acceder a datos ylo manipularlos va el SGBD (tamo mi si hay

2 ncikmn: BD Corporativa y BD local) u otra utilidades
Probablemente hay dalos en PCs y tap<opv entornos poco seguros.
Puede tratarse de informacin muy temible. sobre lodo si lleva asociado
informes, memorandos y mensajes.
Las facilidades de extraccin de informacin facilitan el robo.
I Lo procedimientos normales de control de lelecomunicanoncs no o
aplicables
Logical" ILa arquitectura de stema abierto liene mis debilidades de control. I
El Desarrollo Riptdo puede suponer fall de anilisu o diserto
La gestin y control de accesos e compleja.
1.a programacin de usuario final es difcil de controlar.
Matinal
1.0 equipos y datos distribuidos dificultan la gestin de copias de
I.O planes de contingencia pueden no ctahnr o no cubrir suficientemente
loa PC s
Personal y
proced mienten
Ixm directivo* pueden resistirse en la prlctica a procedimientos de
seguridad y control.
---------------------
FJ control sobre dalos cualitativos es mis difcil de implementar.
Los propietarios de dalo pueden decidir comunicarlo un que *e hayan
res nado suficientemente
I
A efecto de AL lo auditores deben tener una alta cualificacin: el u*o de
herramientas CAAT" ser difcil: iodo ello encarecer! la auditoria
*Ampiamente huidniCURTMh PT JO-JI.
" Sopen* Lgico"
CAAT. C/imfmUr AiUirJ iUM Tool Ion TVvfcinp-! Iknm>cnu (o Tcnica) t Auditoria
Ambii per Compabdcr.
www.FreeLibros.me
Tabla 20.4. Riesgos de Control de Aplicarn
4? aumivhiIa iNKmMiK A un KMSxjtt. r a A c n c o __________
- T: v.... ' - M
Entrad Depende ocia 1c fuente muy dnpersav
Carencia Je controle normalizado obre fuente? externas.
Dificultad de controlar dato cualitativo.
Presin para introduccin de dato urgente, ante de >u rcvuio.
Accco no autorizado gracia a la interfaz fcil de usar.
Gestin de accesos compleja.
PTOCCSOS Rutinas de proceso complejas.
En el caso de herramientas estadsticas y de simulacin, el algoritmo, m
limitaciones, su aplicabilidad y u documentacai pueden ser uudecaaJa
o insuficiente*
l-a modificacin continua del logical puede inhibir controle *
mantenimiento y gestin de la configuracin
Carencia de procesos estructurados de desarrollo.
Sallis Se pueden enviar salid va e mail a destinatario! no autorizados.
La exactitud de las salida grfica es m difcil e serificar.
Tabla 20.5. Consideraciones sobre la Auditora deSID/FAS/'*
Controle de
Desarrollo
El liderazgo y la participacin comprometida de la Aka Direccin son cruj
1. El SID(7S pueaica a lo mando medios, que (crin hostiles
El directivo responsable del proyecto debe tener el ril. el poder, el tiempo y
el propsito de que el sistema te adapte a las necesidades de la organi/aota y
est claramente enlazado con su objetit'os de negocb.
R Al (Wn* peulirifur d n f el esltufco A* iuKIkH
El SID[/S] et declinado a la toma (asistida por SAD(055|. o no) dr
decicmei eifrar/jriou F.no muestra una ituacin de altsimo riesgo para d
Al.
Principales fac ore crtico de xito: gestin le pnblema de dalo, gn&a
de resistencia organizativa, gestin del mbito y la evolucin
Dato El mbito de anlisis de la Al no debe limitarse al SID|C/5). sino que drt*
abarcar la totalidad de los Sistemas de Infamacin que directa
indirectamente inleractra con l o le aporten dalo.
" Extractado de CVR9$. y adaptado
www.FreeLibros.me
CArtitu) auditora imokxUtka db mss/pss v amjcaoom.v a
Tabla 20.5. Consideraciones sobre la Auditora de SID/EISII (Continuacin)
1j auditoria de un SID|/) debera comen/ar antes de que los dates lleguen a
estar en el mi no.
t i aumento de riesgo (por el riesgo estratgico del SID(/5] debe llevar a
revisar los objetivos, controles, lamartos de muestra, etc. de las spinacione* de
ori ten.
Particular atencin debe prestane a la revHio de los procedimientos de control
interno de entradas y procesos; documentacin de programas, listados de
Trlecotnuni- El entorno puede ser internacional. con diserai redes LAN. WAN. Ultra e
Imerfaz de
Uwuno
La facilidad y sencillez de uto son crticas El Al debe evaluar: la calidad de U
interfaz de usuano. la nasegabtlidad. la facilidad de informes a medida, la
flexibilidad y calidad de lo* grfico, la facilidad de uso de las herramienta* de
anlists. y la facilidad de acceder a datos estemo, integrar dato* en Hornos
ofimiticos v producir salidas por fa* y e-mail.
Coaesde ~
Desarrollo
HI Al debe asegurarte de qoc -desde el inicio- (para minimizar lo cambios
posteriores) el sistema satisface en contenidos y procedimientos las necesidades
Debe disertarse el sistema ms simple posible que utisfaga en contenidos y
procedimientos las necesidades reales de los ejecutivos usuarios. El mtodo de
desarrollo ser normalmente por prototipos mo&irhvu. cuyo control de costes
puede ser ms difcil. La justificacin dd gasto es intangible.
Segundad^ FJ mas or nesgo es el de filtracin de informacin estratgica.
La posibilidad de errores o de manipulaciones puede tener consecuencias muy 1
IX-ben extremarse los controles de: autentificacsn de accesos, autori acin di 1
accesos a informacin sensible, registros de accesos y tekcoenunic aciones. |
registros de modificaciones, cifra' segundad fsica (manipulacin, robo) de
equipos, es nacin de copias en disqucie. proteccin antivus. proteccin fsica
y lgica de las comunicaciones, seguridad del sistema operativo, de la red y del
{estoe de bases de dalos
^'anos (de Asegurar que no se falla en la identificacin de informacin relevante.
Asegurar que no se falla en la interpretacin del significado y valor de esa
____
Asegurar que no se falla en la comunicacin de informacin a cn decivxes clase.
La Tabla 20.6 propone una seleccin''1 de objetivos de control extractados <lc
COBtT 96. Se centra ms en controles generales" que en controles de aplicacin".
Pretende servir de complemento a las presentada* ms arriba.
^'Eciipwio'.
;i tua seleccin es <kl autor Sel ciprtuloi NO de ConiT. U tradvcon *1 castellano de los objetivo*
le ccMrol NO ha do homologad.
www.FreeLibros.me
T AtTHWmlA IMOKMUItA t X IVHKJt.'F ACUCO
TtMtt 20.6. Principales Objetivos de Control (COBIT 96) a considerar en A l de SAI)
(DSS) y Simulacin
Objetis-o de Control
jro 9.2
"La calidad de la evaluacin de ries
go* debe asegurarse coa un mttodo
estructurado y con asesore* obre
nesgo que eln cualificado "
Arduo
problema
Evaluar Riesgo
9.6
El enfoque de la evaluacin de
riesgo* debe asegurar la aceptacin
formal del riesgo residual, segn la
identificacin y medida del nesgo. la
poMtica organizativa, la mcertidum-
bre incorporada al peopto enfoque de
evaluacin del nesgo. y el ccme-
eftcacia de implantar salvaguardas y
control El nesgo residual debe com
pensarse con una adecuada oibenura
i 11.10 Relaciones con el subcomratita.
POIO
Proyectos
i 11.11
Norma de documentacin de pro-
POII
Gestionar U
Calidad
1
Ver comentano
a DS2.
All
Identificar
soluciones
AI2
Adquirir y
Mantener
Lopcalde
Aplicacin
f 2.11
Con-
trola
biladad
incluyendo "controles de
aplicaciones que garanticen la
exactitud, complitud. oportunidad y
autorizacin de entradas y salidas.
Debiera hacerse una evaluacin de
sensibilidad..."
"... Integrar en el diserto, tan
preco/meole como se pueda, los
concepto* de seguridad."
Una pune subs
tancial iic ce
upo de aplica
ciones son de
desarrollo de
protctfipcn y de
"informtica de
usuario firul".
donde es difcil
aplicar lo* ob
jetivo de
control clisacot
e incluso dudo-
so s debe ha
cerse. "
Orbe la Infcenstnc* de Usuario Final n a u i m w (a efecto de Al), o debe mt Ne* emendcne
cumo ejercicio dncrecional dH profesional o ejecutno. judiuMe pue ceras vi? las hctrxraeittas c
uswr fiful u escluiMcs -<n na opinin de la audcceia mfcrminca. salvo en lo cifcclos de
hoenologacrf* de tos pcvslucto. y cencirnckkrin de irannm. servicio de incidencia fVe-
WX copu de segundad. c<n>l de licencia y actualizacin de inunno
www.FreeLibros.me
o*____________caWi'mi aiixioxIainiokmaucat i t y a u k a c kinks . ax
Objetive 6* CootraJ <k
A * , M I
DS
Galln del
Fuaconancto y
Capacidad
3 4
Modell?.:ii del funcionamiento y
capacidad de lo servicios de infor
nuon
p.sta ev la nica
cila directa a
modeliuKtn -
Mmulacio que
he identificado
en O i r
DS7
0SI1
Fix nur ) Entrenar
a kn Usuano
Connennacin
en las peculu-
rKUVv -en
cuanto a n o-
go- dees*
aflese tonev.
Gestin de Dato
1 I M
Pista o T n / de Auditoria
Augurar que
ododocu-
memo impreso
o exportado
lese idcntii-
i 11.15
Keviu6n de Salid y Geuin de
autor, vista".
*e*in. senan.
y -por defecto
indicacin de
-BomSoT
us:
Gestin dc
Servicios por
Tercero
Los SAD y k*s
tralelos de Si-
mutiate ton
frccucmcmcnie
subcencraladota
empresas es
pecializada. h>-
hre /ai . 01*1 y
cayos contratos
debe r?rrccrsc
vigilancia. Des
graciadamente.
conCotfTha
lo de atemore
sersionesdckn
Control Otyn
litro) la visin
de oalooro
ceiMicante de
m:
Obtencin de
(oranti
www.FreeLibros.me
20.3.2. Al de los SAD [DSS] y Simulacin
La principal singularidad de este tipo de aplicaciones es que se traa de
"aplicaciones" muy caracterstica de usuario final"2' o de subcontratacin de
consultara especializada. Cualquier uso de herramientas estadsticas o de rimulacia
por personas sin una considerable especializacin es probablemente temerario .
Las condiciones en que se desarrollan los grandes modelos" (los que susientin
las grandes decisiones), son. con frecuencia, el contrapunto de lo deseable desde
punto de vista de AI: encargados por altos directivos que se enfrentan a unas
disyuntivas, que suponen un caso singular y puntual, bajo presin poltica o
econmica, con premura y escasez de tiempo, con datos a menudo escasos y px
validados, con una comprensin limitada de los puntos fuertes y dbiles y de ka
condicionan les de la modelizacin. aceptando la modelizacin como solucin, pero t
podiendo conceder tiempo o prestar atencin a anlisis de sensibilidad y i
"replicacionex .
Las solicitaciones al Al llegan en este caso al lmite. Los enfoques y tcnicas
aplicables deben ingerirse de lo anteriormente discutido (para la Al en general, y pan
los SAD | /)55] ms concretamente). Pueden explotarse enfoques como el del dcMe
clculo independiente que se usa en ingenieras nucleares y otras, evaluaciones
indirectas basadas en la documentacin y irazabitidad (generalmente pobres, por las
prisas) de k modelos y experimentos, y -finalmente- en controles generales" (qae
son. relativamente, los ms dbiles: pero, en ltima instancia los ms slidos):
formacin y concicnciacin del usuario, controles de subcontratacin. etc.
Segn Mike O. Villegas, de Arthur Andersen. en su modelo* de 7 capas [p. 24] de
Gestin de Riesgos, los mayores riesgos estn en las capas de Aplicacin y de Proceso
| p 25J. que son las especficas de los "controle* de aplicacin", esto es -segn mi
interpretacin, y usando terminologa clsica- en los controles especficos y no en:
los generales".
En todo caso, la mejor estrategia de Al es aplicar consistentemente C"08lT%.
aceptando el hecho de que algunos entornos tecnolgicos especiales pueden requerir
una cobertura independiente de objetivos de control" .
51 Que. en oxot ciun, no o occnulmnue im dtfwtito. uno uiu ptncai o o equipo e w (atuxc
14IVmeve por ejemplo, en a u hmanuenu DSS un iclKimcnle tutipl y tMnaliMfa con ud
97 de MKTtnofl. Motswsc el lo;loe no pccittnu en etladhoca en conuriui ti men HenunKM-
(ComplemtnioO AiUlim de Dalm-An*lmt de Foartr. o -tti A>ud -udhCKa. p rtkKi
tkwkwT
s ~Reploooe" >cpc(Kia de espeorntulos i modelos enocOKOt (Pl*06. p 98)
DHAL96
O0MT96. Eteevtnt Oiminr, p 17.
www.FreeLibros.me
CA>fHTOa>.AllPfro<tlMVK)ftMAlXrAPIiS&PYAItJCAOOS'K- 4SI
No debe desdearse el recurso a grandes indicadores y cuadres externos",
aplicado por personas con experiencia; ni el uso de systems-walk-tlirus.
Puede tambin desempear aqu un importante papel el CSA Control
SelfAsscssmenr* - Autoevaluacin del Control- mtodo an insuficientemente
normalizado, con un enfoque de "gestin de salud primara y preventiva",
"... coherente con los conceptos de Calidad Total" |p. 30). suplemento y no
bstituto [p. 4] de la auditora convencional, cada vez ms popular desde "mediados
de la dcada de los ochenta (p. 20], por el que el personal, a todos los niveles, en
todas las funciones, lo constituyen los Analistas Informadores de Control Primarios"
20.4. CONCLUSIONES
La AI de SIDIE/S] y SADfDSSI y Sistemas de Simulacin entraa dificultades
Kmite (sobre todo, en el caso de los ltimos); la "importancia relativa" puede ser
enorme, agravada por la baja estructuracin/documentacin de procedimientos. Ln*
procedimientos clsicos y las normas disponibles (COBIT96) son insuficientes, pero el
cema c a ah. y cada vez ser ms frecuente. El Al debe recomendar al mximo
controles generales y controles de aplicacin (de las que alimentan de datos a estos
sistemas), extremar el uso de tcnicas indirectas (indicadores externos, syutmt-
Hiiltjhrus), y recurrir a tcnicas (CSA) alineadas con la Calidad Total.
COBIT96. ISACA. Control Objettiwi f o r Information and Related Technology.
1SACA. Illinois. EE.UU. 1996.
CUR+95. Curl. Steven y Gallegos. Frcdcrck. Audit Considerations f o r EIS. IS
Audit Control Journal. Illinois. EE.UU. Vol. II. 1995. pp. 36 y ss.
1. Definicin operativa amplia de Auditora Informtica.
2. Resuma la evolucin de los SID.
3. Principales caractersticas de los SID actuales.
www.FreeLibros.me
t i : Al'IWTOHU INKIHMIICV UN ENFOQUE WtCTKO
4. Qu diferencias destacara entre un SID y un SAD?
5. Riesgos de coniml general de las SID.
6. Cules noc k principal med de control de aplicacin de k SID?
7. Objetivos de control de la auditora i
simulacin.
8. Qu es la autoevaluacin del control?
9. Por qu resulta tan importante la auditora de los SAD. SID y de I
aplicaciones de simulacin?
10. Elabore listas de control para auditar algn sistema que conozca para d
desarrollo de aplicaciones de simulacin.
www.FreeLibros.me
CAPTULO 21
AUDITORA JURDICA
I)E ENTORNOS INFORMTICOS
Joitp Jovtr i Padr
21.1. INTRODUCCIN
La Auditora Jurdica forma parte fundamental de la Auditora Informtica.
Su objeto es comprobar que la utilizacin de la Informtica se ajusta a la legislacin
vigente. A slo ttulo de ejemplo, citaremos normativa como la Ley Orgnica de
Regulacin del Tratamiento Automatizado de Dalos de Carcter Personal (I.OPD)1y
la Ley de Propiedad Intelectual'... que. entre otras', esi presente en tal comprobacin
Superar el test de la legalidad implica la existencia adecuada a Derecho de las bases de
taos. de los programas y. en definitiva, de la estructura informtica de la organizacin
que se somete a examen.
La Auditora Jurdica es esencialmente importante para evitar posibles
reclamaciones de cualquier clase contra el sujeto a auditar. Por ello, el trabajo del
wditor es la medida preventiva idnea contra sanciones en el orden administrativo o
1 Le) Orginica I W . ile Proteccin de Dafcn de Carcter FVrvxul
1 Ley l<W de ft.<*por*;io de la Directiva 91/250CEE. de U de mayo de 1991. vibre la
fntKeWtajurt&ca de lo peojrjmi de cwnpvtadnr IBOC de 24 de d<iea>bce de 1993)
' Eair n i ccw. M i de lu espocifkameMe telenda a b malena. exide* cera <jeea pesa
ie enar dedicada* a otra nulrrav aborda el tema dcvJe alguno de t aifectm A(. b Ley de
hxtttnSn luUci y Modificaos del Cdigo Cisl y de la Ley de EajuiciinMcnto Civil (LO de 15de
eaetode 1996 rm 1/1996. BOt 17 de enero de 1996*
www.FreeLibros.me
4M AlilHltHtlA tMUHMATK A l..Nt NHXE t IUCTKT)
incluso penal, asi como indemniz/iciones en el orden civil por daos y perjuicios a lev
afectados, y ello lo referimos tanto a las Administraciones Pblicas como a tai
empresas privadas.
Con el examen jurdico-tcnico se pretende conseguir una gestin ms eficaz At
dichas bases de datos y programas. Uno de los primeros objetivos para cualquier
organizacin, en esta rea, es evitar costes econmicos en forma de sanciones o
indemnizaciones por negligencias que se podran haber prevenido de fcil modo y. ex
combinacin con las otras facetas de la Auditoria Informtica, lograr el descubri
miento de irregularidades en el contenido o en el uso de los programas o de la infor
macin tratada. Estas irregularidades afectan no slo al normal funcionamiento t
las empresas auditadas, sino especialmente a las "fugas~ de esa informacin. Todo
ello influye, no cabe duda, en la Cuenta de Prdidas y Ganancias.
Adentrndonos en el campo del Derecho Penal, y siguiendo a Emilio del Peto',
cabe sealar que la auditoria informtica, en sus diferentes modalidades, puede uni r
para prevenir el llamado delito informtico, detecta rpidamente el acto delictivo
caso de que se produzca y facilita la prueba del mismo, en su caso. Las revisiones en
que consisten las amblaras informticas, ya sean peridicas o continuas, iuuhk
beneficiosos efectos de cara a la prevencin de una posible actuacin delictiva. El
simple conocimiento, por parte deI personal de una empresa, de que existe este tipo de
auditoria evita ya. muchas \eces. a comisin del delito ante la posibilidad de ter
fcilmente descubierto. Cuando existe la auditora continua, el empleo de las tcnicas
auditoras informticas permite, en gran nmero de casos, descubrir los fraudes
cometidos y facilitar la prueba del delito cometido con la ventaja de la inme-
diatividad. Como consecuencia de todo ello, podemos llegar a a conclusin de que la
auditoria informtica, y dentro de la misma, la estrictamente jurdica, cumple m
funcin de tipo preventivo imprescindible en relacin con el delito informtico.
En base a los aspectos reseados sucintamente hasta ahora, podemos ofrecer
una primera definicin de la auditoria jurdica dentro de la auditora informtica.
Aqulla es la revisin independiente del uso del material, de la informacin y de ua
manipuladores desde a perspectiva de la normativa legal (civil, penal, laboral...).
* En rtUrin ero a i i&Jewnumfa [<x dito* y perjukk. co ooctyto de retpxuJbtbd] pceb
iniofmKK'fl mwipulnb. Il LORIAD le ibn definiti aearMe la paoli. u bien 6 U yi jpvrvu
nltntmu en tu I xlnlu 1902 ile) CiStlipi (nil. lo inkulo* n (ruteni At i(MiulnliU
v ootric tu il del muro OJdijo. li Lcy Orf Muri 1/1982 de 5 di ntayo di Pnxoron civil del deferto d
hcaoe. i U intittudid ptn<l y furali y i li pcopu nafta y. U retpotrabilidid de In
Admiimtrx'unn. PCfcKi* refuUii ea il Ley 30V2. en m oso.
' DEL l'tSO NAVARRO. hi W l torto <m. meJ*, dt pretvwto fitmu f del-
wfvtmMco. III hncuentro tot<n b Informi! ki en bi fnkidc* de Dcrccho (miyo I9Mj |>ivcrudad
PtmfV.-ii Cornili Mnind fiditelo pee U Secetdn de PiMKtcKme de li Kacukid de Dmdu de li
l'anenidad Compiacente de Midrai
www.FreeLibros.me
CA>fTVI|j02l: AUMTORlA lUKftMCA Ol K*TOfcNOS INFORMATICOS M
efectuada por un jurista experto independiente'' con la finalidad de emitir un dictamen
sobre mi adecuacin a la legalidad vigente, y con ello conseguir evitar inseguridades,
prdidas o costes innecesario* para la empresa o Administracin a la que somete a
auditoria jurdica, siendo el cliente auditado en ltimo trmino el que decide la
aplicacin de las eventuales medidas correctoras que se estimen oportunas.
La auditora jurdica comprende cuatro grandes reas: A) la auditora del enlomo
informtico. B) la auditora de las personas que manipulan la informacin. C) la
mdiiora de la informacin. D) la auditora de los archivos, incluyendo dentro de sta
una auditora propia, la auditora de objetivos. Pretende esta ltima averiguar la
correspondencia entre el uso que se le da al archiva y aquellas motivaciones por las
cuales se cre, asi como la constituciotulidad de la finalidad ltima del archivo. La
auditora de objetivos va ms all de la del principio de legalidad: es una auditora de
Derechos Humanos de Tercera Generacin. Se examina no tanto la legalidad como el
espritu del archivo, con la pretensin de que ste respete y garantice ules derechos.
Sin plantear en estas lneas un anlisis exhaustivo de la materia, se pretende ofrecer
u u nocin general sobre la tarea del auditor jurdico mediante un examen de cada una
de las cuatro reas reseadas y de sus consecuencias.
212. AUDITORA DEL ENTORNO
Definimos como entorno a los programas y soporte fsico que sirven de
receptculo a la informacin y los datos objeto ltimo de la auditora jurdica.
Ccacrctamente. la auditora jurdica del Entorno se divide en tres partes.
a) Auditoria de los elementos del Hardware
La primera consiste tanto en la comprobacin de elementos d d HARDWARE
eeeno de los contratos que los soportan. Es preciso el examen de los contratos en
irtud de los cuales se utiliza dicho material (sea con transmisin de la propiedad o
*o). asf como de sus contratos de mantenimiento. Slo a modo de ejemplo cabe
estacar como mas importantes tos de compraventa, alquiler, leaing, renting,
reposicin y mantenimiento de dicho hardware.
* Euo es ata mis neecsano en aquella empeas que manipulan archivos ton tato* perweales y
so mpoovable e t persona) Je la prepaa m pe u. o bkn ni aquellas <fjepoicen dato* de sxoudai
Sfs kni M' Grevile/ /birta cabe pooer en Ada que va l lotoc* interno quien haga la aeditoeia (a
a cau. ya que puede vene coaKOoaado e* tu independencia profesional sujeta en elle cato * la
fachina Lahceal. al icr la propia empieva el mpomahle del arrimo, y fclrmii al no cumplirse uno de
k> principios fundamntalo de la prictKa profei>c*l de la auditnfa cual e la segregacita de funciones
pn (araKiiar 1*indcprndencu y objetividad del dictamen E px eBo c u n o que las aiadiiotvn
niiras sean realiralu poeun jarou espeno, esiem.. a la orfaauaote a auditar y como coanecueocsa
teOo, imladerameate independeme
www.FreeLibros.me
b) Auditora de los elementos del Software
La segunda patte est dedicada a los elementos del SOFTWARE c incluye, entre
otros, el control de las licencia* de uno personalizadas, licencias de uso no
personalizada*. licencia de uso de cdigo fuente, desarrollo de software y
mantenimiento de los programas.
c) Contratos de "paquetes gestionados
La tercera correspondera a los contratos que entienden la informtica y se
gestin como un entorno completo donde la organizacin cede a un tercero la totalidad
o pane de su gestin des ligndose de las decisiones propias de los departamentos
tcnicos Outtrwrring. elaboracin de trabajos auxiliares, contratos de entrada de
datos, subcontraiacin de la gestin de vectores de una empresa o de un grupo de ellas,
constituyen ejemplos de dicho contratos.
En lo que hace referencia a esie mbito, de la revisin de la contra tac ico
comentada, es importante que la redaccin de los clausulados contractuales sea clara y
precisa. As. por ejemplo, en materia de origen de la titularidad de los programas, d
auditor debe constatar y en caso de defecto, recomendar especialmente, que en los
contratos con programadores asalariados (contratos laborales) o con programadores
por encargo (contrato de obra o de servicio) se determine quin adquiere la propiedad
de los mismos (a pesar de que en los primeros desempea la presuncin legal de la
Ley de Propiedad Intelectual de transmisin al empresario para el ejercicio de so
actividad habitual) para la ms difana determinacin de la titularidad,
independientemente de la autora, y con ello evitar posibles dudas y reclamaciones al
respecto. Del mismo modo se debe proceder en temas de obras colectivas y obras en
colaboracin. Tambin se constatar por parte del auditor la existencia de pruebas
documentadas de esa titularidad como, por ejemplo, el depsito notarial o eterow. el
registro de la Propiedad Intelectual, y en su defecto, aconsejar el uso de dichos
mecanismos de registro.
Se trata, en definitiva, del anlisis de contratos, desde la perspectiva del Derecto
Civil y particularmente del Derecho de la Propiedad Intelectual e Industrial. Aspectos
c o n titularidad de los derechos de explotacin, autora, patentes, marcas... est
presentes en tal revisin.
En lo que hace referencia a derechos de autor, cabe destacar por su importancia la
polmica en la regulacin de los programas de computador. Una de las novedades qoe
incorpor la Ley de 1987 fue. precisamente, la regulacin de la proteccin de los
programas de computador en el seno del derecho de autor (arts. 95-1001.P1).
www.FreeLibros.me
l AHTIII) Jl At'tMTTHtU M'KfWA IM. t.NTtSX)tt INKUtMAIHX 7
El IcgisJador espaol apostando por la proteccin jurdica de km programas de
computador en este marco, se incardin en la tendencia existente en la mayor parte de
Estados de la Comunidad Europea. De igual manera ha actuado la misma Comunidad
<jk. ya desde la Directiva del Consejo 9I/25(VCEE\ ha organizado la proteccin
jurdica de los programas de computador en el Derecho de Autor, en concreto como
olra literario, en el sentido recogido en el Convento de Berna' y como seala
MASSAGUER. renunciando a la idea de establecer un sistema de proteccin su i
ttntris. siquiera dentro del Derecho de autor, no obstante el establecimiento de una
(epilacin particular". Un sector de la doctrina especializada opina que la decisin de
oyui por regular esta materia en el campo de la propiedad intelectual es lgica si se
Hiende a las caractersticas de los programas de computador. As. por ejemplo.
OROZCO PARDO10 siguiendo a GALN CORONA seala como principales razones
pin dicha opcin las ventajas que confiere la proteccin del derecho de autor ya que
ose requiere novedad ni actividad inventiva, sino solamente originalidad, ni tampoco
es preciso registro conforme a b Convencin de Berna Todo ello conlleva, gracias al
juego de los convenios internacionales, una proteccin sobre la materia inmediata,
(eogrlficanvente generalizada y desde el anlisis econmico del derecho, barata".
Razones de carcter prctico que vienen avaladas por el aumento de la piratera
informtica de consecuencias negativas tanto para los propios autores como para la
comunidad. No obstante, siguen existiendo casos en los que un programa va ligado a
a proceso industrial, en cuyo caso se le bnnda una proleccin complementaria, a*i en
d vt. 96.3 LPI antigua.
El Derecho de Autor no es el nico sistema de proteccin jurdica a que pueden
acceder kxs programas de computador, que tambin pueden ser tutelados mediante la
aplicacin de lav disposiciones sobre patentes, marcas, competencia desleal, secretos
empresariales, topografas de productos semiconductores o contratos segn el art. 9.1
de la Directiva mencionada, protegiendo de modo concurrente con la tutela del
derecho de autor el objeto protegido. La generosidad de la relacin de sistemas de
pmeccin jurdica adicional ofrecidos a los programas de computador de la Directiva
9I/2SWCEE contrasta con la parquedad de la LPI de 1987. limitada a los programas de
computador "que formen porte de una patente o un modelo de utilidad", por ello, era
dtwable. como uiUlabi MASSAGUER", d i oro a mantener un criterio claro de
pweccin. o la supresin del art. 96.3 LPI, ya que el principio de interpretacin
' Directiva del Cornejo <9l/2XVCt) de 14de fruyo de 1991. relativa a la proteccin Jurifcca de
fesFh'fnmax dr Computador, DOCE. nm L I22M2. 17de mayo de 1991
* Ccnvemo de Berna, de 9 de acpucatac de 19*6. fwa la protecctta de 0*t Lucrara* y
Atacas.ifcnte ra Espilla ea la redacota del Acta de Parts de 24 de jato de 1971. ratificada medanle
aauner&> de 2de julio de I97J. BOE. nfam 81y 260. de 4 de abnl de 1974 y JO de octubre de 1974.
1 Ln eue KKidx MASSAGUER. J . "la adaptacin de la Ley de FY<5cdad Intelectual a la
todita CEF. relama a la proteecW* yartdtca de los programas de compuutloc'. m Jtrmw *11 Dfmtm
HtKMtil. n* 199-200
" Onuco Pardo. G "lafcemtca y propiedad meledual". AcUahdoJ hânaMKit Aran/ni i. n*19.
Unldf 1996
" Ea este sentido. MASSAGUER. i <y>cu
www.FreeLibros.me
conforme vigente en la Comunidad aseguraba la cumulacin de proteccin jurdica, o ,
la modificacin del citado precepto, sustituyendo su tenor por el del primer incito dd
art. 9.1 de b DirectivaIJ. La Ley 16/93 de incorporacin de b Directiva 9I/2SGCEE
ha resuelto en su Disposicin Adicional nica Salvaguardia de aplicacin de otras
disposiciones legales en el sentido de tolerar dicha proteccin adicional pero sia
especificar si los programas de computador han de formar pane de una patente o
modelo de utilidad. El Texto Refundido de Propiedad Intelectual de 1996" no ha
resuelto, sin embargo, ese problema de manera diferente al anterior testo legal de
propiedad intelectual, desaprovechando, creemos, una oportunidad de mejen
legislativa. Reca
demos que su artculo 96.3.2 establece que cuando k * programas de computador
formen parte de una patente o modelo de utilidad gozarn adems de la proteccin qce
pudiera corTcsporiderlcs por aplicacin del rgimen jurdico de la propiedad industrial
confirmando de ese modo la redaccin anterior.
21.3. AUDITORA DE LAS PERSONAS
No es posible hablar de mquinas y programas sin hacer referencia a quien los
asa. Por ello la auditora jurdica dedica una de sus reas al sujeto activo dd
tratamiento informtico. La auditora jurdica de b s personas abarca cinco aspectos
que el Jurista encargado de la misma debe examinar:
a) Quines tienen acceso a la informacin
Debido a la naturaleza de la informacin almacenada y manipulada, sea de
carcter personal, que afecta al derecho a la intimidad de b s personas, o simplemente,
datos de inters para la competencia, el acceso a los mismos ha de restringirse
atendiendo a la sensibilidad" de la informacin.
Como eje vertebrado? de esta proteccin, especialmente en lo que hace referencia
a los datos, se crea por la l e y Orgnica de 1992 b figura del responsable del archivo.
ste debe velar por la seguridad de los datos y por ello, adoptar medidas de ndoe
tcnica y organizativas necesarias que eviten su alteracin, prdida, tratamiento o el
aspecto al que hacemos referencia en este apartado, el acceso no autorizado. Para ello
deben valorarse el estado de la tecnologa, la naturaleza de b informacin almacenada
y los riesgos a que est expuesta, ya prosengan de b accin humana o del medio fsico
o natural.
Reglamentariamente, dentro de b s empresas, han de establecerse los requisitos y
condiciones que deban reunir las personas que intervengan en la manipulacin de ks
4B AUtMTORlA IMORMATKW ENFOQUE PRCTICO___________________________ t l i B I
fcoeme mulo. MASSAGUEJL J. op ett
Real Dccrclu Lcgnlimo de 12de bol de 19%, enlm 1/199* pee el que te aprueba el I*
retejido de U Ley de Propied*! Inleciul (RCL 19X7/2440). rellanando. xbnado y >
Ut opoMCK legal *xte otee la uieria. BOU de 22 de abnl de 1996, rT 97.
www.FreeLibros.me
caHw u h i Ai Dinml* ii kuxca i . ^ tornos inkwmmkw aw
chivos a los que se refiere el articulo 7 de la I.OPD (dalo especialinenie protegidos)
en primer lugar, y a las informaciones que son de importancia para la propia empresa
o pira terceros, en segundo lugar.
Por lo tanto, slo deberan acceder a los dalos "sensibles aquellas personas que
lean autorizadas, actuando la figura del responsable del archivo como garante de la
proteccin de los mismos. Frente a terceros, o incluso en el ejercicio del derecho de
acceso por parte de los afectados, el Responsable del Archivo es quien, en algunos
icpjcstos. tambin limita temporal y parcialmente la obtencin de informacin". Con
ello se evita el acceso indiscriminado a los datos de la propia organizacin.
b) Adecuacin de aqullos al cargo que ostentan
Es necesario, adems, que aquellos miembros que tienen el acceso permitido a un
cietio nivel de informacin dentro de la organizacin, lo tengan de forma adecuada
ccn la responsabilidad y el cargo que ostentan. Deben evitarse accesos no necesarios
para el normal desarrollo de las tareas que el trabajador o funcionario tiene
ewomendadas.
La empresa u organismo no puede arriesgarse a que cualquier usuario, desde
cualquier punto del sistema, pueda "vaciar" el mejor tesoro de la organizacin: su
informacin.
c) Conocimiento de la normativa y de que se debe mantener una
actitud tica delante del archivo
Aquel que tiene acceso a un nivel de la informacin debe conocer las
obligaciones y derechos que le asisten. En virtud de su vinculacin con la
organizacin, debe mantener una actitud ica ante la informacin a su disposicin y
do revelar los datos que conozca en el ejercicio de su cargo o en el desarrollo de su
urca si ello no es necesario para la ejecucin de la misma. Si un trabajador de la
(presa, vulnerando sus obligaciones, rompe este deber de secreto, rompe tambin la
buena fe contractual, siendo ello motivo de despido disciplinario'.
'* Asi. U LOPD establece que el derecho de acceso v6k>podr ser ejercite en sunalos svfcnores
i doce mese. salvo que el afectado amdik un Mr t i legitimo, ca cayo w podr ejercitarse a*i
(Aa 15de la LOCO) aru. 12 y 13del RD 1332/94)
' A ese sentido tamban cabe reccedar el articulo 20 I y 2 o 1 articulo 21 del Estatuto de los
TrabojaJoret "Articulo 20 Direccria y control de la actividad laboral I . El trabajador estad cMsgado a
untiai el trabajo CMieeat) bajo b deevcsn del cayresaro o persona ca quien ewe delegue 2 Ea
corrimiento de la cfehgKin de trabajar asumida en el contrato, el trabajadx debe al empresario la
dfigearu y la colaboracin en el trabajo qat marquen las disposiciones legales, lo convenios colectnos
j las (edenes o mstrucciones adcpalas pw aqul en el ejercacio regiabe de ua faoakades de dveccitfa j.
su defecto, por los aso y costumbre En cualquier caso, el trabajador y el empresario se someterin tn
**prestaciones reciproca a la engracias de b bseaa fe (...) Articulo 21 Pacto de no ccacarreocia y de
permanencia ea la empresa 1. No pxlrl efectuarse la penuci laboral de un trabajador piaradiversos
aprsanos cnanto se estime coanrreiKta desleal (...K
www.FreeLibros.me
Fji lo que t ace referencia a kw archivos, el articulo 10 de la LOPD rccoge
tambin esie deber de secreto, si bien este precepto tiene un objeto diferente al qx
prev la legislacin laboral. Aqul pretende garantizar los intereses del empresario y
ste cumple, corno el resto del articulado en que se integra, una funcin de defensa del
derecho a la intimidad. Kl articulo 10 de la LOPD eslablecc que la obligacin
deber de secreto afecta al responsable del archivo y dems personas que intervenp*
en cualquier fase del tratamiento de los datos de carcter personal, incluso despus de
haber finalizado la relacin con el titular o el responsable del archivo.
Asimismo, cabe recordar la existencia de una tipificacin penal especfica de
conductas relacionadas con 1 vulneracin del deber de secreto en relacin cca
particulares, autorlades y funcionarios pblicos.
Asi el nuevo Cdigo Penal incluye en el Captulo IV de su Titulo XIX (artculos
4IJ-4I8. referente a delitos contra la Administracin Pblica, tipifica con carktcr
general las conductas de infidelidad en la custodia de documentos y de la violacin de
secretos. Dichos delitos pueden ser cometidos por autoridad o funcionario pblico y.
en el cato del artculo 418. por el particular que aprovechara para s o para un tercero
el secreto o la informacin privilegiada que obtuviere de un funcionario pblico o
autoridad.
Los artculos 198 y 199 del mismo cuerpo legal inciden de nuevo en dicha
materia, pero esta vez de modo ms especficamente relacionado con el tema que nos
ocupa. El primero se refiere a la autoridad o funcionario pblico que. fuera de ka
casos permitidos por la Ley. sin mediar causa legal por delito, y prevalindose de se
cargo, realizare cualquiera de las conductas descritas en el artculo 197"' (revelacin
i</QAWXTOHU IMOItUTKA: l?< ENFOQUE PlUtHW___________________________ii m i
'* Articulo 197. I. El que. para tktctfcnr kn victos o vulnerar U Kiiindad de otro, sin s*
creteeameiMo. e apofctr de wjs papeles, canas, mentaos de cont ctectrinKo o cualesquiera re*
documento* o efecto pcrveale* o intcrcepee > tetccommcaoceet o iltce artificio* temeo de
escucha. trammwte. pttsKion o rcfcodccin del sonido o de la invaden, o de cuaiquer a sckal de
coffMMcacldn. r castifado con la pena de potito de uno a cutero arto y mulla de doce a seinticuro
2. 1j r nMn pena* w uxipondrin al que. ua estar Maindu. se ipalm. vblic* o nnUifK. ea
pequera de tercero. dalo reseado de carfcter personal o familiar de tu que halle refnzradca n
archivos o soporte Mmtfeot. electrnico o telemibco*. o ccualquier cero tipo de archivo o rcpuie
pifebeo o ps-ado Ipulft pena e impondrn a qoacn. xa esur autorizado. acceda por raakfaacr medu a
los imtsus y a quien kw alete o utilice en perjuicio del iiCtar de k> dato* o de un tercero
. Se impondr b pena de (eltln de do a ooco artos Me difunden, revelan o ceden aterceros k
dalo o bechos dcubflot o la imljene captad** a que se refiere '> nmero aeeenorc*.
Sed castigado coa las persa de pnsWa de uno a tres aAo ira tu de doce a vnrocualro mcies. el
que. con conocimiento de su ongea ilcito y sin haher tostado puw en se deiotirimicnio. realizara b
conducta detenta ea el pirrafo aMenc*
4. Si lo* hevtso descrito en tot apartados I y 2 de este articulo te realizan por la pttKoas
cncarjadat o rcpoasaNes de lo* nt n w, opotte infcemiuco*. eleetrCexo o telemkKos. archivos o
registro, se impor^ri lapena de pr5n de ero a coco arto*, y si se <Munden. ccdca o revelan lo* dan
reservado*, se impoadri la pena en sa catad superior
www.FreeLibros.me
CApm io! m i>iti ml \ n KUx< Ai tvKmv<i\roKMTiaw w
de secretos frecuentemente referidos a informacin obtenida por medios informticos,
electrnicos o telemtico* y. el secundo. referido a aquel que revelare secretos ajenos
de los que tenga conocimiento por razn de su olicio o sus relaciones labrale, o al
posesional que. con incumplimiento de su obligacin de sigilo o reserva, divulgue los
ceretas de otra persona.
fistos delitos los pueden cometer todos aquellos que revelen informacin o datos
de carcter personal contenidos en los bancos de memoria de la organizacin a la que
rven o en archivos de tratamiento automatizado a los cuales tengan acceso o
ctaocimicnto por razo de su relacin funcionarial. laboral o de simple arrendamiento
de servicios.
La pena para las conductas tipificadas en el artculo 198 del Cdigo Penal es la
pteviita en el artculo 197 (oscilan entre penas de I a 3 aos de prisin y 12 a 24
neses de multa y cuatro a siete aos de prisin ms la misma multa, segn las divenas
conductas tipificadas en el articulo 197). ms la inhabilitacin absoluta por tiempo de
mis a doce aAos por tratarse de un delito especial, esto es, aquel que slo puede ser
candido por determinados sujetos, en este caso autoridad o funcionario pblico.
El artculo 199 tipifica especficamente las conductas de revelacin por pane del
tnbajador o profesional de secretos de los que tenga conocimiento por razn de sus
actividades laborales o de arrendamiento de servicios, se prev para ellos una pena de
pnun de uno a tres aAos y multa de seis a doce meses para el primero (trabajador) y.
de uno a cuatro aAos. multa de doce a veinticuatro meses e inhabilitacin especial para
6cha profesin por tiempo de dos a seis aritos para el segundo (profesional).
d) Reconocimiento en el contrato de la labor que cumplen y de la
responsabilidad que ostentan
Es por todo lo anterior que en el contrato laboral que une a la organizacin con
a trabajadores ha de expresarse la garanta de la confidencialidad de las informa-
oooes propias de la misma. Especialmente debe precederse a exigir la confidencia-
Uad en el cano de manipulacin de datos de carcter personal. P.sa confidencialidad
es realidad necesaria tanto en el caso de gestin como en el de mero acceso a Las
triquinas. Afecta a todos los empleados que puedan tener algn tipo de contacto con
hs mquinas, programas, instrucciones...
5 Igealmente. ctundo K kKlm dacnu en lo apartado Manm i l M * dxn Je aifcin
fmcoal qoe retclm la ideolofia. relipta. creencia. alud, co jen racial o ida v i u l . o U vctima fuere
imx de (dad o un capas. x imjvodrn U proas pn<i<la> rn ui mitad uperx*
A Si lo hecho te reak/an coa fian lucrativo. impeodrn la penas mpcctivamoue prctou
a k afanado I al 4 de n artculo en mi nutal Mfenor Si adema afectan a da de lo menciona
4 enel afanad S. la proa a mfwaxt veri la de piui de cuatro a irte arto
www.FreeLibros.me
m AUPtTOBA LNKWWAlKA: UN ENHOQUE PttACTKO
Y ello porque existe una traslacin de las responsabilidades de k encargados de
la informacin a sus colaboradores, debiendo asumir cada uto de ellos su propia
responsabilidad. Si bien la normativa laboral protege al trabajador y responsabiliza
frente a terceros a quien le organiza la tarca, en el caso de que la actuacin del
traba>ador pueda ser presuntamente delictiva, aunque fiel a la empresa, aquello no k
excusa de las responsabilidades penales adquiridas en el acce>o y tratamiento de la
informacin. Es recomendable pues el conocimiento claro de Las obligaciones y
deberes que comporta el uso de informacin "sensible" de la organizacin y de los
datos de carcter personal por parte de los trabajadores. As se evitan, de paso, ka
"descuidos negligentes".
e) Que los contratos con los proveedores aseguren la
confidencialidad del archivo y de la Informacii
En el caso de que lo que se manipulen sean archivos, es ap.icable a este mbito d
artculo 10 de la LOPD. todas las personas que intervengan en cualquier fase dd
tratamiento de la informacin estn afectos a la obligacin del deber de secreto, y px
lo tanto tambin los proveedores en la medida en que i ni ensenen en una fase del
tratamiento o mantenimiento. As. los contratos con los pooveedores no pueden
descuidar el principio inspirador de la legislacin, esto es. la confidencialidad de la
informacin y la salvaguarda del derecho a la intimidad. Tambin les es aplicable
el principio de buena fe contractual que ha de presidir las relaciones tsar
comerciantes17.
21.4 AUDITORIA DE LA INFORMACIN
Una vez visto el material y las personas que lo usan debemos ser el objeto lgico
a auditar: la informacin. El auditor debe comprobar que. en relacin con la misma, se
cumplen los requisitos bsicos del derecho en general y de los propios especficos ea
particular.
As. en cuanto a los Principios relativos a la informacin, debido a la incxistetKia
de unos especficos , podemos establecer una analoga con los requisitos recogidos en
el artculo 4 de la LOPD. en relacin a la calidad de los datos, la necesidad de su
17Rio deriva del articulo 7.1 del Cdigo Cml l l o i derretios drberil ejercitarte conforme a lat
cufcrKiM de la bucal fe) qe intptra noe lio ordenanuecto ) que tamban n*.\ tramo* i lo largo de b
omoiiva mercantil pe rcmiua y especulmeme reforzada en tu amculato x* el agravante de eupt b
difagrtKa de n ordenado comerciante.
" A petar de que hay que tener ea cuesta U eutfencu de pnncipiot olormadorct de legniacita
ligada, como, por ejcnffc. la Ley de Procecote del derecho al honcr. a la intmidad prnonai >familiar y
a la propia mugen.
www.FreeLibros.me
r\rtnix>: Atinrronu ivridica t ixtornos i\iom\Tx~<>N .
adecuacin y pertinencia, y que no sean excesivo en relacin coa el minio y
finalidades legtimas para las que ve hayan obtenido.
La informacin no podr usarse pora FINALIDADES INCOMPATIBLES con
aquellas para las que fue seleccionada, y deber ser exacta y puesta al da. Si no es
exacta o est incompleta debe ser cancelada o sustituida por la rrect a. siendo
cancelada cuando deje de ser necesaria. no podiendo ser conservada <sdvx> en el caso
en que se decida su mantenimiento por valores histricos o cientfico)) una ve/ que
deje de ser til pora la funcin prevista, con excepcin de la legislac.n prevista al
efecto (Obligaciones Fiscales. Seguros...).
Se debe almacenar de forma tal que permita de una manera fcil el ejercicio del
derecho de acceso de los afectados a la misma, comprobando tambin el auditor que
su no se haya recogido por medios fraudulentos, desleales o ilcitos.
21.5. AUDITORA DE LOS ARCHIVOS
Quiz donde la Auditora Jurdica sea mis necesaria es en I terreno del
tratamiento de los archivos. Analizamos a continuacin distintos aspectos que pueden
ser tiles para una mejor comprensin de la r u t e n a ante la que nos encontramos, para
puti seguidamente a un recorrido por los diferentes aspectos que c auditor debe
examinar.
21.5.1. Niveles de proteccin de los archivos
La Ley Orgnica 5/92 de 29 de octubre, de regulacin del tratamiento
animalizado de datos de carcter personal (LORTAD). sefialaha cono objetivo el
tutelar el uso de la informtica y otras tcnicas y medios de tratamiento automatizado
para garantizar el honor, la intimidad personal y familiar de los ciudadanos y el pleno
ejercicio de sus derechos, aplicndose tanto a los archivos pblicos como privados que
CMCovieran datos de carcter personal.
21.5.1.1. Archivos excluidos de la aplicacin de la lopd
Estn incluidos en la ley todos los archivos que contengan infomacin o datos
personales salvo los que estn expresamente excluidos, sea efectuada deha exclusin
por la propia ley. sea efectuada por remisin de la misma a regulacin especfica del
tipo de archivo de que se trate.
Como excepciones a la aplicacin de la 1.01*0 se reseflan en su art. 2.2.
www.FreeLibros.me
Determinadas malcras se regirn por sus disposiciones propias. As. cuaca
regulaciones especficas en materia de rgimen electoral. Ley Orgnica 5/85 de 19 de
junio, l e y Orgnica 13/94 de 30 de mar/o. que modifica la anterior; maccnas
clasificadas (secreto oficial), de Ley 9/68 de 5 de abnl y Ley 48/78 de 7 de octobte
que modifica la anterior; Registro Civil. Ley de 8 de junio de 1957. Reglamento dd
Registro Civil. Decreto de 14 de noviembre de 1958; Registro Central de Penados y
Rebeldes; los datos que sirvan exclusivamente para fines estadstico* amparados p x U
l e y 12/89 de 9 de mayo de la Puncin Estadstica Pblica; los informes personales a
que se refiere el artculo 68 de la Ley 17189 de 19 de julio del rgimen del personal
militar profesional.
21.5.1.2. Archivo con reculacin opftfica
21-5.1 J . (ir ados de proteccin
Dentro de lo archivos sometidos a la Ley y en relacin con los datos en dios
contenidos, podemos hablar de diversos grados de proteccin. Se regulan en los atts. 7
y 8 de la LOPD tres lipos de proteccin, mxima, media y mnima. La protetan
mxima se otorga a datos referentes a ideologa, religin o creencias y por la cual
nadie podr ser obligado a declarar sobre estos datos, salvo qi>: el afectado consienta
expresamente y por escrito; existe una obligacin de advertir al interesado a st
dcrccho a no prestar su consentimiento, l a proteccin media se otorga a los datos que
se refieran al origen racial, salud o vida sexual, y slo podrn recabarse cuando por
rayones de inters general lo disponga una ley. La proteccin mnima se refiere a la
obligacin de toda persona o entidad que proceda a la creacin de archivo
automatizados de datos de carcter personal de notificarlo previamente a la Agencia
de Proteccin de Datos. Dicha notificacin deber contener necesariamente el nombre
del responsable del archivo, la finalidad del mismo, su ubicacn. el tipo de carcter
personal que contiene, las medidas de seguridad y las ccsiore* de daten de carc
ter personal que se prevean realizar. Debern comunicarse a la Agencia de Ptotccofe
de Datos tambin los cambios que se produzcan en la finalidad del archivo
automatizado, en su responsable y en la direccin de su ubicacin.
El Registro General de proteccin de datos inscribir el axhivo automatizado si
la notificacin se ajusta a los requisitos exigiblcs. En caso contrario podr pedir que se
completen los datos que falten o se proceda a su suhsanacin Transcurrido un mes
desde la presentacin de la solicitud de inscripcin sin que la Agencia de Proteccin
de Datos hubiera resuelto sobre la misma, se entender inscrito el archivo
automatizado a todos los efectos.
www.FreeLibros.me
CArtrnto; i - audito! a mmwcA t*. xnmsm ink>rmatkx w
21.5.2. Mecanismos de segur ida d del archivo
En cuanto a la segundad de los dalos, el articulo 9 de la LORTAD establece que
d responsable del archivo (figura creada por la LORTAD. que se analiza en el
panado siguiente) deber adoptar medidas necesarias para mantener la seguridad de
los datos y evitar la alteracin, prdida o acceso no autorizado a lo* mismos. El auditor
debe verificar si estas medidas se han establecido, as como el mtodo de
implantacin.
Adems, y como ya hemos visto anteriormente, tanto el responsable d d archivo
como las dems personas que intervengan en cualquier fase del tratamiento de los
ditos de carcter personal, incluso despus de haber finalizado la relacin con el
Mular o el responsable del archivo, tienen la obligacin del deber de secreto. El
ditor deber comprobar si el responsable, mxime encargado de la integridad y
eguridad de los archivos, ha verificado las medidas oportunas y si procura por la
eguridad
e aqullos.
21.5.3. Formacin d e la figura del resp o n sab le del archivo
La figura del responsable del archivo ex creada por la LORTAD. que la define en
n artculo 3 como la persona fsica, jurdica de naturaleza pblica o privada u rgano
adanistrativo que decida sobre la finalidad, contenido y uso del tratamiento citado.
El responsable del archivo acta como cabeza visible de la seguridad de los
arcfaivo*. A pesar de que la puesta en prctica de las medidas sea llevada a cabo por
a s personas dentro de la organizacin, aqul se convierte en el mximo responsable,
de cunera que la toma de decisiones en ese campo slo a l le corresponde, y no a
otros miembros de la organizacin, aunque participen en el tratamiento automatizado
* los datos.
El auditor debe comprobar la existencia de un responsable real del tratamiento
tMonutizado de datos, dotado de la autoridad suficiente, de modo que ste pueda
cunplir las funciones que le estn encomendadas y as evitar (recordemos la funcin
preventiva) las irregularidades de aquel tratamiento. Pero no debe controlar tan slo la
pM&lxbd efectiva de desenvolvimiento de sus tareas, sino que tambin debe
wrificir si sta se lleva a cabo dentro de los lmites correspondientes. As. y a modo
4t ejemplo, el responsable tiene, entre otras:
a) I j obligacin de comunicar al afectado la cesin de datos.
b) La obligacin de confidencialidad.
www.FreeLibros.me
Mfc MIXTOKiA INFORMTICA UN HMOQCF. CnCO___________________________ c*m
c) La obligacin le hacer efectivo el derecho le acceso.
d) La obligacin le hacer efectivo el derecho Je bloqueo.
e) La obligacin le hacer efectivo el derecho le cancelacin.
0 1-a obligacin le hacer efectivo el derecho le rectificacin.
g) La obligacin de hacer efectivo el derecho le supresin.
h) La obligacin de informar del tratamiento de los datos, la obligacin de
informar en la recogida de los datos...
Existe un procedimiento administrativo de reclamacin ante la Agencia de
Proteccin de Datos por incumplimiento de aquellas obligaciones que. como heroo
sealado anteriormente, puede finalizar en cuantiosas sanciones, por ello, el auditar
jurdico debe verificar si el comportamiento del responsable se ajusta a aqoettK
obligaciones por el propio inters del auditado.
a) Requi s i t o s d e c r e ac i n d e ar c h i v o s d e t itularidad pblica y de
titularidad privada
La LORTAD parte de la distincin titularidad prvadaAitulanlad pblica pora ti
anlisis de los archivos, previendo distintos requisitos pora su creacin, modificaci*
y extincin. Otra tarea del auditor jurdico es la de verificar que se hayan cumplido k
requisitos exigidos.
En cuanto a Ion architos de tit ularidad pblica, la creacin. modificacin o
supresin de los mismos slo podrn hacerse por medio de disposicin general
publicada en el Boletn Oficia! del Estado" o diario oficial correspondiente. Dictas
disposiciones le creacin o modificacin debern indicar a) La finalidad del archivo
y lo uu k previno para el mitmn k) I m prruwui o colectivo sobre los que v
pretenda obtener datos de carcter personal o que resulten obligados a suministrarlos
c) El procedimiento de recogida c 1 latos le carcter personal. d> La estructura
bsica le archivo automatizado y la descripcin de los tipos le dalos de carcter
personal incluidos en el mismo, e) Las cesiones de datos de carcter personal que. ea
su caso, se prevean. 0 1-* rganos de la Administracin responsables le archivo
automatizado, g) Los servicios o unidades ante los que pudieran ejercitarse los
derechos de acceso, rectificacin y cancelacin. En las disposiciones que se dicten
para la supresin de los archivos automatizados se establecer el destino de kit
mismos o. en su caso, las previsiones que se adopten pora su destruccin.
www.FreeLibros.me
rArtn.ro i : AtpnrwiA uhIdica de kvtoknos inkrmtk'hs i
En cuanto a los archivos de tit ularidad privada que contengan da os de carcter
personal, podrn crearse cuando resulte necesario pora el logro de la actividad u objeto
kgtin>os de la persona, empresa o entidad titular y ve respeten las giranti: que la
LORTAD establece para la proteccin de la personas. Toda persona o entidad que
proceda a la creacin de archivos automatizados de datos de carcter personal lo
notificar previamente a la Agencia de Proteccin de Dalos. La notificacin deber
contener necesariamente e l responsable del archivo, la finalidad el mismo, su
ubicacin, el tipo de datos de carcter persona! que contiene, las medidas de
seguridad y las cesiones de datos de carcter personal que se prevean realizar.
Debern comunicarse a la Agencia de Proteccin de Datos los cambios que .se
fcodu/can en la finalidad del archivo automatizado, en su reipomable y en la
Ereccin de su ubicacin. El Registro General de Proteccin de Dates inscribir el
chivo automatizado si la notificacin se ajusta a los requisitos exigiblex. En caso
contrario podr pedir que se completen los datos que falten o se proceda a su
uibunacin. Transcurrido un mes desde la presentacin de la solicitud de inscripcin
sin que la Agencia de Proteccin de Datos hubiera resuelto sobre la misma, se
emender inseritoci archivo automatizado a todos lo* efectos.
a) Verificacin del consentimiento
Seguidamente hacemos referencia al que la LORTAD denomina afectado , es
decir, el titular de los datos que se tratan. Para que el tratamiento de datos, en
cualquiera de sus fases, cumpla la legalidad vigente, se debe recatar siempre el
consentimiento del afectado: ello se regula en el art. 6 de la LORTAD. siendo regla
necesaria que el tratamiento automatizado, salvo algunas excepciones, requiera
contentimiento del afectado. Ese consentimiento deber manifexarse en dos
omentos: en la recogida de la informacin y en la cesin, en su cas. Es tarea del
editor jurdico la comprobacin de la existencia de dicho consentimiento y que el
muro se ha recabado atendiendo a los requisitos legales.
El consentimiento se podr otorgar en cualesquiera de las formas admisibles en
Derecho. Salvo para aquellos casos en que la Ley Orgnica frevca que el
eemeotimieMO haya de otorgarse expresamente, podr otorgarse tcitamente o de
oto presunto. Para que el consentimiento sea vlido se requiere que 'os datos no se
recaben por medios fraudulentos, desleales o ilcitos. El conscntimierto dado puede
r e revocado en cualquier momento, pero no se le podrn atribuir efectos retroactivos
la revocacin. En el caso de datos especialmente protegidos, referidos a la ideologa,
religin o creencias, se deber advenir explcitamente sobre el derecho del interesado
" Sejn <1 artculo 3 c) de la LORTAD el iectado e tepetuxu tuct tiluter de o dalo <^c mn
ckjru ic Intinuento i que te refere el ipart*&> el del muro minio fcl apartido <) define el
naeo de daos cot lat operaron > procedimiento* Mtnicm. de aricta aiKmciMdo o no. <jur
fmtffl U recopdi. grahiofe. comersaclo. elaboracin. modifkxin. bloqueo ; canctU;in. atl
taro Ut cetina de dilo que resulten de conweicaocoet. cootulus. iWeror**KM i uantfereaciiv
www.FreeLibros.me
** AIDITORMINFORMATKA UK BKHXW PUACnCO
a no pregar su consentimiento. Asimismo, ser requisito para U valida dd
consentimiento que de modo previo e inequvoco se advierta al interesado de la
existencia de un archivo automatizado, de la finalidad del mismo, de los destinatario
de la informacin, del carcter obligatorio o facultativo de mis respuestas a las
preguntas planteadas, de las consecuencias de la obtencin de los datos o de la
negativa a suministrarlos, de la posibilidad de ejercitar los derechos de acceso,
rectificacin y cancelacin, y de la identidad y direccin del responsable del archivo.
Cuando se utilicen cuestionarios u otros impresos para la recogida deben figurar lts
I advertencias sealadas en los puntos anteriores.
Kn cuanto al consentimiento para la cesin, ste ha de ser previo, requintado*
adems que el cesionario sea determinado o detcrminable. en caso contrario el
consentimiento ser nulo. El que el concepto de cesionario sea determinado o
determinable significa que sern nulas tas cesiones o autorizaciones excesivamente
amplias en la que se deje en manos del cedente la decisin de ceder los datos a una
otra persona y el afectado no pueda saber en ltimo trmino, mediante reglas mallas
de identificacin, quin dispone de sus datos personales. Tambin ser nulo d
consentimiento cuando no conste la finalidad de la cesin.
El auditor debe comprobar la ptavmacin electiva de estos requisitos teniendo en
cuenta tambin que se prevn una serie de excepciones al consentimiento dd
afectado*'.
El afectado es el verdadero propietario de sus datos personales, de la informacin
que desprende y. por tanto, es slo l quien debe consentir su uso <en caso de menores
de edad el consentimiento sera el del tutor). Por di o. hay que establecer los contretes
necesarios pora garantizar que el afectado ejerza su derecho de consentir el uso y
cesin de sus datos, ya sea tcito o expreso en el caso de datos de salud y los
" l a LOftTA eaaWece cotK re lamer* cundo utu ley dnpone otra cusa. cuando te recocen ea
fuentes accesible* al rsNuw tempe* qoe lo* ibk provengan de archivo* de titularidad potada qar k
revejan futa el ejercicio de la fuockmc propia de las AJauiiilncMet Pbbcav que w refiera a
personas vinculada por una relacin refcviaJ. laboral. kjmanistratita o un cnenlo > *ean t u r
pora el manieaMHoeeo de la rel*:iones o para el cumplimiento del ecoUtfo. que la cesafe que deba
efectuarse leaga poe dotiiutar el Detente* del PueNo. el Ministerio Fiscal o tos Jueces o TntwiaJeve*
el ejetCK de las foacioon que ttenca imbuidas. cuando b cesin K pmJuzca entre Ui
Adnrruuncimo RiMioi ea Sen opuestos peeviOos ea el Mtlolo 19 de la LORTAD. cuando la ceufr
de diiut de carcter penonai relatissn a la talud tea necesaria para otnomar una rpencia ge reinen
acceder a m archivo autumalilado. o para reak/ar los cOaVx cprdrmwlpcoi en lo tlrawaoi
etublecidm en el articulo Xde la Ley 1 I9M. de 25 de aboL General de Sanidad.
www.FreeLibros.me
( AFfTVIO : i : AlDmxU JlUtlMCA l: KNTOKNOS INFCBMAUCO*
especialmente protegido*, garantizando que se cancelen cuando dejen de ser
necesarios:i .
Debe evitan mi ello que se siga con la negativa prctica habitual en la que no
se pide el consentimiento ni para el uso. ni pora la cesin, o no se clarifica suficiente ni
uro ni otro en la toma de datos (no se cumple con el derecho a la infirmacin en la
recogida de datos). Tambin es frecuente encontrarse que en el derecho de acceso,
(edificacin y cancelacin se est negando parte de la informacin que se tiene de un
afectado, de manera sistemtica y consciente, debido al origen irregula- por cesiones
citas que comportaran borrarlas para regularizar aadindose a los costes de
recogida y de regularizacin". Pero dichos costes son mnimo* si se comparan con Us
sancione* e indemnizaciones que hemos mencionado en la introdtKcin de este
trabajo.
El auditor debe scUlar aquellos defectos que aprecie en el otorgamiento del
consentimiento por parte del afectado a la empresa privada o Administ-scin Pblica
auditada; aquellas irregularidades jurdicas que. precisamente por ser dicho auditor
independiente, puede ayudar a subsanar al mismo tiempo que se evitan de cara al
hturo. colaborando con su consejo, a la creacin de una mentalidad respetuosa con la
Btindad del ciudadano dentro de la estructura que audita.
c) Mecanismos de defensa de los incluidos en el archivo
El afectado tiene unos derecho* por ley. reconocidos en la LORTAD. en relacin
con la inclusin de sus dato* en un archivo. Estos derechos t:ncn carcter
personal (simo, por lo que slo pueden ejercerse por parte del mismo o s t representante
I * Los derechos son los siguientes: derecho de impugnacin, derecho a la
formacin en la recogida de datos, derecho de acceso, derecho de rectificacin y
derecho de cancelacin. El auditor debe comprobar que estos derech se respetan
' En imKni de pnlcio de wnxui de fomiciM obre solvencia patnmxtiil y crdito nnK
k cttyacita de cumuucjr la inclimta en eslos archaso* que se extiende ta*o a kn supaeslos de
Jcmocuifi iobee wtvcncu patrimonial y ctMao. con a la informacin relativa cunûacMo o
aonacînvrooo de obltgacione* dinerana*. evo ladepeteencia del onjen de los datos la Mineante de
ti Btleuta de dalo* persceule* en el archivo se efectuar en el plazo tninimn de 30 dttv femando al
ifctjto de vj derecho a recabar informacin wbr* los litos recogidos en el archivo. I j inscripcin en el
din cvmtn de la obligacin incumplida e efectuar!, bien en a wto asiento i fuede vene >meaeo
o. tm en unto asientos ccano trwimieniin peridicos incmplidos esisran. sealante la fecha de
ai uno de ellos, en oie cavo Se efectuad una notificacin pee cada deuda ementa >determinada coa
nSrjenJencMde 9 su se ie*ga con el mismo o evo nimios acreedoecv K1 icsporsaMe det archivo
deteri Jopar las medidas organizativas y tcnica necesaria que permitas acredtai la realizacin
mena) del envo de ix-cificaofo y la fecha de entrega o mermo de cenefa de la mrsaa La KOficacin
k dsipri a U Hirrn direccin conocida del afectado a tras** c un medx. fiable e adevendMcte del
npomable del archaso.
" GONZALEZ ZUBIKTA. J. M. "Ceorrol Informtico y marco jvdielili*. W wzmW
*m<u y nnumitîtma. II*2i. febrero IW7. ate VI
www.FreeLibros.me
VO AllDfTCmU ISKMMATICA UNbNKXjt t fKACTHTO
verdaderamente y se cumplen efectivamente: en definitiva, si tienen un eficaz reflejo
en la prctica, al procurar: por parte de la empresa o Administracin Pblica, a
del responsable, su cumplimiento.
El afectado puede impugnar (derecho a la impugnacin, ait. 12 de la LORTAD)
los actos administrativos o decisiones privadas que impliquen una valoracin de n
comportamiento cuyo nico fundamento sea un tratamiento automatizado de datos de
carcter personal que ofrezca una definicin de sus caractersticas o personalidad. Ese
derecho guarda evidentemente una estrecha relacin con el derecho de acceso que
analizamos ms adelante.
El afectado debe haber sido informado en la recogida de datos (derecho de
informacin en la recogida de datse arti culo 5 de la LORTAD) de modo preso e
inequvoco de la existencia de un archivo automatizado, de la finalidad del mismo, de
los destinatarios de la informacin, del carcter obligatorio o facultativo de uu
respuestas a las preguntas planteadas, de las consecuencias de la obtencin de los
datos o de la negativa a suministrarlos, de la posibilidad de ejercitar los derechos de
acceso, rectificacin y cancelacin, de la identidad y direccin del responsable dd
archivo' .
Cuando se utilicen cuestionarios u otros impresos para la recogida deben figurar
las advertencias sealadas en los puntos anteriores. No ser necesaria la informacin
referida anteriormente si el contenido de ella se deduce claramente de la naturaleza de
los datos personales que se solicitan o de lm> circunstancias en que se recaban.
El auditor comprueba que dicha informacin sea debidamente suministrada,
serbal mente o por escrito, en su caso, haciendo efectivo el derecho a la informacin, y
que por lo tanto los datos obtenidos en ese mbito junto con los otros requisitos
legales exigidos, sean objeto de un tratamiento automatizado conecto.
En lo referente al derecho de acceso (art. 14 de la LORTAD. arts. 12 y 13 del
RD 1332/94). consiste en la facultad o capacidad que se reconoce al afectado de
11 Sobre kn datos almacosa (artculo 13 de U LORTAD). el Registro Ornerai de Dalo* U
Agencia de Proteccin de Dalos tiene asignada la aisito Je d a conocer U cxitteecia de lo archisos
automatizados de dalos de caricter persomi. uu Kaccr puble el ejeroeio de lo derechos Je acceso,
rectificacin y cancclacito. Es un registro de consulta pjNica y gratuita En el Registra Gcectal cfjcsli
inscrita una descripcin de lo archivos automati/.!.'* que tienen la obligaota legal de mscr.Sr Pw
laxo, se puede iventut mediaste consulta al Registro de informacin aspeoos coacrrto de tot
archivos, ules como tu finalidad, estrvetura. ulctiad del respcosaNe del ardasi*. cbatanto. cetknet
factfcftab Agencia es U dirocoto de la oficial o dependencia del responsable del arthito ame la <pr >
ejercen los denebn de acceso, rtctificanto y cancelacin Ea el responsable del archivo d <ftedpcae
de kn -latos y el que puile rec&ficarVMo caxetarto, o bsea dar acceso al afectado sobre tus dalos. La
lunato de la Agracia es informar al afccta&> pira que pueda ejercer lo derecho que la Le) Orginica k
reconoce. Para el caso de <foeel responsable del arvhitu desatienda la solitud del afectado esll presoli.,
como berro cveaetacadoanteriormente. el Procedimiento de Tcela de Derecho.
www.FreeLibros.me
<~Artm.o:i AiPfroMA huimca oe tureuM inkkmtwxw vi i
recabar informacin de sus datos dc carcter personal incluido y tratados en lo*
archivo* automatizados, en intervalo* no inferiores a doce meses, salvo que el
ittercsado acredite un inters legtimo. El acceso podr consistir en la mera consulta
de los archivos por medio de la visualizacin, o en la comunicacin de los datos
pertinentes por escrito, copia o telecopia, certificada o no por el responsable lcl
tuvo. La informacin deber ser legible o inteligible cualquiera que sea el medio
utilizado. El derecho se ejercer mediante solicitud o peticin dirigida al responsable
dd archivo, formulada mediante cualquier medio que garantice la ideitificacin del
afectado y en la que conste el chivo o archivos a consultar. El responsable del
archivo resolver la peticin de acceso en el plazo mximo dc un mes a contar desde
la recepcin dc la solicitud. El acceso se puede denegar en el caso de los archivos de
alaridad privada slo cuando la solicitud sea llevada a cabo por persona distinta al
afectado o cuando se pida sin acreditar inters legtimo en un nmero de veces
iperior al establecido por la ley para un plazo de tiempo determinado.
En el caso dc los archivos de titularidad pblica, se puede denegar el acceso
cuando te trate de archivos de las Fuerzas y Cuerpos de seguridad para fine*
pcfacules. que contengan datos dc carcter personal, cuando el ejercicio del derecho
4e acceso pudiera ser una amenaza contra la defensa del Estado, la seguridad Pblica,
la proteccin de derechos y libertades de terceros, o las necesidades de las investiga-
cwnes que se estn realizando por parte dc lo* Cuerpos y Fuerzas de Seguridad. En el
cavo dc los archivos del Ministerio de Economa y Hacienda podr dcn:garvc cuando
e obstaculicen actuaciones administrativas para asegurar el cumpliniento dc las
obligaciones tributarias. En el caso de las Administraciones Pblicas podr denegarse
tmton por razones dc inters general o intereses de tercero* ms dignos de
pcteccin cuya existencia deber llevarte a cabo mediante resolucin motivada del
ttptno administrativo responsable del archivo. El afectado al que se enieguc esto*
atrechos podr ponerlo en conocimiento del director de la Agencia de Proteccin dc
Datos, que se asegurar de la procedencia o improcedencia dc la dercgacin. Este
derecho slo podr ser ejercido en intervalo* superiores a doce meses, salvo que el
afectado acredite un inters legtimo, en cuyo caso podr ejercitarse ante.
La informacin que recibe el afectado comprender los datos de base del mismo y
bi resultantes de cualquier elaboracin o proceso informtico, as con el origen dc
bt datos, los cesionarios dc los mismo* y la especificacin de lo* coacretos usos y
faalidadcs pora los que se almacenaron los datos, facilitndose la irformacin de
odo perfectamente comprensible.
El derecho dc rectificacin y cancelacin, regulado en el art. IS d: la LORTAD
jan. IS del RD 1332/94 se basa en el principio de la obligacin d : mantener la
oactitud de los dalos. Es la facultad o capacidad del afectado dc instar U responsable
M archivo a cumplir la obligacin de mantener la exactitud de los mismos.
Ktificando o cancelando los datos de carcter personal cuando resulten incompletos e
exactos o bien sean inadecuados o excesivos, en su caso. En defiiitiva. es una
www.FreeLibros.me
SO: Al'DtTOWA INH1HMTK~A: UN fcNIOQCfc WlCnCt)
llamada a la existencia y uso por pane del responsable de mecanismos de actuali
zacin de los archivos. Su finalidad de evitar datos y perjuicios a los afectados por la
tenencia de dalo errneo o inexactos.
Cuando los datos rectificados o cancelados hubieran sido cedidos previamente, el
responsable del archivo deber notificar la rectificacin y cancelacin efectuada al
cesionario.
El derecho debe ejercerse mediante solicitud o peticin dirigida al responsable dd
archivo mediante cualquier medio que garantice la identificacin del afectado y en b
que consten los datos que hay que cancelar o rectificar y el archivo o archivos donde
se encuentran, hacindose efectiva la rectificacin por el responsable del archivo
dentro de los cinco das siguientes al de la recepcin de la solicitud. Si el titular
considera que no procede acceder a lo solicitado se lo comunicar motivadamente ea
el plazo de cinco dias. Si transcurrido el plazo de cinco das no contesta, podr
entenderse su peticin desestimada. La denegacin de la rectificacin o cancelacie
opera en los casos previstos en los aits. 15-5. 21 y 22 de la LORTAD. El afectado ai
que se deniegue estos derechos podr ponerlo en conocimiento del Director de la
Agencia de Proteccin de Datos, que se asegurar de la procedencia o improcedencia
de la denegacin-*.
A modo de ejemplo se adjuntan en el Anexo I un grupo de formularios tiles pan
el ejercicio de los citados derechos y que sera inveniente que el responsable del
archivo pudiera facilitar al interesado con la finalidad de garantizar la efectividad dd
ejercicio de los correspondientes derechos.
d) Tutela de los derechos
La LORTAD prev mecanismos de tutela de ios derechos de los afectados que.
como hemos visto, pueden comportar sanciones o indemnizaciones cuantiosas pan
aquel que haya desatendido los reseados derechos. A modo de sntesis recordemos
las vas de las que goza el particular para hacer valer sus derechos:
En 1 c w unto 4c k arrimos pninJ con de los arrimos pNxos csiste u* M n i t
conservante de los datos pan el pUro que se etlablerca en cada uso por U kfislactta aplicaNe J,
lodo caso, cundo su cannlaote pudiese cunar perjuicio al airetalio o a Mecen Esta sposanta a
cnuin a ambos Capot de architoc Ksnun un eaccfvione especificas (resistas para tos antm
P<Mkos que polrin denegar, adema. en ocru casos como el de k archivo de las t'uerus y Cuerpea*
Secundad para finr policiales que corttcnfan datos de carkln perscrsal. cuando su ejercicio pudiera io
una anraa/a contra la defensa del Estado. la Segtndad Publica, la prc*MCta de derecho > libertades *
terceros o las necesidades de las insestifacK<irs que s eVn realuando por pane de K Cuerpos
Fuer/as de Segundad
www.FreeLibros.me
A) Reclamacin en va administrativa: Procedimienlo de tutela de derechos.
Procedimiento sancionado?. Supone la bsqueda del respeto efectivo de los
derechos reconocidos por la LORTAD y. en caso de que no se produzca, la
u ncida de Us conductas irrespetuosas con los mismos .
B) Recunos ante los Tribunales: Recurso contencioso-administrativo contra Us
resoluciones del Director de la Agencia. Una vez finalizado el procedimiento
administrativo ante la Agencia de Proteccin de Datos y recada resolucin
del Director de la Agencia queda expedita la va contenciono-administrativa.
O Derecho de indemnizacin: Como hemos comentado anteriormente, la
LORTAD abre definitivamente la puerta al derecho de indemnizacin. As.
las lesiones que el incumplimiento de los preceptos de esta Ley Orgnica
puedan producir al afectado en sus bienes o derechos generan derecho de
indemnizacin, bien de acuerdo con el procedimiento establecido de
respemmhilidad de las Administraciones Pblicas, en el caso de los archivos
de titularidad publica, o bien ante los Tribunales ordinarios para los archivos
de titularidad privada.
La funcin del auditor es precisamente emitir un diagnstico jurdico del sujeto
Atado con la finalidad de que ste adopte las medidas correctoras oportunas y. con
(fio. evite que el afectado deba acudir a los citados procedimientos, concluidos
xrnalmente con importantes sanciones.
liUMi________________ CAffTMX 21: AUPtTORt A JUIOtCA Dfi KOPUNOS INFORMTICOS VO
21-6. CONCLUSIONES
Cada vez ms lo contenido dentro de los computadores es el activo real" de las
presas y Administraciones Pblicas, Pero la incorporacin de la informtica en el
to.tr cotidiano de Us mismas atade una nueva dimensin a controlar. A pesar de las
nobles ventas que sta comporta, su uso tambin conlleva nouMcs peligros que
deben someterse a examen de no querer traducirse en elevados costes personales y
nrmeos consecuencia de un estricto rgimen sancin ador. Con esta finalidad nace
h auditora jurdica dentro de la auditora informtica.
i Con elU se pretende poner de manifiesto Us irregularidades existentes para poder
OotrcgirUv y actuar t x nunc del modo legalmente indicado. I-a auditora a la que se
Sere este captulo es un proceso controlado en todo momento por el sujeto auditado
a t-i> unciooe* owilan eme Lu 100.000 pevlxv mnimo previno pxirj lu nfracciocKt kv. y t
OOCO JepCNfli. oituT previno para U mj) grave Como <,'mp'o de 1 prirneu veAiU-n
Mu proceder a la rectificacin o cancctactfa t etrore o iscuebeedc o no cvmptir lat innnxviooc
iMCkntwr 6c ti Agracia Je Prrteccite de Dalos ni facilitar informacin. De I wguitlu. res'ordamot
U la rccogî de Jaso* Je forma esgaAoui y fraudulenta o la centa de dao* fuera de lo
www.FreeLibros.me
que es quien, en ltimo trmino, decide si desea aplicar Ion medida* de adaptacita a la
legalidad que indicar el auditor.
La auditora no es un procedimiento sancionador sino un procedimiento cortecter
que pretende evitar, precitamente, sanciones impuestas por paite de rgaros
administrativos y penales o indemnizaciones en el orden civil.
Es una bsqueda de mejora dc la calidad del tratamiento informtico a travs dd
con vejo independiente que los auditores ofrecen. Ello sin imponer en ningn momento
decisiones sino ayudando a tomarlas correctamente.
Cada da son ms los que han entendido esta funcin del auditor jurdico y
someten su estructura informtica a examen con la intencin dc adaptar el mbito
informtico a los mrgenes de la legalidad. Y ello no tan slo como medida preventivi
dc costes econmicos sino tambin c o n fruto dc una incipiente concienciacin social
que propugna el respeto de los Derechos Humanos de Tercera Generacin.
50* AUDITORIA PKMUHAtlCA: UN ENFOQUE PRCTICO___________________________ t u
Davara Rodrguez. Miguel Angel. Derecho informtico, Aranzadi Pamplona. 1993.
Peso Navarro. Emilio del y Ramos Gonzlez, Miguel Angel, Confidencialidad y
seguridad de la informacin: La LORTAD V sus implicaciones socioeconmicas.
Ediciones Daz de Santos. Madrid. 1994.
1. Cul es la utilidad dc la auditora jurdica de entornos informticos?
2. Qu reas comprende la auditora jurdica?
3. Qu se entiende por auditora dc objetivos?
4. Qu debe verificar el auditor en materia dc origen dc la titularidad de los
programas?
5. Qu aspectos abarca la auditora jurdica dc las personas?
6. Cmo pueden utilizarse los requisitos recogidos en el artculo 4 de la
LORTAD a la hora de llevar a cabo la auditora de la informacin?
www.FreeLibros.me
i ________________ rAffn.li> : I AllWKXlA 11'RlDfA Dfc i x t o n o s informticos 5
7. Qu archivos quedan excluid de la aplicacin de la LORTAD?
8. De qu grado de proteccin te puede hablar en relacin con los dato*
contenido en archivos sometidos a la Ley?
9. Cules son las obligaciones del responsable del tratamiento automatizado
de datos?
10. Qu legislacin conoce sobre derechos de autor que afecte al software?
www.FreeLibros.me
CAPTULO 22
AUDITORA INFORMTICA
EN EL SECTOR BANCARIO
Pilar Amador Contra
22.1. CARACTERSTICAS GENERALES DE LA AUDITORA
INFORMATICA EN LAS ENTIDADES FINANCIERAS
22.1.1. Necesidad y beneficios de la auditora informtica en
la banca
La ovacin de la funcin de la auditoria informtica en la organizacin
tocaras es relativamente reciente, basta el punto de que an actual mcitc en algunas
idades financieras se encuentra en proceso de definicin o consolidacn.
Sin embargo, su existencia aporta innumerables ventajas a las entidades que
dispooen de ella, ventajas que. si bien en ocasiones muestran elementos de
acidencia con las habidas en cualquier sector empresarial, en ot os casos soa
apetfficamentc propias y derivadas de las caractersticas particulares del negocio
tacado.
El valor aadido que representa para una entidad financiera la existencia en su
organizacin de una funcin de auditora informtica plenamente operativo abarca
senos aspectos.
Una de las tarcas clsicas en cualquier actividad auditora es la relacionada con las
fase iones de control, por cuanto est dentro de su mbito de actuacin verificar la
anuncia de procedimientos y mecanismos de control suficientes y adecuados que.
operando principalmente a nivel preventivo y detector, permitan asegurar
www.FreeLibros.me
510 AUDITORIA INTOKMATKA UN KNKXyt PKCTICO
razonablemente el funcionamiento conecto de Ion sistemas informticos. y lo que es
ms. evaluar la implicacin de la inexistencia, la insuficiencia o la no adecuante de
dichos procedimientos En ltimo extremo, es la bondad de x\ medidas de coced
implantadas la que permitir al auditor en particular, y a la entidad en su conjunto ea
general, determinar el grado de confianza a depositar en el sisteita informtico
A este respecto, la faceta en la que la participacin de auditoria informtica ec d
sector financiero es ms valiosa la constituye, quizs, la revisin de las aplicacioncs
informticas, con el objeto de asegurar que ellas cumplen con los criterios furoocala
y operativos definidos por la entidad financiera. Esta actividtd. que forma pane dd
mbito de actuacin habitual de la auditora informtica en todcs los bancos que tienen
como tal implantada la funcin, es de extrema importancia por cuanto comnmente m
error en la interpretacin de un criterio, una especificacin inccmpleta. una deficiencia
en un algoritmo, suelen tener un impacto elevado, bien por el lmero de operaaeoes
que resulten afectadas, bien por la repercusin econmica del error.
Y no slo sos pueden ser los efectos de una mala definicin o implantacin de
las especificaciones de diseo. Aun cuando es general el concepto de que k bancos
contribuyen a la actividad econmica de un pas como empresas de servicios e d
mercado financiero, no es tan comn considerarlos como entkdes suministrador de
servicios de informacin, si bien una importante cantidad de sus recursos c mversjooes
a esta actividad. Los sistemas de informacin de bancos y entidades financieras
tienen, entre sus caractersticas particulares, la de constituir fuente de datos pira
mltiples agentes extemos. El negocio bancario se caracteriza porque sus procesos,
aun cuando no son excesivamente complejos si se compran con lo de otra
actividades empresariales, estn lodos ellos muy interrelacionaSos. tanto dentro de b
propia organizacin financiera como a nivel extemo. Como ccrttecuencia. los efectos
de los posibles errores pueden tener repercusiones directas o indirectas en mltipla
niveles, en un abanico de posibilidades que van desde el mbito interno en exclusiva
hasta, en el peor de los casos, afectar a la informacin proporcionada a terceras,
principalmente, organismos pblicos y. sobre todo, clientes.
A este respecto, es indudable la importancia actual que se e concede al cliente e#
el sector bancario. por cuanto la clientela ex. a la vez. origen y destino de la prcpa
actividad bancara. Y desgraciadamente, es innegable umbin que entre los
principales afectados por los errores en los sistemas informticos de los bancos se
encuentran, en ocasiones, toes clientes. No es el objeto tritar aqu los aspectos
asociados a las implicaciones que para un cliente puede tener en error, ni tampoco Ui
que directamente o indirectamente, derivadas de Ixs anteriores, puede tener para cu
banco, pero es claro que todos los errores tienen un coste, no siempre totalmente
cuantifcable. De ah la importancia de la auditora informtica en cuanto que
garantizado del correcto funcionamiento de los sistema, no slo desde la
perspectiva de la gestin de la propia empresa, sino tambin desde la ptica de k
clientes.
www.FreeLibros.me
Uno de los valores que de forma colateral, y debido al mbito en el que acta,
ele aportar U auditora informtica en las entidad?) financiera ev la deteccin de
procesos obsoletos, ineficaces o redundante*, que no atoden valor a h actividad de
Kgocio y. sin embargo. s suponen un coste. En el transcurso de su trabajo, el auditor
formfcico tiene la oportunidad de analizar los circuitos de informacin, los procesos
opencivos relacionados con los productos y tratamientos informticos, la bondad y/o
(ecuacin de los mismos en relacin con el objetivo tericamente perseguido, y en
definitiva, proponer acciones de mejora que. sin menoscabo de la calkiad real de los
procesos, redunden en un mejor aprovechamiento de los recursos.
Con todo, la concienciacin y el reconocimiento de la importancia de la auditora
famuca ha venido de la mano de la entrada en vigor de la LORfAD y de las
bwucooncs de la Agencia de Proteccin de Datos, en particular la que establece la
cMigatoriedad de realizar una auditora informtica peridica de las medidas de
fundad con que cuentan las instalaciones que procesan datos personales y
parimooiales-
**n_______________ CAiftinoi aumtowaixkhimAucaenklsectokbancabio sii
22.1.2. Tipologa de las actividades a auditar
No analizaremos aqu toda la casustica de posibles actividades a auditar en
a^xllas reas que son comunes a cualquier otra actividad empresarial (auditoras de
Kprdid lgica, seguridad fsica, etc.) y. por tanto, no presentan particularidades
apcoales en el sector hsnearo.
En su lugar, nos centraremos en las actividades de auditora en el marco de
procesos y funciones en las que existen caractersticas de especial inters en el caso de
Ki entidad financiera.
Distinguiremos en primer lugar, por su importancia en el conjuno de procesos
temticos de un banco, as como por las implicaciones de cualquier posible error,
lu auditoras de aplicaciones informticas que tratan y soportan productos boticarios
picos: (dans y fondos de pensiones, fondos de inversin, cuentas mientes, de
Aorro. de plazo y dems productos del pasivo tradicional, inversin crediticia
(ofctos. prstamos, descuento de efectos), etc. De las auditoras de este tipo se
tobUr en ms detalle con posterioridad.
Estas aplicaciones tienen bsicamente las siguientes caractersticas:
- Procesan y generan un gran volumen de datos relativos i contratos y
operaciones.
- Los procesos de tratamiento de los datos son relativamente <encilk>s (aun
cuando en algn caso puedan resultar conceptume nte conplejos): sin
www.FreeLibros.me
embargo, comparativamente suponen un gran consumo de recurso* en el lottl .
de los procesos informticos de un banco.
- Las operaciones y productos tratado* por estas aplicaciones tienes
normalmente un importante peso especifico en el balance de la entidad.
- La disponibilidad de la informacin suele ser un factor crtico.
- 1.a informacin generada tiene un elevado alcance, por cuanto se enva
masivamente hacia destinos externos a la propia entidad financiera.
- En estas aplicaciones se produce un efecto amplificado del error cualquier
incidencia puede afectar a un nmero elevado de operaciones y tener ana
repercusin econmica cifrada en millones de pesetas.
En segundo lugar podemos distinguir las auditorias de medios de pago', taqetat
de debito y crdito, transferencias de fondos, cheques personales, cheques de viaje.
12 AllDfTORlA lNH3RSt\nCA UN f.NKXX.11 HtACTlCO_____________________________mi
Entre las particularidades de estos sistemas destacan:
- Alto volumen de transacciones y de dientes.
- Existencia de reguUcioocs especficas para su tratamiento informtico y
operativo, consecuencia de los convenios suscritos con distintos organismos.
- Son reas en las que los aspectos de control tienen gran relevancia,
principalmente en materia de prevencin de fraudes, as como en d
cumplimiento de diversas normas emitidas por el Banco de EspaAa.
Otro de los mbitos de actuacin lo constituyen las auditorias informticas dt
actividades y productos de tesorera: mercados de activos financieros, y de opciones y
futuros, principalmente.
Destacan porque:
- Son reas muy tcnicas y especializadas desde el punto de vista bancano
- El nmero de transacciones (operaciones) no es muy elevado pero sus
importes s son muy significativos.
- I.ax salidas de informacin hacia clientes son escasas (sobre todo si se las
compara con las habidas en Us aplicaciones de productos hncanos tpicos) o
www.FreeLibros.me
cAltavoz: auduoeIa istokmAtica en a. sector bancario >i >
- Son sistemas en lo que una deficiencia en los procesos y/o en los
procedimientos de concrol puede provocar un quebranto econmico dc
considerable magnitud.
Como colofn, sealaremos las auditoras relacionadas con la informacin, en
l*s siguientes facetas:
- Auditoras dc calidad de la informacin, en cuanto que verificacin de la
existencia de procedimientos que garanticen su exactitud, fiabilidad,
oportunidad y utilidad, mediante el anlisis de los mecanismos utilizados para
su distribucin, el intercambio dc informacin entre diferentes departamentos
de la entidad, el circuito que siguen los datos desde su creacin y las
subsiguientes transformaciones (agregaciones, clasificaciones) que
experimentan hasta constituir el producto" final.
- Auditoras de la proteccin dc los datos personales. Entre ellas, destacaremos:
Auditora de las medidas de seguridad de los archivos relativos al
cumplimiento o incumplimiento dc las obligaciones dincrarias de las
personas fsicas, dc obligada realizacin a intervalos no mayores de dos
aos, segn establece la Instruccin 1/1995 dc la Agencia de Proteccin de
Datos.
Auditora de las medidas dc proteccin de la informacin dc carcter
personal y patrimonial que. aun cuando no se pueda considerar amparada
dentro de la Instruccin mencionada, s est regulada por la l.ORTAD.
- Auditora de los planes de recuperacin dc negocio o planes de contingencia.
Es un rea dc especial importancia en la actividad auditora por cuanto
actualmente las posibilidades de supervivencia dc una entidad financiera en
caso de un desastre en cualquiera dc sus centros de proceso dc datos dependen
directamente dc la existencia dc un plan dc recuperacin dc la actividad.
Por ltimo, sealar que la transformacin que est experimentando el sector
bancario en los ltimos aos y. en particular, la instauracin de nuevos canales dc
Afusin (banca telefnica, banca virtual), amplan el mbito dc la funcin auditor
mis all dc las tarcas tradicionales y, al mismo tiempo, exigen del auditor una
permanente capacidad de aprendizaje para abordar con xito los nuevos retos.
www.FreeLibros.me
22.1.3. Objetivos de la auditora y preparacin del plan de
trabajo
El alcance y el mbito con I que se aborde U auditora informtica de tna
actividad especifica ex variable y dependiente de varios factores, entre otros:
- Los objetivos que t e persigan con el trabajo y las razones que hayan motivad
mi realizacin. Probablemente, el contenido del plan de trabajo difiera en uta
auditora de revisin general de un sistema de aquella otra en la que e
pretende determinar el origen e aplicaciones de algunas incidencias delectada
en una actividad concreta.
- Lo recursos de que se disponga para abordar la auditora.
- El nivel de documentacin del sistema a auditar, puesto que su inexistencia o
insuficiencia puede conducir en la prctica a que aqul no sea auditable.
Como caractersticas particulares a > ner en cuenta en la preparacin del pbn de
trabajo de la auditora, se destacan las siguientes:
- La conveniencia de que el auditor conozca con el suficiente detalle los
procedimientos operativos internos de la entidad financiera relacionados con
el rea de negocio y/o el producto bancario soportado por la aplicacin. El
auditor, aun cuando el mbito de su trabajo se circunscrba al sistema
informtico, debiera conocer los circuitos opera lisos y administrativos
seguidos y asociados con los datos, desde su captura hasta la obtencin de lot
subproductos finales derivados de ellos. Ello le permitir evaluar el impacto
de lis debilidades y errores que pueda detectar en el funcionamiento dd
sistema, e incluso, poner de manifiesto situaciones en las que no exista la
suficiente concordancia entre el sistema informtico y el procedimiento
operativo.
- La necesidad de contar coa especificaciones funcionales documentadas de la
actividad a auditar, n i como disponer del suficiente conocimiento de la
operativa hancana tradicional asociada con el producto en cues*uta. El
innegable que un auditor informtico que trabaje para una entidad financiera,
adems de auditor e informtico, deber ser bancario.
- Como paso previo a la elaboracin del plan de trabajo, es extremadamente til
la recopilacin de toda la normativa y documentacin que pueda existir
relacionada con el objeto de la auditora.
En particular, en el caso de las aplicaciones boticarias tpicas en el sector
bancario. se destacan como referencias de consulta las diseas circulares e
instrucciones emitidas por el Banco de Espaa, la Asociacin Espaola de la Baiwa
Privada (AE8>. la Confederacin Espartla de Cajas de Ahorro (CECA), etc.
www.FreeLibros.me
CAWTTI.O 22:AtDTTOKlA INKXtMTICA fcXU. aCTOW BANCAWO 515
En ciertas reas especificas. existen otras fuentes de informacin que pueden ser
tambin de inters para el auditor, entre las que citamos a ttulo de ejemplo:
- Convenios firmados por la entidad financiera con organismos de las
administraciones central o autonmicas pora la financiacin de ciertas
actividades empresariales (prstamos).
- Convenios relacionados con los sistemas de truncamiento de cheques y
pagars, efectos, etc.
- Normas reguladores del Mercado de Anotaciones en Cuenta (valores, activos
financieros), del Servicio telefnico del Mercado de Dinero, etc.
En cienos trabajos especficos, el auditor puede necesitar tener un conocimiento
general de la legislacin vigente as como las Directivas Comunitarias. A modo de
ejemplo, ste el caso de la normativa sobre prevencin del blanqueo de capitales,
propiedad intelectual, proteccin de datos personales...
- Ante situaciones que requieran unos conocimientos particularmente tcnicos
en aspectos barcarios o legales, el auditor debe actuar siempre planteando su
consulta a los departamentos competentes. Esto es tanto mis necesario cuanto
menos documentadas se encuentren las especificaciones funcionales del
sistema, o cuando el auditor no ext seguro de que aqullas han sido dictadas
por los rganos funcionalmcnte responsables de ello. A este respecto, y como
premisa bsica, el auditor informtico no debera en ningn caso asumir de
antemano como vlidas las funcionalidades implantadas en los sistemas
informticos sin contrastar previamente su bondad con las fuentes de
documentacin y estamentos que correspondan.
22.2. AUDITORA INFORMTICA DE UNA APLICACIN
BANCARIA TPICA
Este apartado est dedicado a la actividad auditora en un rea que.
Adicional mente, ha sido el objeto principal de la auditora informtica en el sector
faanciero y. que an hoy. contina siendo su mayor consumidora de recursos.
No es el objetivo de este apaado el exponer detalladamente los procedimientos y
yrogramas de trabajo de la auditora de las aplicaciones informticas; por el contraro,
te pretende mostrar algunas de las particularidades de las citadas auditoras cuando
fitas tienen como marco el sector financiero, bien porque el elemento auditado sea en
rf mismo especfico del citado sector, bien porque, aun no sindolo, existan
cemideraciones especiales que el auditor debe tener en cuenta.
www.FreeLibros.me
<16 AtlprrtHtU lVKXtMATICA 11NEMOQUK PRACTICO
Resulta imposible, en un libro de carcter general como ste. comentar con *1
suficiente detenimiento lo puntos de control que el auditor debera revisar en d
mbito fijado para el trabajo. En su lugar, se ha considerado que podra ser ma
interesante para el lector conocer algunos aspectos prcticos de este tipo de auditoras,
de manera que cualquier auditor con experiencia en otros sectores empresariales
pueda, aplicando sus conocimientos y experiencia, iniciarse en la auditora informtica
bancara.
22.2.1. Criterios para la planificacin anual de los trabajos
La realizacin de la planificacin anual de la auditora informtica requiere, como
paso previo, un conocimiento general del estado de los sistemas de informacin con
que cuenta la entidad, as como de los objetivos estratgicos fijados por los rganos de
decisin. f>entro del mbito de las aplicaciones informticas, en particular a la hora e
proponer las tarcas del plan de trabajo para el prximo perodo, el responsable dd
auditora informtica por lo comn clasificar las posibles actividades en funcin de
diseos pautas.
En primer lugar, estn los factores clsico, generalmente utilizados en la
planificacin de auditoras de aplicaciones en cualquier sector empresarial y entre los
que podemos destacar:
- Antigedad de la aplicacin, aun cuando este dato tiene una doble valoracin,
ya que cuanto ms antigua sea mayores problemas de obsolescencia,
presentar probablemente con procesos poco eficientes o redundantes,
especificaciones funcionales no cubiertas, etc.: pero al mismo tiempo, ser
presumiblemente ms fiable, en cuanto a la calidad de la informacin
procesada y generada, puesto que el sistema informtico estar tambin mis
probado.
lloras de mantenimiento invertidas anualmente, estableciendo un*
comparativa entre aftas. as como con las restantes aplicaciones.
- Factores cualitativos asociados a la posible obsolescencia (no siempre ligada a
la antigedad) de la aplicacin, que el auditor podr determinar analizando a
aspectos corvo la forma y lugar en que se capturan los datos. la dimensin de
los tratamientos manuales, la tipologa de algunos de los controles que se
realizan, la ausencia de datos bsicos en relacin con el producio o rea
cubierta por la aplicacin, el volumen de recursos que requiere su adaptacin
al EURO y/o al arto 2000. y. en general, aquellas caractersticas que a criterio
del auditor se -consideren sintomticas de posible obsolescencia-.
Pero, adems, podemos distinguir un conjunto de aspectos tpicamente bancarios
a considerar en la planificacin de la revisin de aplicaciones:
www.FreeLibros.me
CAPtTtxo: : Ai nnoKU inhjhmatx a f_s h . sectok i
- Importancia econmica dc U funcin a la que se dedica la aplicacin, esto es.
su impacto en el balance del banco.
- Importancia de la actividad btincana a que da soporte la aplicacin en los
planes de negocio y expansin dc la entidad.
- La obtencin dc informacin a partir de la aplicacin con destino a clientes y
organismos pblicos (Ministerio dc Economa y Hacienda. Banco de EspaAa.
diversos organismos adscritos a las autonomas).
- El volumen. la frecuencia y la importancia material de las incidencias y
errores detectados mediante los mecanismos de control habituales: la
existencia de posibles reclamaciones interpuestas por dientes ante diversos
estamentos (la propia oficina bancaria o bien otros departamentos internos, el
Defensor del Cliente o la Oficina de Reclamaciones del Banco dc EspaAa).
- La existencia dc descuadres entre los datos facilitados por la propia aplicacin
y los registrados en la contabilidad de la entidad.
Para finalizar este apartado, queremos hacer hincapi en dos aspectos que nos
parecen, relevantes. De cara a abordar la planificacin de trabajos, es particularmente
importante que el auditor sea receptivo a las propuestas recibidas de cualquier
estamento de la organizacin, puesto que son los propios usuarios de los servicios
informticos los que mejor suelen conocer - y en ocasione padecer- los sistemas de
informacin que utilizan.
Junto con ello, otro de los factores que consideramos crtico es la sensibilidad del
auditor hacia el error, esto es. hacia aplicaciones, procesos y datos que estn dando
maestras dc errores, quiz no muy numerosos, ni muy importantes si se consideran de
forma aislada, incluso pueden ser de tipologa diversa y aparentemente no
relacionados, pero con la caracterstica comn en todos los casos de que se producen
de manera continua en el tiempo. Situaciones como la descrita suelen terminar
poniendo de manifiesto tras la realizacin de la auditora debilidades importantes en la
aplicacin, en una o ms reas: especificaciones funcionales poco definidas o mal
implantadas, debilidades de control en los procesos, diseo defectuoso de la
aplicacin, mantenimiento deficiente dc los programas informticos, insuficiente
documentacin y conocimiento de la aplicacin por parte del personal informtico
encargado del mantenimiento, etc.
22.2.2. Establecimiento del mbito de la auditora
La definicin del mbito dc la revisin a realizar en el trabajo auditor, esto es. la
determinacin de las actividades y procesos que sern analizados, depende en primera
www.FreeLibros.me
instancia del objetivo que pretenda cubrir el trabajo y de Us razones que hayu
aconsejado su realizacin.
As, si la auditora pretende obtener una visin de conjunto acerca del estado de
una aplicacin, al objeto de determinar si existen razonable* garantas de que los
tratamientos informticos son correctos y la informacin generada tiene la calidad
suficiente, el programa de trabajo probablemente se limitar al estudio de leu procesos
mis relevantes de la aplicacin. Podemos decir que. en la mayora de Us aplicacin
que soportan directamente productos bancarios. entre las actividades que casi sietnpee
sern objeto de revisin se encuentran los procesos de liquidacin, contabilizacin y
periodificacin contable.
Una vez seleccionados los procesos en los que se centrar la auditora, y siempre
y cuando los recursos disponibles as lo permitan, es aconsejable revisar dichos
procesos desde un punto de vista integral, contemplando todas las facetas desde la
generacin del dato hasta la obtencin de las diferentes salidas de informacin, puesto
que ello le permitir al auditor detectar debilidades que. de otra forma, posarn
inadvertidas.
Ahora bien, la aproximacin al trabajo ser necesariamente distinta si dte se
deriva de la existencia de incidencias en algn proceso detectadas por los
procedimientos de control habituales en la entidad. En este caso, el mbito de U
auditora viene ya determinado por el objetivo del trabajo (averiguar Us causas e
implicaciones de las incidencias detectadas), y, si bien el punto de auditora m i
tamban el estudio detallado del proceso en cuestin, los resultados parciales que se
obtengan en el transcurso de U auditora pueden obligar a redefinir en algn momeo,
el plan de trabajo.
La auditora del proceso finalmente seleccionado abarcar Us siguientes
actividades de revisin:
- Procedimientos de recogida y entrada de datos que. en la mayora de los casos,
se realizarn mediante transacciones de teleproceso, para km que el auditor
deber asegurar la existencia y operatividad de los controles pertinentes. A
este respecto, el trabajo de auditora debera incorporar autntico valor
aadido, es decir, no limitarse a U revisin de los controles informativos
tpicos de entrada de datos (controles de mnimos y mximos, control de que
el formato de los datos es el que corresponde, de fechas lgicas, etc.), siso
que. por el contrario, debera centrarse en la revisin de U implantocio
informtica de los controles operacionalcs definidos en U entidad.
Por ejemplo, en un sistema organizativo en el que los tipos de inters de Us
operaciones necesitan ser autorizados por un estamento superior cuanta
aqullos no e-stin dentro de un rango de valores, el auditor debera comproh*
SIU AtlOTTOKlA INFORMTICA: UN EMOQUKrKCnCO___________________________ <ham
www.FreeLibros.me
CAffTULO 22: AHOfTOftlA INFORMTICA EN EL SECTCft BANCARIO >1
que el sistema informtico no permite la formalizadn de la operacin de
estas caractersticas si no existe autorizacin electrnica para li misma.
O por citar otro caso, en cualquier transaccin de alta y nodificacin de
contratos de titulares de operaciones, se debera revisar el control de
obligatoriedad de introduccin de un DN1/NIF vlido al objete de cumplir con
determinadas regulaciones existentes que obligan a la identificacin de los
clientes.
- Procedimientos de generacin de la informacin de saltea del proceso,
bsicamente la destinada a clientes (extractos de liquidacin, comunicaciones
de revisin de tipos de inters, etc.) y organismos externos: Hacienda. CIRBH.
etc. El auditor, adems de verificar que la informacin es fiable, correcta y
completa, debera comprobar tambin que es conforme ton las normas
establecidas por los organismos receptores en cuanto a forma y periodicidad
de envfo y. en lo relativo a clientes, con lo estipulado por el Eanco de Esparta
en sus circulares en materia de transparencia en las opeiaciones con la
clientela.
A lo largo de toda la exposicin se ha comentado la auditoia de procesos
considerando que sto forman pane de una aplicacin. Sin embargo, en ocasiones
una misma operacin, servicio o producto bancano no es tratado en una nica
aplicacin, sino que. por el contrario, es soportado por varas de el lis. Ust sera el
caso de una organizacin en la que la contabilidad constituyera una apbcacin propia e
independiente del resto, alimentada a partir de los datos generados por el resto de
aplicacioncs. En un sistema como el descrito, una auditora del proceso contable
tendra una doble surtiente, puesto que se podra optar entre limtarse al propio
proceso, asumiendo, por tanto, la bondad y exactitud de los datos recibido* de las
iplicaciooes que lo nutren, o bien, incluir la revisin de las internases, esto es.
verificar la concordancia entre los datos recibidos y los registrad en los otros
sistemas.
22.2.3. Procedimientos de auditora a emplear
El auditor, en el ejercicio de su actividad y al efecto de cumplir con el objetivo
del trabajo, emplear diversos procedimientos y tcnicas, entre los que destacaremos:
A l n n de los programas informticos
Comprende la revisin de las funcione que realizan los programas por medio del
estudio del cuaderno de carga y cualquier otra documentacin que de ellos exista.
Incluye tambin el anlisis del propio cdigo fuente de los programas, la realizacin
de pruebas sobre ellos y la verificacin de que cumplen con las especificaciones
funcionales definidas.
www.FreeLibros.me
5 AUDfTCmlA KVH)RMATK'A: UN ENFOQUE PBACTKT>
El auditor deber perseguir:
Obtener un conocimiento detallado de la operativo del programa, que adcmfa
le servir posteriormente para comprender las aplicaciones de tot tratamiento
realizados por otros programas de la misma cadena.
Detectar errores en la interpretacin e implantacin de las especificaciones
Funcionales.
I
Garantizar la existencia y operatividad de los controles adecuados.
Esta tcnica es inabordable si los programas no estn bien modulados o carecen
de documentacin, lo que ya de por s es sintomtico y pone de manifiesto un
debilidad, porque apunta a que el mantenimiento del programa es complejo y
susceptible de que se produzcan errores.
Dado que la revisin de programas es una tarca que consume muchos recursos, ti
auditor deber seleccionar cuidadomente los programas y ratinas objeto de revixife
centrndose exclusivamente en aquellos que sean crticos. Sin embargo, este
procedimiento presenta la ventaja de que si el auditor es hbil y experimentado, le
permite detectar la presencia de caballos de Troya y errores en la intcrpretacifo
prctica de ciertas especificaciones funcionales.
Realizacin de controles de coherencia
Son quiz la mejor herramienta de trabajo del auditor, puesto que le facilita
descubrir de una manera muy eficiente ciertas anomalas en el funcionamiento de la
aplicacin. Se distinguen las siguientes variantes:
Controles cruzados entre los datos existentes en archivos y bases de dato
distintos obtenidos en un proceso comn (si lo que se quiere probar es la
bondad del proceso), o bien, en procesos distintos.
Por ejemplo, si se desea comprobar que el saldo que presentan determinadas
cuentas es correcto, se pueden utilizar los datos existentes en el archivo de
movimientos de las cuentas, de manera que las imputaciones habidas, sumadas
algebraicamente' y teniendo en cuenta el signo (debe/haber) del apume.
conformarn un saldo que debera coincidir con el existente en el archivo de
saldo de cuentas.
Controles de coherencia sobre la propia base de datos par) aquellos dalos
relacionados entre s.
www.FreeLibros.me
CApm'Lo:; auditor i a cs-iormatica i.n ei. s u t e ba.nc\rio >21
Por ejemplo, en una base de ditos de prstamos en la que se guardan las
informaciones relativas al plazo de la operacin (meses comprendidos desde
su forma! i/acin a su vencimicn(o). la periodicidad de la hquidacin y el
nmero de liquidaciones en la vida de la operacin, uno de lo* posibles
controles a realizar es comprobar que el producto de estos dos ltimos dalos
(periodicidad y nmero de liquidaciones) no es superior al primero (plazo de
la operacin).
Controles realizados utilizando programas independientes.
Procedimiento clsico de auditora informtica, pero muy JI para detectar
un mal funcionamiento en los sistemas, aun cuando en crie caso el auditor
debe garantizar que su programa (en especial si ha sido realizado por I) es
adecuado a) fin perseguido y proporciona resultados fiables.
Esta tcnica es principalmente de aplicacin cuando se desea probar el
correcto funcionamiento del programa de la entidad en frmulas o
algoritmos especficos.
Por ejemplo, el auditor podra aplicar un procedimiento de este tipo en la
base de datos anterior pora determina; la bondad del dato del plazo de la
operacin generado por la propia aplicacin, utilizando para ello un
programa propio que procese las fechas de Normalizacin y de vencimiento.
22.2.4. Consideraciones a tener en cuenta durante la
realizacin de la auditora
- Realizar un seguimiento peridico del nivel de cumplimerio del plan de
trabajo y evaluarlo a la luz de los hechos que se vayan poniendo de manifiesto
en el transcurso de la auditora. En ocasiones, puede ser interesante introducir
modificaciones en el plan inicial y el auditor debera utilizar su lgica para
decidir al respecto cuando:
Siendo los recursos muy limitados, haya encontrado un grado de
cumplimiento razonablemente satisfactorio en ciertas actividades que no
aconseje una revisin excesivamente detallada de ellas.
Se luyan detectado errores de relevancia en ciertas facetas que impliquen
profundizar en el mbito inicial previsto para ellas y suponga la
imposibilidad de abordar algunos otros pumos del programa de trabajo.
- Si durante la auditora se detectan errores, ser necesario:
www.FreeLibros.me
il! AUDITORA INFORMATICA: CN ENWXjHit PRACTICO
Estudiar en detalle la repercusin e implicaciones del error, considerando
iodos los procesos afectadas por l directa o indirectamente.
Evaluar o. al menos, estimar el impacto econmico del error, teniendo ea
cuenta el nmero de operaciones afectadas y el perodo de tiempo desde
el que se vienen produciendo.
Determinar las causas que han motivado el error y. en el supuesto de que
ste lleve algn tiempo producindose, los fallos existentes en los
procedimientos de control, que no permitieron su pronta deteccin.
Proponer o recomendar las medidas a tomar para la resolucin del error y
realizar una estimacin aproximada del coste asociado.
- En aquellos casos en que se detecte la inexistencia de los oportunos controles,
o bien, aun cuando existan, no tengan operatividad. el auditor debera:
Realizar las pruebas y los controles de coherencia entre dalos necesar*
para determinar las consecuencias prcticas derivadas de la situacin
fundamentalmente en materia de errores no detectados.
Recomendar los mecanismos de control que solventen la carencia
existente.
- Cuando los usuarios de la aplicacin hayan dejando sentir sus dudas acerca de
un adecuado funcionamiento de la aplicacin en algn aspecto concreto, d
auditor debera obtener una relacin documentada de las distintas incidencias
existentes, para, a continuacin, proceder a averiguar sus causas.
- Se debe tener presente que. lo que en ocasiones es percibido por el usuario
como un mal funcionamiento informtico, puede esconder, en realidad, isa
deficiencia ms profunda de tipo operativo u organizativo. Al mismo tiempo,
errores percibidos por los usuarios como hechos aislados pueden, en ltima
instancia, ser slo diferentes manifestaciones de una causa comn que la
auditoria debera poner de manifiesto.
www.FreeLibros.me
22.3. AUDITORA INFORMTICA DE LA PROTECCIN DE
DATOS PERSONALES
22.3.1. La importancia y el valor de la informacin en el sector
bancario
Como una consecuencia lgica de las funciones que realiza, una entidad
financiera dispone de diversa informacin acerca de la situacin patrimonial y
personal de cada uno de su* clientes.
Se puede realizar un ejercicio de abstraccin pensando en qu ditos p o s un
(anco de su clientela. En primer lugar, sus datos personales fnombre, direccin,
telfono), pero muy probablemente dispondr tambin de datos profesionales
(actividad a la que se dedica, empresa para la que trabaja). Tendr asimismo la
informacin relativa a todos los productos contratados por el cliente ron el banco:
posicin completa de sus cuentn (saldos e imputaciones realizadas por diversos
aceptos), el valor tasado de su vivienda si en algn momento la :ntidad le ha
cedido un prstamo para su adquisicin, su nivel de endeudamiento, las
inversiones que realiza y los productos en que las materializa, el inpone de su
imita...
Pero adems, qu conocimiento indirecto se puede obtener a partir de algunas de
cris informaciones? Entre otras cosas, se pueden conocer aspectos personales de su
ida privada: sus gustos y aficiones, las asociaciones a las que pertenece, las tiendas
ca las que compra, los lugares que visita, el colegio donde cursan estudias sus hijos y
largo etctera.
La sensibilidad de la informacin manejada por una entidad financera es mayor
te tiene en cuenta la totalidad de sus clientes y productos, asi con el nivel de
iprgacin que ello representa. Pinsese en el valor aadido que tiene la informacin
imafcda que sta va siendo ms completa; por ejemplo, conocer la posicin de todos
los clientes de pasivo en todos los productos que tienen contraodos es una
formacin ms valiosa, y por tanto ms sensible, que disponer exclusivamente del
taita de las cuentas de un nko-clicnte.
Los principales riesgos a los que hace frente la gestin de la infonracin son los
ptales:
Difusin no autorizada, intencionada o no. hacia destinos improcedentes. A
este respecto, es incuestionable el valor que la informacin boncaria de los
dientes puede representar para empresas comerciales y tro tipo de
organizaciones.
www.FreeLibros.me
4 AUOTTOKlA INKXtMATK'A UN ESKXJll! PRACTKO
La confidencialidad es. en general, un tema de especial preocupacin <a
cualquier entidad financiera, puesto que el negocio bancario tiene con uoa
dc sus caractersticas U de ser una actividad en la que. en mayor o menor
grado, interviene la confianza depositada por el cliente en la entidad.
Obtencin de informacin errnea, por accidente o por manipulacin indebida,
que adems, y como consecuencia de La normativa a la que est sometida la
actividad bancaria. es cedida a terceros, con lo* consiguientes perjuicios que
ello pueda ocasionar en ltima instancia a los dientes.
1.a combinacin formada por el valor de la informacin y los riesgos a que ctti
expuesta, han propiciado la apancin de disenas regulaciones para protegerla cwyo
cumplimiento forma parte del mbito de revisin de la auditora informtica.
Existen dos factores que. de manera especial, creemos deben ser tenidos en
cuenta al abordar cualquier trabajo de auditora relativo a la calidad (entendida sta en
su ms amplio concepto) de la informacin En primer lugar, est el hecho dc que
cada vez en mayor medida existe dentro de las organizaciones una elevada difusiva
interna dc los datos que puede llegar a motivar que una misma informacin resida a
ms dc una ubicacin con medidas dc seguridad que deberan ser homogneas. Ka
segundo lugar, el auditor debe ser consciente dc la riqueza que presenta la informante
a medida que sta va siendo agregada, comparada con otras fuentes de datos y
estudiada evolutivamente.
La combinacin de ambos factores (difusin y enriquecimiento de la
informacin) puede conducir a un proceso en el que las organizaciones no llegue a
conocer exactamente el volumen de informacin dc que disponen y. por tanto, no sean
capaces de protegerla convenientemente frente a los riesgos expuestos.
No es excesivamente comn encontrar organizaciones empresariales que tengan
su informacin clasificada en niveles de seguridad, en funcin dc la sensibilidad,
confidencialidad y valor estratgico que aqulla posea. Sin embargo, la adopcin de
este tipo dc prcticas, que surge en general dc la necesidad de conocer, mejorar y
controlar la distribucin de la informacin existente, se hace ms necesaria a medida
que surgen regulaciones que obligan a garantizar la proteccin de los datos personales
y financieros dc los clientes.
www.FreeLibros.me
c aH t i x o : : AUPtrowlA i n k k m t k a kn h . s ki ow ha-ncakio m
22.3.2. Actividades de auditora en relacin con la proteccin
de datos personales
El mbito <)e actuacin de la funcin auditora en exte campo se centra en la
verificacin de la LORTAD y dems Instrucciones promulgadas por la Agencia de
Pttteccin de Datas.
21X2.1. Auditora de cumplimiento de lu Instruccin 1/1995
El artculo 9.1 de la LORTAD establece que ~el responsable de los dalos deben!
adoptar las medidas de ndole tcnica y organizativa necesarias que garanticen la
seguridad de los dalos de carcter personal y eviten su alteracin, prdida,
tratamiento o acceso no autorizado, habida cuenta del estado de la tecnologa. la
naturaleza de los datos almacenados y las riesgos a que estn expuestos, ya
prevengan de la accin humana o del medio fsico o natural
La Instruccin 1/1995. publicada en fecha 4/03/95. en su Captulo 11 obliga a la
miuacin de una auditora peridica:
* I. l o s sistemas que almacenen o procesen informacin relativa al cumplimiento
o incumplimiento de las obligaciones dinero ras debern acreditar a efectiva
implantacin de las medidas de seguridad exigidas por el artculo 9.1 de la
Ley Orgnica dentro del ao siguiente a la publicacin de la presente
Instruccin (...)
2. La implantacin, idoneidad y eficacia de dichas medidas se acreditar
mediante la realizacin de una auditora, proporcionada a la naturaleza,
volumen y caractersticas de los datos personales almacenados y tratados, y
la remisin del informe final de la misma a Ut Agencia de Proteccin de
Datos.
. El informe de auditora deber dictaminar sobre la adecuacin de las
medidas y controles destinados a garantizar la integridad y confidencialidad
de los dalos personales almacenados o tratados, identificar sus deficiencias o
insuficiencias y proponer las medidas correctoras o complementarias
necesarias. Deber, igualmente, incluir los datos, hechos y observaciones en
que se basan los dictmenes alcanzados y recomendaciones propuestas.
6. Adicionalmente, los sistemas que almacenen o procesen informacin relatha
al cumplimiento o incumplimiento de obligaciones die ranas debern
someterse a una nue\xi auditora tras la adopcin de las medidas especficas
que. en su caso, la Agencia determine, a resultas del informe inicial de
www.FreeLibros.me
AUPTrORIA INFORMATICA: UN RNFOQtlfc PRCTICO
auditora. En todo caso, dichos sistemas debern ser audiiaiai
peridicamente, a intervalos no mayores de dos aAos."
En el momento en <jue << promulg e s a Instruccin, se suscitaron di vena* dudas
acerca de su alcance. As. se planteaba si mi mbito de aplicacin se limitaba a loa
archivo* de solvencia patrimonial o crdito formados por agregacin de lo* archn
tic las entidades acreedora* (lo* citado* archivos agregados estn (raudos en d
Captulo I de la Instruccin) o si. por el contrario, amparaba tambin a lo* segundos
Tambin se cuestionaba si. en el supuesto de que el mbito de la Instruccin estuviera
limitado al archivo agregado, llamado en ella comn", era de aplicacin pora los
bancos y dems entidades financieras o estaba restringido a aquellas sociedades que.
especficamente, prestan servicios de informacin sobre solvencia patrimonial y
crdito, como puede ser el caso del ASNEF.
Finalmente, la opinin ms generalizada, sustentada en algunas consultas
efectuada* a la Agencia, fue que se deben considerar afectadas por dicha Instruccin y,
por tanto, sujetas a la obligacin de ser auditadas, las entidades financiera* que pose
copia de los archivos agregados, y en especial, del RAI (Registro de Aceptacin de
Impagados).
Por lo que respecta a la realizacin de la auditora en s, sta debera verificar d
cumplimiento de los controles en las siguientes reas:
Controles de procedimientos y normas operativas:
- Verificacin de la existencia de procedimiento* documentados, de
aplicacin en toda la entidad, que establezcan las medidas a cumplir ea
cuanto al archivo y distribucin de la informacin:
Etiquetado, transporte y destruccin de los soportes de dato* (cintas,
cartridges. disquetes).
Perodo de retencin (archivo) de archivos y sus copias de seguridad;
procedimiento de borrado de los datos a la finalizacin del perodo de
retencin-
Transmisiones de archivos.
- Verificacin de la existencia de normas de actuacin a seguir por los
empleados:
Polticas de concienciacin en materia de seguridad que profundicen ea
la importancia de la confidencialidad de la informacin, los riesgos a los
que se enfrenta y las posibles implicaciones derivadas de la
materializacin de esos riesgos.
Normas escritas que especifiquen el cdigo de tica establecido por la
entidad y de obligado cumplimiento por todos los empleados.
www.FreeLibros.me
CArtTVIO 21 AUMTORlA INFORMATICA LV EL SKTOB I
Controle relacionados con la segundad fsica:
- Comprobacin de la opcralividad y adecuacin a los fines a los que van
destinada de las medido de control existentes en materia de acceso a las
instalaciones y de acceso a los sopones de datos (tanto en las distintas
instalaciones de proceso como en el lugar de almacenamiento secundario
de respaldo).
- Verificacin de las medidas de seguridad en relacin con el transporte
finco de los soportes de datos, tanto entre las distintas instalaciones en que
se procesa, como desde stas al almacenamiento secundario y viceversa.
Controles relativos a la seguridad lgica:
- Verificacin de que estn implantados controles de acceso a los archivos y
bases de datos, en los distintos entornos en que stos residan, que eviten
que aqullos puedan ser indebidamente ledos, copiados o alterados.
- Verificacin de que la entidad tiene formalmente definido un registro de
usuarios autorizados a acceder a cada uno de los archivos de datos en el
que se especifique el modo de acceso (lectura, copia, etc.) que cada usuario
ticoc permitido. Comprobacin del procedimiento estableado para la
inclusin y baja en dicho registro.
- Comprobacin de que existe un registro de los intentos de acceso al
sistema no autorizados, y para aquellos archivos mis crticos, un registro
de los accesos efectivamente producidos en el que se indique la fecha y
hora, el tipo de operacin realizada sobre los datos y el usuario que la
inici.
Controles de respaldo:
- Verificacin de los procedimientos de realizacin de copias de seguridad
de dolos y programas al objeto de determinar mi dMiucite y operuti vidud.
- Revisin de los procedimientos establecidos en relacin con el centro de
backup y el plan de contingencia: comprobacin de la realizacin de
pruebas peridicas, anlisis del resultado de stas, etc.
2 U 1 2 . Auditoria de cumplimiento de otros aspectos de la LORTAD
La LORTAD. y dems Instrucciones emitidas por la Agencia de Proteccin de
Otfos. incluye en su articulado varias normas y obligaciones legales, cuyo
www.FreeLibros.me
cumplimiento debera ver verificado por la auditora informtica, de las cuita
extractamos aqu las que consideramos ms relevantes:
SU AUXTORlA INFORMTICA- UN ESTOQUE WtXCTKO___________________________c u
22.3.2.2.1. Calidad de tos datos patrimoniales y financieros incluidos en arrimas 6t
morosos
La ya mencionada Instruccin 1/1995 establece:
" I . L a inclusin de los datos de carcter personal en los a re f l i rt s relatiws al
cumplimiento o incumplimiento de obligaciones dinerarias. a los que st
refiere el articulo 28 de la /<v Orgnica 5/1992. deber efectuarse solamente
cuando concurran los siguientes requisitos:
a) Existencia previa de una deuda cierta, vencida y exigible. que hay
resultado impagada.
b) Requerimiento previo de pago a quien corresponda, en t u caso, ti
cumplimiento de la obligacin.
2. No podrn incluirse en los archivas de esta naturaleza datos personales tebrt
los que exista un principio de prueba documental que aparentemeMc
contradiga alguno de los requisitos anteriores.
3. El acreedor o quin acte por su cuenta e inters deber asegurarse de <jw
concurren todos tos requisitos exigidos en el nmero I de esta norma en W
momento de notificar los datos adversos al responsable del archivo comn".
Por tanto, la auditora informtica debera revisar los archivos de morosos y
fallidos relativos a clientes de la propia entidad, esto es. cuando el banco es d
acreedor, as. como los archivos generados con destino a ser incorporados en un
archivo comn de varias entidades (RAI. ASN'EF. CIRBli). al objeto de verificar que
In deuda registrada y comunicada es real.
22.3.2.2.2. Compra de archhos para prospeccin comercial
El artculo 30 de la LORTAD regula:
I. Slo se utilizarn de forma automatizada dalos de carcter personaI en las
encuestas de opinin, trabajos de prospeccin de mercados, investigacin
cientfica o mdica y actividades anlogas, si el afectado hubiera prestada
libremente su consentimiento a tal efecto.
www.FreeLibros.me
CAPITILO 22 MfMUttU IMOVIATICA EWa . SfXTOftBANCARIO )
2. Los dalos de carcter personal tratados automticamente con ocasin de tales
actividades no podrn ser utilizados con finalidad distinta ni ceidos deforma
que puedan ser puestos en relacin con una persona concreta. "
Anc la posible existencia de archivo* coo dato* personales comprados al objeto
de realizar prospecciones comerciales, el auditor debera verificar que:
- La entidad se ha asegurado de la legalidad de los datos que compra.
- El contrato recoge las clusulas adecuadas que liberen de responsabilidad a la
entidad financiera frente a posibles incumplimientos de la Dormitiva legal por
parte del vendedor.
22J.2.2J. Datos personales recabados para un seguro asociado a un prstamo
La Instruccin 2/1995 protege los datos personales recabados para la
fermilizacin de aquellos seguros de vida asociados con la concesin de un prstamo
o crdito, de manera que el beneficiario del seguro es la propia entidad acreedora.
Eace otras, establece las siguientes normas, cuyo cumplimiento enira dentro del
tabi (o de revisin de la auditora informtica de la entidad financiera:
'Norma segunda.- De la recogida de los dalos
1. La obtencin de datos personales a efectos de la celebracin i e un contrato
de seguro de \ida. anejo a la concesin de un crdito hipotecario o personal,
efectuada por las entidades de crdito a travs de cuestionarios u otros
impresos, deber realizarse, en todo caso, mediante modelos separados para
cada uno de los contratos a celebrar. En los formularios cuy> destinatario
sean las entidades boticarias no podrn recabarse en ningn caso dalos
relativos a la salud del solicitante.
2. Cualquiera que sea el modo de llevarse a efecto la recogida de Satos de salud
necesarios para la celebracin del seguro de \ida dtber constar
expresamente e l compromiso de a entidad de crdito de que los datos
obtenidos a tal fi n solamente sern utilizados por la entidad aseguradora.
Las entidades de crdito no podrn incluir los dalos de salud n sus archivos
informatizados o en aquellos en los que almacenen datos de forma
convencional.
Norma tercera.- Consentimiento del afectado y tratamiento de los natos
El afectado deber manifestar su consentimiento por separado para cada uno de
los contratos y para el tratamiento distinto de la informacin que ambos conllevan.
www.FreeLibros.me
; W AL'PUDRI* IS~KXtM\nCA 1<S ENFOOCt- HtACTICO
Las entidades de crdito solamente podrn tratar aquellos datos personales. no
especialmente protegidos, que sean estrictamente necesarios para relacionar ri
contrato de prstamo con el contrato de seguro de vida celebraan como consecuencia
de aqul o que estn justificados por la intervencin de la emulad de crdito como
agente o tomador del controlo de seguro. "
Por unto, el auditor debera verifican
- La ausencia de referencias a datos sobre la salud del futuro prestatario en k>s
formularios de recogida de datos del prstamo.
- La inexistencia de ningn tipo de archivo por paite de la entidad financiera, ni
informtica ni manual, en el que expresamente se recojan los datos de salud de
los clientes.
- b existencia de la informacin adecuada en el claisurado del impreso
utilizado para la recogida de los datos relativos al seguro, al respecto de:
* El compromiso del banco de que los datos que proporcione el cliente sern
exclusivamente cedidos a la entidad aseguradora.
* Nombre y direccin del destinatario de la formacin (entidad
aseguradora).
* F.1 derecho del afectado a la consulta, rectificacin cancelacin de los
datos existentes cerca de l. en cumplimiento de lo establecido en la
LORTAD.
I En qu faceta resulta ms valiosa la partici pacn de la auditoria
informtica en el sector financiero?
2. Qu caractersticas tienen las aplicaciones informticas que soportas
productos barcarios?
3. En qu se diferencian las auditorias de medios de pago de las auditorias de
productos de tesorera?
4. Qu conocimientos necesita un auditor informtico par poder llevar a cabo
una auditoria en el sector bancario?
5. Comente cmo afecta la LORTAD a las aplicaciones bancarias.
www.FreeLibros.me
CAPTULO?? Al DITQtOA l>K>ttMATK A EN U-SliCTO BANCAIttO 1
61 Qu aplicaciones ere que licnc el problema del EURO en la auditora
informtica de entidad financieras?
7. Comente aspectos a tener en cuenta respecto a los "archivos de morosos".
8. Qu restricciones existen respecto a los datos recabados para un seguro
asociado a un prstamo?
9. Disee una planificacin anual de trabajos para auditora informtica de una
pequea entidad hancana.
10. Qu consideraciones dc las expuestas en el capitulo podran aplicarse a la
auditora de empresas dc seguros? Y de asistencia sanitaria?
www.FreeLibros.me
CAPTULO 23
AUDITORA
INFORMTICA EN EL SECTOR AREO
Aurelio Hermoso Baos
23.1. INTRODUCCIN
Por hacer un poco de historia podramos decir que en el mundo informtico del
itttor areo los aspectos jurdico no han tenido un gran impacto en el desarrollo dado
qae apenas existan y este sector estaba monopolizado por las empresas fabricantes dc
hardware y los productos y aplicaciones software en las que se basaba el tratamiento
de los datos y en las facilidades que ofreca el sistema operativo de sus mquinas.
Los aspectos sobre los que se realizaban trabajos dc auditora eran los clsicos de
materia econmica y financiera sobre los exudes, aparte del modo operativo, haba que
cumplir requisitos obligados que estaban reglamentados por los organismos oficiales
del pas. No obstante, dentro del sector haba que cumplir la legislacin internacional
correspondiente.
Cuando el mundo de la auditora se dio cuenta dc que los datos eran manejados
por sistemas informticos, naci la auditora informtica, la cual iba ms dirigida a la
organizacin del centro proceso dc dalos y a la custodia de los datos en dispositivo*
magnticos cumpliendo con la legislacin de guardar la informacin al menos cinco
La expansin del mundo informtico debido al avance de la tecnologa motiv
tfx determinados datos se procesaran en lugares geogrficamente distantes e incluso
por empresas distintas cuyo tnico fin era fortalecer el negocio del sector areo a nivel
mmdial en fuerte competencia con el resto de las compartas areas.
www.FreeLibros.me
Con l a idea nacieron divento sistema* de reservas a nivel intemacional elitre
k quo podemos citar los americano* SABRE. SYSTEM ONE y APOLLO. > los e
ropeos GALILEO y AMADEUS, aparte de lo* nacionales que cn Esparta era SAVIA
23.2. SISTEMA DE RESERVAS AMADEUS
1.a* lneas areas europeas no podan quedarse atrs ante el empuje americano y
se constituy como sociedad annima AMADEUS GLOBAL TRAVEL
DISTRIBUTION. viendo los socios actuales Air France. Iberia. Lufthansa y
Continental Airlines.
Su finalidad es proporcionar un sistema de reservas a nivel intemacioaal de
diversos productos entre los que se encuentran: vuelos areos, hceles, alquiler de
coches, etc.
A este servicio se conectan las Agencias de Viaje y Compartas Areas medMntt
terminales informticos. Desde estos terminales los adheridos realizan las reseas ea
nombre de sus clientes.
Ea Esparta se realiza esta funcin a nivel nacional por medio de la compia
SAVIA. Sistema para las Agencias de Viajes, utilizando los servicios de los grandes
sistemas informticos de IBERIA.
Al sistema se pueden adherir tambin los proveedores de los servicios con el fin
de que se puedan hacer reservas por medios informticos para: compartas de lneas
areas, servicios hoteleros, compaas de alquiler de coches, mayoristas de viajes,
floristas, y un largo etctera. Estos proveedores pueden estar directamente conectados
o no. pero su informacin s debe estar en la base de datos de AMADEUS.
Por lo tanto AMADEUS contrata servicios de proceso de datos y acceso a la base
de dalos de reservas pora cualquier lnea area que est adherida a un sistema
informtico de reservas, programas de vuelos, disponibilidad de plazas y tarifas, al
mismo tiempo que gestiona la red de comunicaciones, produce programas
informticos para la gestin de las Agencias de Viajes y tambin para la gestin de
todo el sistema de reservas a nivel internacional.
IBERIA realiza la conexin de las Agencias de Viajes espaolas al sistema
AMADEUS para que puedan reservar cualquiera de los productos ofrecidos del
proveedor de cualquier pas, al mismo tiempo que posee su propio sistema de reservas
y red de comunicaciones para sus Oficinas de Ventas y de las Agencias de Viajes.
www.FreeLibros.me
c a H t i l o a uht okIa informtica es il mctok Ateto s
Las Agencias de <xros pases pueden reservar productos de IBERIA en sistema
AMADEUS y de cualquier otro proveedor nacional que tenga sus producios en la base
4c datos, aunque estn conectados a otro sistema de reseas dad) que existen
acuerdos comerciales entre ellos para facilitar informacin y venta de sus productos.
23.3. FACTURACIN ENTRE COMPAAS AREAS
Este trasiego de informacin es gratuito, pero cuando se realiza uta r esea y la
correspondiente emisin del billete pora otra comparta area es necesario regularlo
pora que el importe recaiga sobre el autntico transportista.
Si un pasajero solicita informacin y desea contratar un vuelo con una comparta
area, por ejemplo Madrid-l.ondrcx. y ese trayecto lo realiza la misna, no existe
(Ktcracin entre compartas.
Pero si el suelo que desea realizar es: Madrid-Nueva York-Hawai-San Francisco-
Sueva York-Madrid. y la comparta area no puede efectuar alguno de estos tramos
por no disponer de autorizacin pura realizar esos vuelos, existe un acuerdo entre las
compartas areas de poder emitir el billete en las lneas de aquellas compartas que los
explotan comercial mente.
Si a esto aadimos que en la ciudad o pas donde est el cliente realizando la
ccmpra de sus vuelos, no existe representacin de la citada comparta, v puede emitir
d hlete reservando los vuelos entre tramos, en aquella comparta qo: s los puede
realizar o resulte mejor por horarios o precios.
Supuesto: Volviendo al ejemplo se nos poda dar la siguiente casustica:
La oficina de ventas de IBERIA o Agencia de Viajes donde compra el billete con
d logo de esta comparta, esti situada en Esparta y se utiliza la conexin va SAVIA.
Madrid-Nueva York se r esea y lo realiza IBERIA.
Nueva York-Hawai se r esea y lo realiza American Airlines.
Hawai-San Francisco se resena y lo realiza Camival Airlines.
San Francisco-Nueva York se r esea y lo realiza Continental Airlines.
Nueva York-Madrid se r esea y lo realiza IBERIA.
La suma total de los impones de cada uno de los tramos los abona negramente a
fikn emiti el billete, en este caso con el logo de IBERIA y a trav de la red de
SAVIA, con la r esena en cada una de las compartas areas que efectuarn el
correspondiente trajelo contratado.
www.FreeLibros.me
S AlDTTORlA INFORMATICA UN LNTOQtl. mACTKO
Lgicamente cada una de Mas deber recibir el importe del trayecto en el cual ha
sido transportado el pasajero que pag el importe por su reserva y emisin del billete.
Aqu aparece el concepto del BSP. Bank Setietmeni Plan. Plan de liquidaci*
Bancaria. cuyas oficinas estn en Ginebra donde se centralizan todas las operaciones
funcionando como una Cmara de compensacin. Para ello existe una fetbt
determinada, como limite cada mes, para hacer llegar los impones totales y
desglosados para cada comparta area de cada uno de k billetes emitidos y
realizados. 1.a distribucin de los Procesos BSP est basada en regulaciones de 1ATA
Asociacin Internacional del Transporte Areo.
Para evitar el fraude. IATA facilita un control numrico del stock de billetes que
se adjudica a cada compaAta area y Agencia de Viajes y que slo son vlidos pan
aquellos miembros asociados a la citada organizacin, siendo esta numeracifa
incorporada a los datos del pasajero para saber el billete que te le entrega con los
trayectos que solicit y la o las tarifas que abon.
Cada Agencia de Viajes incorpora su propio nmero de Agencia IATA en la
emisin del billete.
Esta informacin con la que incorpora los datos de la reserva efectuada figura en
la base de datos.
23.4. CDIGO DE CONDUCTA PARA CRS
La Comunidad Econmica Europea por mediacin de El Consejo de Us
Comunidades Europeas aprob, y public el Reglamento niim. 2299/89 de 24 de julio
de 1989. por. el que se establece un cdigo de conducta para los sistemas
informatizados de reserva, posteriormente aprob y public el Reglamento nm.
3089/93 de 29 de octubre de 1993. que modifica el Reglamento nm. 2299/89. por d
que se establece un cdigo de conducta para los sistemas informatizados de reserva
Esta ltima modificacin introduce conceptos en el reglamento sobre U
proteccin de datos de carcter personal y la prohibicin legal del uso de la
informacin del billete por los sistemas de distribucin, en este caso AMADEUS.
aplicable a los propietarios de los sistemas nacionales. IBERIA.
El citado reglamento comunitario establece en sus artculos 4. 6 y 21. entre otras,
las siguientes obligaciones:
www.FreeLibros.me
caHtmx) ; v aiidtohIa isnutuAncA tw n sfctok aCreo w
4) Lo* Sistemas de Distribucin (CRS's) deben asegurar que las facilidades de
distribucin estn separadas de manera clara y verificahle de las facilidades
privadas de inventario. gestin y marketing de la comparta o compartas
areas propietarias del mismo. Esta separacin debe ser fsica o lgica por
medio del software adecuado y las facilidades sern solamente coneciables
entre s por medio de una interfaz entre ambas aplicaciones.
6) Es necesario proteger los datos y su difusin tanto los privados del pasajero
como datos comerciales sobre las compartas areas participantes. Con
respecto a dicha difusin se establece en concreto que:
Los datos de reservas, ventas o de marketing pueden ser puestos a
disposicin de todos los participantes con la condicin de que:
No se incluyan datos personales de los pasajeros o entidades.
No exista discriminacin entre el duerto del sistema con respecto a kxs
participantes en lo que se refiere a la prontitud, el mtodo de transmisin,
la calidad de la misma, el precio, las condiciones, etc.
El CRS debe garantizar que las mencionadas facilidades se cumplen por
medios tcnicos que tengan las salvaguardas apropiadas en cuanto al
software utilizado.
FJ CRS debe garantiza/ que el duerto del sistema no puede acceder a la
informacin suministrada o creada para los dems participantes.
21) El cumplimiento de los requerimientos tcnicos mencionados debe ser
auditado por empresas independientes, por lo menos una vez al aA?.
Dado que IBERIA tiene subcontratado por AMADEUS el sistema de reserva y
misin de billetes, es por tanto susceptible de pasar la auditora correspondiente con
d fin de verificar la neutralidad de AMADEUS en su rea de responsabilidad.
Al poseer los datos de k billetes de todas lis compartas que se emiten por el
orienta informtico de IBERIA, aunque no se participe en el itinerario del mismo, hay
qx presentar toda la informacin necesaria que demuestre que no se hace uso
comercial de dichos datos ni se deriven prcticas que alteren la libre competencia.
Al mismo tiempo presentar los procedimientos actuales y la descripcin detallada
de V mismos as como la aplicacin de todas las salvaguardas necesarias pora que en
d sistema informtico de IBERIA slo se pueda acceder a los datos de otras
ccopartos. para proporcionar la informacin necesaria al BSP.
www.FreeLibros.me
i AlItHTOttiA INFORMTICA. UN EMOQUB HtACIKO
Cdigo de Conduca pora los Sistemas Informatizados de Reservas menciona que
los sistemas de reseas de vuelo informatizado* estn obligado a pasar una auditoria
anual que puede afectar a cualquier entidad que forme pane de dicho sistema.
En cuanto a los datos de carcter personal, la base de latos de reservas del
sistema AMADEUS en Alemania se encuentra registrada segtii la Ley de protecoo
de datos federal alemana, e igualmente la correspondiente a IBERIA en la Agencia de
Proteccin de Datos de Esparta,
En cuanto a los procedimientos de acceso, rectificacin y cancelacin a los dalos
personales recogidos en el sistema de reseas, tal y como aparecen en la Ley
Orgnica 5/92 de 29 de octubre, no estn definidos en AMADEUS por carecer dida
entidad de la posesin y control sobre dichos dalos. No obstante, cualquier ciudadano
puede acceder a sus datos de reserva a travs de la Agencia (fe Viajes en la cual se
efectu dicha reserva o a travs de las compaas areas que parecen en la misma,
por medios informatizados.
Esto es motivado por el sistema transaccional de la aplicacn en tiempo real que
adjudica la propiedad de los datos a la Agencia de Viajes que realiz la entrada de
datos quien tiene el contacto personal/comercial con el pa sacro. Es una medida
adicional de segundad aplicable por todas las compartas aireas para asegurar d
negocio de las Agencias de Viajes y de la seguridad de la resea del propio pasajero,
evitando la posibilidad de cualquier divulgacin y/o modificacin en los dalos.
La obtencin de cintas magnticas cuya informacin es de utilidad para proceses
de estadstica, est sujeta al artculo 6 del Cdigo de Contacta de CRS. Ver
bibliografa. Reglamentos de la Comunidad Econmica Europea, nmeros 2299/89 y
3089/93.
Asimismo ninguna de las empresas del sistema AMADEUS comercializa los
datos personales del sistema de reservas.
23.5. PROCESOS INFORMTICOS
Las aplicaciones informticas a las que se les practica la auditora son dos.
procesndose en plataformas informticas diferentes.
Proceso TK'KRTING. Desarrollado para grandes sistemas UNISYS. Bajo este
nombre, y para no complicar con nomenclaturas, vamos a reunir las numerosas
aplicaciones que componen la informacin de vuelos, reserva ce plazas y emisin de
billetes adems de los procesos de identificacin de usuarios y terminales y la gestita
de la red de comunicaciones.
www.FreeLibros.me
CAftTVtO ; VAUDITORIA IMOftSUTK'A l:N U SfcCTOR AfcKU) ?-W
Este proceso comienza por la solicitud de U Agencia dc Viajes o Comparta area
de la solicitud de los vuelos para un trayecto determinado, horarios de lo mismo.,
disponibilidad dc plazas, diversas tarifas, reserva dc vuelo y asiento con su definitiva
confirmacin en la emisin del billete para el cliente.
IBERIA facilita la oportuna informacin y/o conecta a la Agencia de Viaje* con
el sistema AMADEUS. que posee adems un computador exclusivamente para clculo
de tarifas, devolviendo la informacin completa, facilitando la oportuna emisin d d
billete y el impode a abonar.
l-> seguridad de la aplicacin est basada en el SIGN-IN facilitado a la Agencia
de Viaje* en el momento de la contratacin comercial del servicio. Esta contrasea
permite identificar tanto a la oficina dc ventas y a sus terminales como a las
fancionalidade* asignadas para la realizacin de las determinadas transacciones que
est autorizado a utilizar, igualmente se guarda la identificacin para que slo esa
Agencia y no cualquier otra con sign-in diferente, pueda modificar, eliminar o aadir
datos al registro creado en la base de dato* para la reserva y emisin del billete del
pasajero.
La informacin del billete confirmado y cerrado ser utilizada para realizar el
diect-in en el aeropuerto en el momento en que el pa*ajcro embarque al avin.
Toda la informacin correspondiente al billete o mantenida en la base de dato*
huta que el pasajero haya realizado el ltimo tramo que figura en el mismo, momento
01 que ser copiada a cintas magnticas para usos estadsticos y conservacin de tipo
legal y borrada del sistema.
Lo* datos contable* son traspasados al sistema IBM va hypcrchanncl.
Proceso BSP. Desarrollado para grandes sistemas IBM. Los dato* econmico*
del billete dc vuelo son tratado* en procesos de facturacin y administracin contable
y dc preparacin para ser remitidos al Centro dc compensacin para la facturacin
entre compaas areav
Existe una empresa nacional de BSP que rene los datos correspondientes de
IBERIA mediante proceso de captacin de la informacin por medio dc transmisin
de archivos y tambin de las otras compartas areas nacionales y agencias de viaje
pira ser transferidos al centro de compemacin en Ginebra.
La transmisin de esto* archivo* se formaliz mediante contrato exigiendo todas
1 medida* dc seguridad necesarias y dc acuerdo con la legislacin nacional vigente y
b ao divulgacin de los dalos comerciales de las comparta* participantes.
www.FreeLibros.me
mi Al IHUHtU IStOUMSTKA I -X1-NfOQH fWCTKt)
l.as medidas de proteccin vienen dadas por clave Use/ Id asignada a pencan
significada nicamente con autorizacin de lectura para los archivos determinados,
con lo cual la confidencialidad, divulgacin y no manipulacin de la informacin
queda asegurada.
Ixw datos se respaldan en cintas magnticas mediante procesos backup siento
custodiadas en un centro off-site durante el perodo legal exigido.
23.6. AUDITORA INFORMTICA
Anualmente se recibe la visita de auditores que en cumplimiento del Reglamento
Comunitario sobre Cdigo de Conducta de CRS. vienen de Alemania, sede del sistema
AMADEUS para realizar sus trabajos respecto a los procesos sealados en el punto
anterior. H1 cumplimiento de esta auditora es obligado, y en caso del no cumplimiento
de lo estipulado en los artculos del reglamento se podra cancelar el contrato de
servicio entre ambas empresas.
1.a finalidad de la auditora es detectar posibles desviaciones para asegurar la
correcta o incorrecta funcin neutral en la emisin del billete por parte de IBERIA
como subcontratado de AMADEUS. as como asegurar las apropiadas salvaguardas,
como los procedimientos internos y las medidas de segundad conforme al Reglamento
de la CEE nm. 2299/89. de 24 de julio 1989 y Reglamento CEE nm. 3089/93. de 29
de octubre 1993. por el que se establece un Cdigo de Conducta pora kxs sistemas
informatizados de reservas y los requerimientos de AMADEUS incluidos en el
contrato con la subcontratacin de servicios de Ticketing con IBERIA en cuanto a
informacin al cliente, calidad de los servicios y confidencialidad se refiere.
Breve descripcin de los servicios de sistemas de informacin que facilita
IBERIA
En general como operador areo, el transporte de pasajeros y carga, servicios
en aeropuertos y operaciones de vuelo.
En particular, desde el centro de proceso de datos de Madrid, ofrece sistemas
de inventario (informacin de vuelos, plazas disponibles, tarifas), emisin de
billetes, seguimiento de equipajes y operaciones de carga.
Existen compartas areas conectadas al sistema informatizado de reservas de
IBERIA con inventario privado y emisin de billetes.
La informacin del billete consiste en datos del pasajero e informacin del
vuelo, tarifa del mismo y forma de pago, que pueden ser impresos en la
Agencia de Viajes conteniendo otros datos de seguridad como el nmero de
www.FreeLibros.me
CArtmx) ;.v AiiixroRla inokmatca i h . s k t u k k m o u i
control del billete, control de stock del billete de informacin para el BSP.
Todo ello pora la emisin del billete de vuelo.
Estructura Sistema Informatizado Reservas de IBERIA
El primer paso despus de preparar la agenda de entrevista con los auditores, es
recibir en IBERIA un cuestionario obre de terminada preguntas que debidamente
cumplimentado y comentado se les luce entrega el da de la visita.
Estas preguntas se concretan en cuatro apartados:
A) Datos personales
- Nuevas inscripciones de archivos en la Agencia de Proteccin de Datos, desde
la ltima auditora realizada.
- Realizacin de auditoras internas o externas concernientes a la seguridad y/o
privacidad de los datos.
- Si fue interna, cules fueron los resultados.
- Aparicin de nuevas regulaciones internas sobre confidencialidad o manejo de
los datos de carcter personal o de la comparta.
www.FreeLibros.me
- Aparicin de violaciones concernime* a la privacidad de lo* dato* de carcter
personal.
- Reclamaciones de compartas areas respecto al manejo de sus datos.
- Reclamaciones desde otras compartas areas a los servicios de IBERIA.
- Reclamaciones desde otras compartas areas a los servicios de billetaje.
B) Datos BSP
- Si se ha incorporado alguna nueva compaa area que tenga su invenurioei
la base de dato* de IBHRIA desde la ltima auditora realizada.
- Si esto oblig a modificaciones en las aplicaciones.
- Si hubo necesidad de adaptaciones en los sistemas informtico*, en d
software, en los procedimientos o en la organizacin.
- Si se han incorporado nuevas reglas de BSP.
- Si han aparecido nuevos mercados en el BSP.
- Si han aparecido nuevas versiones de BSP.
C) Otras modificaciones y cambios
- Cambios en la poltica de seguridad de IBERIA desde la ltima ataJiiorfa
realizada.
- Cambios en la poltica de respaldo y salvaguarda de la informacin.
- Cambios en los sistemas de seguridad y configuraciones en los ustcm*
informticos de cada una de las plataformas.
- Cambios hardware y/o de sistemas operativos en cada una de las plataformas.
Cambio* en la organizacin separando responsabilidades desde la kimt
auditora realizada.
Entre Desarrollo y Explotacin.
El grupo de desarrollo de la aplicacin Ticieting mantiene las irusmu
responsabilidades.
www.FreeLibros.me
CAffrVLO li AUDITORIA IVtOltStATTCA EN El- SECTOR AtKBO M3
Di Documentacin
- listados de los perfiles de seguridad de los archivos correspondientes a los
procesos BSP y de los usuarios que estn autorizados a su acceso y
tratamiento.
Por su pane los auditores instalan procedimientos y medida* administrativas con
d fie de asegurarte la seguridad en los dalos del billete, cubriendo la separacin de
evos sen icios y principalmente de cualquier funcin de in*ntario. entendiendo que
AMADF.US facilita los mismos conceptos a todas las compartas aireas conforme se
detalla a continuacin:
Loable(imitnio de Ftujo de Irabajo
Entrevista* con lodos los responsables de las rea* de la aplicacin Ticketing en
orden a confirmar, completar o corregir las medidas, procedimientos y controles
establecidos poniendo un mayor nfasis en los aspectos de seguridad.
Procedimientos de auditoria
Estin basados en la separacin organizacional y en la documentacin solicitada
ceo anterioridad.
Otro enfoque ha estado basado principalmente en la implantacin de medida* y
procedimientos de seguridad y su* controles distribuyndolos en temas como:
Seguridad Fsica.
Sistema* de seguridad e integridad.
Medidas de seguridad en la* Aplicacioncs y su* dalos.
Seguridad en el desarrollo de la Aplicacin.
Seguridad Fsica
Se analizan los siguientes puntos:
- Control de accesos al edificio del Centro Proceso de Dato*.
- Acceso a las diferentes rea* slo por personal autorizado, y de visitantes.
- Acceso a la sala de computadores u otras dependencia* criticas.
- Registros en libros de entrada/salida e inspeccin de bultos.
www.FreeLibros.me
W AtlPtTOHU ISKXLMTK'A UN iMOQUK MUCIICH
- Control de entrada y salida de vehculos de la zona y su registro.
- Control rea suministro de energa, aire acondicionado y otros servicios pee
medio de CCTV.
- Centro off-site. para almacenamiento y custodia de cintas magnticas y su
control e identificacin, l i s t as de personal autorizado y su autorizacin.
Si lema de Seguridad e Iruegridad
- Acceso a los Sistemas Informticos UNISYS.
Control de acceso a la aplicacin Tkketing. mediante identificacin dd
usuario y autorizacin de conexin al sistema informtico corTcspoodicaie
que tiene la aplicacin.
Control de acceso del terminal identificado en el software del front-eed de
comunicaciones y en tablas del sistema operativo.
El terminal y la conexin fsica estn previamente definidos en tablas coa
acceso protegido.
Se define a cul aplicacin de Tickcting se autoriza al terminal a conectase
definido en tablas con acceso protegido.
Estos tipos de acceso slo estn permitidos va transacciones en tietapo
real con funcionalidades predeterminadas en la aplicacin.
Una aplicacin no puede tener acceso, lectura o modificacin en otra
aplicacin si no est previamente autorizada o requerida por ta
funcionalidad.
El usuario accede a la aplicacin mediante Sign-in. el cual es ilnico pa
esa Agencia de Viajes u Oficina de Ventas de IBERIA.
El acceso va sistema conversacional requiere un Logon de entrada mis
User-Id y Password.
Existe auditora de intentos de violacin y control de accesos.
El acceso a los datos slo es posible va autorizacin de la aplicacin.
Existen terminales autorizados para entrar en sistema de emergencia
asignados al personal tcnico pora la resolucin de problemas.
www.FreeLibros.me
CAUTELO : AUDITORIA IMOKMADrA hN M. SKTOK A6RBO MS
- Acceso a los sistemas informticos IBM.
Los terminales autorizados de acceso al sistema informtico que contiene
la aplicacin estn definidos en el software de la Unidad de Control de
Comunicaciones y en las tablas del sistema operatis-o MVS. debidamente
protegidos.
El acceso al sistema est controlado por User-id y Password.
Existen reglas de acceso a las aplicaciones por proteccin y tipo de acceso
a los archivos, asignacin de facilidades al usuario.
Existe auditora de violacin y control de accesos.
l a seguridad consiste en identificacin de usuario y su verifcacin. control
de accesos y auditora guardando sus resultados.
Se asegura que una aplicacin no puede acceder a datos de otra aplicacin.
Existen terminales autorizados para entrar en sistema Je emergencia
asignados al personal tcnico para la resolucin de problema'..
Todos los datos de contabilidad preparados en la plataformi UNISYS por
la aplicacin Ticketing son transferidos a la plataforma IBV por medio de
transferencia de archivos y quedan almacenados debidamente protegidos
por el producto de seguridad instalado en dicha platafonru. Antes de la
transferencia son manejados por procesos batch.
Medidas de seguridad de as Aplicaciones y sus datos
Las definiciones de seguridad de la aplicacin son coordinadas por los
responsables de AMADEUS. IBERIA y SAVIA.
SAVIA define la seguridad de acceso de la Agencia de Viajes a la Aplicacin
Ticketing y lo comunica a IBERIA para su inclusin en los sistemas
informticos. Incluye definicin del terminal. Sign-in en la Aplicacin con
sus funcionalidades y autorizaciones, y la identificacin del terminal de la
Agencia de Viaje*.
www.FreeLibros.me
- Controle* de acceso a 1 aplicacin Tickcting:
El acceso a la aplicacin es controlado por la identificacin del terminal ca
comn con el sign-in. Esus especificaciones estn contenidas en ubUi de
la aplicacin.
- Controles dc acceso a la aplicacin de otnts Compartas areas:
El control de acceso del terminal a sus aplicaciones est en base a las
autorizaciones asignadas al terminal. Por ejemplo, puede impedir el acceso
a otros programas dentro dc la aplicacin.
Acceso restringido a transacciones que faciliten las tarifas y el nmero de
control dc stock del billete.
Restringir el acceso a aplicaciones inventario, (informacin dc vuelos,
disponibilidad de asientos y tarifas), desde terminales.
- Control de conectividad a otros novicios basados en sistemas remotos:
La aplicacin tambin controla la conectividad a otros sistemas, incluyendo
los protocolos de comunicacin.
Acceso a aplicaciones basadas en Memas remotos, estn definidas en
tablas que especifican el correspondiente programa, aplicaciones
permitidas y las interfaces.
Accesos del terminal a las aplicaciones remotas son controladas por
programas de la aplicacin Ticketing y llevan el identificador del terminal.
- Control de acceso a xus bases de datos:
Los accesos a la informacin de las bases dc dalos estn garantizados per
los programas y transacciones controladas por la aplicacin Ticketing,
definidas las relaciones entre datos y programas en tablas.
- Control de accesos a utilidades:
Los accesos a utilidades estn definidos, controlados y mantenidos por la
identificacin del terminal en tablas, siendo el grupo de desarrollo de la
aplicacin el nico autorizado para ello.
- Control dc obtencin de respaldo dc las bases de datos y programas de la
aplicacin:
Se asegura mediante la realizacin de procedimientos con perox
determinados de acuerdo con normas dc seguridad publicadas.
www.FreeLibros.me
CAHlUtO 2V AtlXTOKlA INWKMTKA Qi EL Sg~TOWAtKH) MT
Las cintas magnticas obtenidas son custodiadas en centro <f-sitc.
- Control de Soporte (Help Desk) en SAVIA:
FJ punto de entrada para las Agencias de Viaje concctnlas a SAVIA
funciona en dos niveles de soporte.
FU primer nivel de soporte lo facilita SAVIA desde un punto de vista
funcional y tcnico. Incluye la comprobacin del entorno de la Agencia,
como puede se el hardware, configuracin, software y contctividad.
El segundo nivel, si con el primero no se resuelve el problena. es facilitado
por SAVIA, y es el persona) tcnico de IBERIA corvo soporte de la
aplicacin Tickenng el encargado de la revolucin. Este grupo es
responsable del mantenimiento relativo al desarrollo de la aplicacin,
incluyendo toda la configuracin y tablas de seguridad.
Solamente los terminales instalados en Help Desk estn permitidos para
usar estas facilidades, esto se asegura utilizando las tablas de identificacin
de los terminales vfa la definicin de tablas de configuracii en el software
de comunicaciones.
Seguridad en el desarrollo de la Aplicacin
El desarrollo de la aplicacin Ticketing y sus funcin pertenece a
AMADEUS. porque es un producto basado principalmente en el paquete
estndar de la casa UNISYS para su aplicacin en lneas areas
El grupo de desarrollo de IBERIA tiene la responsabilidad de integrarlo y
probarlo en la plataforma UNISYS.
Existe separacin de entornos de Desarrollo y Explotacin con procedimientos
y normas muy concretas y seguras pora el pase a explotacin Je programas y
sus modificaciones.
Los cambios para la aplicacin de contabilidad y facturacin en la plataforma
IBM son iniciados por IBERIA o por la Cmara de compensacin BSP.
El desarrollo de los programas necesarios son probados en criomo separado
en cooperacin con las autoridades del BSP.
www.FreeLibros.me
23.7. CONCLUSIONES
Problema t
Es necesario un seguimiento de la legislacin nacional e internacional en
materia de la facturacin entre compaa areas BSP pora la adaptacin de Us
aplicaciones a su contenido.
Dejar bien claro en los aspectos contractuales con las Agencias de Viaje y
Compaas areas que se incorporen o la base de datos de IBERIA I
obligaciones y responsabilidades de cada pane segn la legislacin naciocul e
internacional.
I-is nuevas tecnologas pueden hacer variar Us aplicaciones actuales, como
por ejemplo U venta del billete electrnico y sobre todo las ventas pee
INTERNET, lo que obligara a tomar medidas de seguridad adicionales.
Ut AtlPCTORA INFORMTICA: UK ENFOQUE PRCTICO___________________________ t*w
Soluciones
I-s aplicaciones deben controlar fuertemente U identificacin de los clientes,
lo que har variar y ampliar el desarrollo por el mundo INTERNET eco
nuevas soluciones en materia de seguridad, lo que a su ve* obligar a
desarrollar nuevas metodologas en el mundo de U auditora informtica.
a) Reglamento de U Comunidad Econmica Europea nm. 2299/89. de 24 de
julio de 1989. por el que se establece un cdigo de conducta para los ststemis
informatizados de reserva. Diario Oficial de las Comunidades Europeas,
L-220.29 de julio de 1989.
b) Reglamento de la Comunidad Econmica Europea nm 3089/93. de 29 de
octubre de 1993. que modifica el Reglamento de la Comunidad Econmica
Europea nm. 229W89 por el que se establece un cdigo de conducta para ks
sistemas informatizados de reservas. Diario Oficial de las Comunidades
Europeas, L-278, 11 de noviembre de 1993.
c) Informe de la Comisin de las Comunidades Europeas al Consejo sobre la
aplicacin del artculo 4 bis y el apartado 3 del artculo 6 del Reglamento de la
Comunidad Econmica Europea nm 2299/89 del Consejo en su versin
www.FreeLibros.me
<Ar t n i o .MAt:l)fTORlA IMORMMKA >N IX SECTOR AfJtEO W
modificada por el KegUincnio por el que se establece un cdigo de conducta
para los MMcmas informatizados de reserva. Bruselas 07.03.1 W .
1. Nombre algunos sistemas de reservas que conozca.
2. Qu es AMADEUS?
3. Qu tipo de tratamiento de la informacin ve necesita para un viaje con
diseas escalas en las que el pasajero cambia de comparta area?
4. Cmo afccu la LORTAD al sector areo?
5. A qu aplicaciones principales se les hace auditora en el secor areo?
6. Describa los servicios de sistemas de informacin que facilita una comparta
como IBERIA.
7. Qu aspectos se analizan en cuanto a la seguridad e integridad?
8. Cules son las medidas de seguridad de las aplicaciones y su* datos?
9. Cules son los problemas de adaptacin de legislacin internacional en
materia de facturacin?
10. Qu nuevos riesgos entrarta la senta del billete electrnico a travs de
Internet?
www.FreeLibros.me
CAPTULO 24
AUDITORA
INFORMTICA F.N LA ADMINISTRACIN
Vctor Izquierdo Layla
24.1. INTRODUCCIN
Constituye un juicio de valor generalmente aceptado decir que las Tecnologas de
U Informacin y de las Comunicaciones (TIC) se han venido u.ilizando en la
Administracin espartla, desde los inicios del proceso de "mecamacin" en los aos
sesenta hasta entrada la dcada de los noventa, para mejorar su funcionamiento
utiemo. dejando de lado (salvo en excepciones que confirman la regla) su aplicacin a
lis relaciones de I# Administracin con ciudadanos y empresas.
Ene juicio de valor es compartido por el legixlador en la Ley 30 1992. de 26 de
noviembre, de Rgimen Jurdico de las Administraciones Piblicas y del
Procedimiento Administrativo Comn (LRJ-PAC). cuando en la Exposicin de
motivos dice:
Las nuevas comentes de la ciencia de la organizacin aportin un enfoque
dkiottal en cuanto mecanismo para garantizar la calidad y transparencia de la
ctacin administrativa, que configuran diferencias sustanciales entre los escenarios
e 1958 y 1992. lu Ley de Procedimiento Administrativo de 1958 pretendi
Bodemizar las arcanas maneras de la Administracin espaola, propugnando una
racionalizacin de los trabajos burocrticos y el empleo de mquinas adecuadas con
sista a implantar una progresiva mecanizacin y automatismo en las ofcias pblicas,
siempre que el volumen de trabajo haga econmico el empleo de estos
pcixcdimientiK" Este planteamiento tan limitado ha dificultado el que la infor-
matizacin. soporte y tejido nervioso de las relaciones sociales y conmkas de
westra poca, haya tenido hasta ahora incidencia sustantivo en el procedimiento
www.FreeLibros.me
SU AUPtTOKUlKKHtMTKA: UN EMPOCE HUenCO
administrativo por falta de reconocimiento formal de la validez de documentas y
comunicaciones emitidos por dicha va. El extraordinario avance experimentado en
nuestras Administraciones Pblicas en la tecnificacin de sus medios operativos, a
travs de su cada vez mayor parque informtica y telemtico, se ha limitado al
funcionamiento interno, sin correspondencia relevante con la produccin jurdica de tu
actividad relacionada con los ciudadanos Las tcnicas burocrticas formalus.
supuestamente garantistas. han caducado, por ms que a algunos les parezcas
inamovibles, y la Ley se abre decididamente a la tecnificacin y modernizacin de la
actuacin administrativa en su vertiente de produccin jurdica y a la adaptacifa
permanente al ritmo de las innovaciones tecnolgicas."
El presente captulo sobre la auditora informtica en la Administracin se centra
en analizar las consecuencias que se derivan para esta disciplina de la entrada en vigor
de la LRJ-PAC y de las disposiciones que la desarrollan. En particular, el Real
Decreto 263/1996. de 16 de febrero, por el que se regula la utilizacin de tcnicas
electrnicas, informticas y telemticas (EIT) por la Administracin General dd
Estado.
Examinemos en primer lugar el tratamiento que reciben las TIC en la LRJ-PAC.
24.2. LAS TIC EN LA LRJ-PAC
Los dos preceptos esenciales pora comprender el papel asignado a las TIC en 1
procedimiento administrativo por la Ley 30/1992 son el artculo 45 (Incorporacinde
medios tcnicos) y el 38 (Registros). Existen otros en los que se contienen mandilo*
que afectan a la utilizacin de las tcnicas EIT por porte de las Administracin
Pblicas. Se trata, principalmente, de' los que se refieren al acceso a los registros y
archivos, a las comunicaciones y notificaciones, al derecho a no presentar documentos
que ya se encuentran en poder de la Administracin actuante, a la validez y eficacia de
documentos y copias o a la Informatizacin de registros.
Comencemos por el Artculo 4S que la Ley dedica a la Incorporacin de medien
tcnicos . En su primer apartado se recoge el siguiente mandato:
Las Administraciones impulsarn el empleo y aplicacin de las tcnicas y
medios electrnicos, informticos y telemticos, para el desarrollo de su actividad y d
ejercicio de mis competencias, con las limitaciones que a la utilizacin de estos medios
establecen la Constitucin y las Leyes.
De su lectura podemos extraer las siguientes conclusiones:
- Se trata de un mandato que afecta a todas las Administraciones a las que se
aplica la Ley: la General del Estado, las de las Comunidades Autnomas y las
Entidades que integran la Administracin Local.
www.FreeLibros.me
- No se refiere, como seala L. Ortega Alvarez. slo a la utilizacin J e las
tcnicas y medios BIT para el funcionamiento inlemo (desarrollo de su
actividad), sino tambin a las relaciones con los ciudadanos (ejercicio de sus
competencias).
- Se recuerda que el uso de los medios EIT se encuentra limitado por lo
establecido en la Constitucin (articulo 18.4) y las Ixycs (principalmente la
LORTAD).
El segundo apartado del artculo presenta posiblemente un mayor calado, ya que
imita a los ciudadanos a relacionarse con las Administraciones Pblicas pura ejercer
sas derechos a travs de tcnicas y medios EIT, siempre que se satisfagan las
sfuientes condiciones:
- Cuando ello sea compatible con los medios tcnicos de que dispongan las
Administraciones Pblicas. Nos encontramos aqu, por tanto, ante un
problema de normalizacin.
- Cuando la relacin ciudadano-Administracin respete las garantas y
requisitos previstos en cada procedimiento. En otras palabras ms prximas al
mundo de los sistemas de informacin, se trata de que la relacin ciudadano-
Administracin respete Ixs previsiones del Anlisis de Requisitos del Sistema.
Los apartados 3 y 4 del artculo 45 recogen determinados requisitos a los que la
Ley somete la utilizacin de tcnicas y medios EIT:
- As. el apartado 3. referido exclusivamente a los procedimientos que ve
tramiten y terminen en soporte informtico, exige que quede garantizada la
identificacin y el ejercicio de la competencia por el rgano que lo ejerce.
Nos encontramos en este caso ame un problema de autenticacin.
- El apartado 4. que se aplica slo a los programas y aplicaciones EIT que vayan
a ser utilizados por las Administraciones Pblicas pora el ejercicio de sus
potestades, exige que estas aplicaciones sean previamente aprobadas por el
rgano competente, el cual debe difundir pblicamente sus caractersticas.
Finalmente, el apartado 5 se dedica a los documentos electrnicos, estableciendo
tos requisitos para que dispongan de validez y eficacia, tanto los original como las
copias. stos son los siguientes:
- Que quede garantizada su autenticidad, integridad y conservacin.
- En su caso, la recepcin por el interesado.
- El cumplimiento de las garantas y requisitos exigidos por la propia LRJ-PAC
u otras Leyes.
mt* ________ CArtTIJU) M: AltMTOKlA INFORMTICA EN LA ADMINISTRACIN )
www.FreeLibros.me
Ms adelante, en este mismo captulo, nos referiremos a cmo La Administraofa
General del Estado (una de las Administraciones afectadas por la Ley) ha regulado Ia
previsiones del artculo 45 mediante el Real Decreto 263/1996. de 16 dc febrero, por
el que se regula la utilizacin de tcnicas electrnicas, informticas y telemticas por
la Administracin General del Estado.
)5I Al'DHORlA INFORMTICA UN KSTOQCE PRCTICO__________________________ t m n
24.3. LA INFORMATIZACIN DE REGISTROS
Los registros tradicionalmcntc han constituido la "puerta de entrada de lo
ciudadanos a la Administracin. En el sistema rcgistral definido en la LRJ-PAC se
establece que los rganos administrativos deben llevar un registro general en el que
se har el correspondiente asiento de todo escrito o comunicacin que sea presntalo o
que se reciba en cualquier Unidad administrativa propia. Tambin se anotarn en el
mismo la salida de los escritos y comunicaciones oficiales dirigidas a otros rganos o
particulares. Hasta aqu todo resulta bastante convencional. La novedad
fundamental introducida por la LRJ-PAC coasiste en la obligacia, recogida en d
artculo 38.3. dc instalar en soporte informtico todos los registros de las
Administraciones Pblicas, si bien en la forma y plazos que determine el Gobierno,
rganos de Gobierno de las Comunidades Autnomas y Entidades que integran la
Administracin Local, en funcin del grado de desarrollo dc los medios tcnicos de
que dispongan (Disposicin adicional segunda).
lista instalacin en soporte informtico es una condicin necesaria para que los
registros puedan llevar a cabo lo que podemos denominar funciones regstrales
modernas, que vienen a aftadirsc a las bsicas del sistema administrativo registra!
cspaAol. constituidas por:
- Sellado de la documentacin dc entrada como medida de constancia de la
entrega". Se entrega al ciudadano una copia sellada dc su escrito.
- Anotacin del apunte en el Libro de registro.
- Si la entrada en el registro est asociada al pago dc una cantidad en concepto
de impuesto, precio o lasa, se vincula la anotacin a la materializacin del
abono.
Entre las funciones ms avanzadas que pueden encomendarse a los registros
informatizados figuran las siguientes:
- Garanta de la identidad entre el original entregado y la copia sellada".
- Archivo de seguridad, ante posibles prdidas de la solicitud, escrito o
comunicacin dirigida por el ciudadano a la Administracin.
www.FreeLibros.me
CArtlVLON ACTHTOKlA ISTOfeMTKAEX IA APMINISIKACIN W
- Publicidad registrar, que ofrecc el acceso a los documentos. as como la
posibilidad de seftalar a un registro como depositario de una informacin
previamente entregada a la Administracin, para facilitar el ejercicio y la
extensin del derecho reconocido en la Ley (Art. 35 f de la LRJ-PAC) a no
presentar los documentos que ya se encuentren en poder de la Administracin
actuante.
- Integracin de registros: generales y auxiliares, de distinto* rganos o aun de
distintas administraciones.
- Admisibilidad de comunicaciones a distancia, usando medios como el correo
electrnico. EDI o el telefax.
24.4. LAS PREVISIONES DEL REAL DECRETO 263/1996.
DE 16 DE FEBRERO, POR EL QUE SE REGULA LA
UTILIZACIN DE LAS TCNICAS EIT POR LA
ADMINISTRACIN GENERAL DEL ESTADO
El objetivo de esta norma es delimitar en el mbito de la Administracin General
del Estado las garantas, requisitos y supuestos de utilizacin de las tcnicas ET. Para
tilo el Real Decrcio aborda el desarrollo del artculo 45 de la LRJ-PAC. al que ya nos
hemos referido anteriormente, y que en el prembulo recibe la consideracin de
verdadera piedra angular del proceso de informacin y validacin de dichas tcnicas
[EIT] en la produccin jurdica de la Administracin Pblica as como en sus
reciones con los ciudadanos".
El Real Decreto 263/1996 se estructura del siguiente modo:
- En primer lugar delimila su objeto y mbito de referencia (Art. I). y ofrece
unas definiciones de conceptos clave en relacin con la utilizacin de las
tcnicas EIT: .soporte, medio, aplicacin y documento (Art. 3).
- A continuacin establece derechos y garantas generales en la utilizacin de
soportes, medios y aplicaciones EIT.
Ms adelante trata una. serie de supuestos concretos en los que se exige un grado
6t proteccin ms elevado (Arts. 5 a 8) y que se refieren a:
- Programas y aplicaciones para el ejercido de potestades.
- Comunicaciones.
- Emisin, copia y almacenamiento de documentos automatizados.
www.FreeLibros.me
Finalmente, el Real Decreto recoge en su Capitulo III diversos preceptos de
Accin administrativa, pora concluir con una serie de disposiciones adicionales,
transitoria, derogatoria y final.
Desde la perspectiva de la auditora informtica, uno de lo* aspecto esenciales es
el de la identificacin de los requisito de seguridad, normalizacin y conservacin
recogidos en el texto del Real Docrcto. Kn este entorno, la auditora debe tener con
uno de sus puntos principales de atencin el cumplimiento de estos requisitos.
55 AUDITCltf* WOOUlKA. Wi IMOOlt, WfTIfO___________________________ t u .
24.5. IDENTIFICACIN DE LOS REQUISITOS DE
SEGURIDAD. NORMALIZACIN Y CONSERVACIN EN
EL TEXTO DEL REAL DECRETO 263/1996
Seguidamente se examinan de manera sistemtica estos requisitos, presentando
en paralelo el texto de un determinado artculo con tos requisitos en I contenidos,
todo ello de acuerdo con el anlisis efectuado por el Comit Tcnico de Seguridad de
tos Sistemas de Informacin y Tratamiento Automatizado de Datos personales
(SSITAD) del Consejo Superior de Informtica.
24.5.1. Garantas de segur ida d de s oportes , medios y
aplicaciones
Art.4
S. Las medida* de seguridad aplicadas a los sopones, medias y aplicaciones
utilizados por los rganos de la Administracin General del Estado y sus entidades i t
derecho pblico vinculadas o dependientes debern garantizar.
a l La restriccin de su utilizacin y del acceso a los datos e informaciones ai
ellos contenidos a las personas autorizadas.
b) La prevencin de alteraciones o prdidas de los datos e informaciones.
c) Ui proteccin de los procesos informticos frente a manipulaciones no
autorizadas.
4. Las especificaciones tcnicas de los sopones, medios y aplicaciones utilizados
en el mbito de la Administracin General del Estado en sus relaciones externas, y
cuando afecten a derechos e intereses de los ciudadanos debern ser conformes, en i*
caso, a las normas nacionales e internacionales que sean exigibles.
www.FreeLibros.me
CAHmo a ai imt oru istotmAncA en i a admimst\oc>n <?
Requisito:
Identificacin De pervona autorizadas
Control de Accesos Restriccin de acceso a personas autorizadas
Calidad Prevencin de alteraciones o prdida de los datos
Integridad Proteccin de los procesos informticos frente a manipu
laciones no autorizadas
Compatibilidad Conformidad coa normas nacionales e internacionales
24.5.2. Emisin de documentos: procedimientos para
garantizar la validez de los medios; integridad,
c onservacin, identidad del a utor y autenticidad
de la voluntad
Art 6.l
Los documentos emitidos por los rganos y entidades del mbito de la
Administracin General del Estado y por los particulares en sus relaciones con
Ruellos. que hayan sido producidos por medios electrnicos, informticos y
flemticos en soportes de cualquier naturaleza sern vlidos siempre que quede
acreditada su integridad, conservacin y la identidad del autor, asi como la
autenticidad de su voluntad, mediante la constancia de cdigos u otros sistemas de
identificacin.
En los producidos por los rganos de la Administracin Genera' del Estado o
per sus entidades vinculadas o dependientes, dichos cdigos o sisiemas estarn
protegidos de forma que Unicamente puedan ser utilizados por las personas
Matizadas por razn de sus competencias o funciones.
Requisitos:
IX' emisin de documentos
Integridad Del documento
Conservacin En Registro, de la emisin del documento
Identificacin Del autor, dentro del documento
Autenticacin Del autor, dentro del documento
De autenticidad de la voluntad
Identificacin Del autor, en Registro
Autenticacin Del autor, en Registro
www.FreeLibros.me
24.5.3. Validez d e las c opia s: garanta de su autenticidad,
integridad y conservacin
Art. 6.2:
Las copias dc documentos originales almacenados por medios o en opona
electrnicos, informticos o telemticos, expedidas por los rganos de la
Administracin General del Estado o por sus entidades vinctdadas o dependientes,
tendrn la misma validez y eficacia del documento original siempre que queJt
garantizada su autenticidad, integridad y conservacin.
Requisito:
Autenticacin Del autor de la copia, dentro de la copa
Integridad Del documento original, dentro dc la ropia
Conservacin fin Registro, de la emisin de la copia
24.5.4. Garanta de realizacin d e las comunicaciones
Art. 7.1
La transmisin o recepcin de comunicaciones entre .-ganof o entidades H
mbito de la Administracin General del Estado o entre stos y cualquier persona
fsica o jurdica podr realizarse a travs de sopones, nedios y aplicaciones
informticos, electrnicos y telemticos, siempre que cumplan los sigmeMet
requisitos:
a) La garanta de su disponibilidad y acceso en las condiciones que en caJa
caso se establezcan.
b) La existencia de compatibilidad entre los utilizados por el emisor y el
destinatario que permita tcnicamente las comunicaciones entre amht.
irtxtuyxniUf tu utiliijM UWi dc *tkli'xtf* y fuimatv* > i / k ûj tic ic&itftv
estableados por la Administracin General del Estado
c) La existencia de medidas de seguridad tendentes a evitar la interceptacin y
alteracin de las comunicaciones, a s como los acceso: no autorizados.
Requisito*:
Disponibilidad Dc medios para dar continuidad y calidad a la comunicacita
Identificacin fin Registro, sealando condiciones f c acceso para el sujeto
identificado
www.FreeLibros.me
CAPITULO J4 Al'DITOKlA INFORMTICA EN LA ADMINISTKAON W
Compatibilidad Tanto de cdigos y formatos o disertos como de los medios
utilizados
Confidencialidad Del contenido de la comunicacin, inutiliza la
interceptacin
Integridad Del contenido de la comunicacin, detecta la alteracin
Control de Accesos Recha/a la* identificaciones no registradas
24.5.5. Validez d e comunicaciones y notificaciones a los
ciuda danos; constanc ia d e transmisin y recepcin,
estampacin de fe ch as y contenido ntegro, identi
ficacin fidedigna d e remitente y destinatario
Alt. 7.2
Las comunicaciones y notificaciones efectuadas en los soportes o a travs de los
medios y aplicaciones referidos en el apartado anterior sern vlidas siempre que:
a) Exista constancia de la transmisin y recepcin de sus fechas y del contenido
ntegro de las comunicaciones.
b) Se identifique fidedignamente al remitente y al destinatario de la
comunicacin.
c En los supuestos de comunicaciones y notificaciones dirigidas a particulares,
que stos hayan sealado el soporte, medio o aplicacin como preferente para
sus comunicaciones con la Administracin General del Estado en cualquier
momento de la iniciacin o tramitacin del procedimiento o del desarrollo de
la actuacin administrati\xL
Requisitos:
Certificacin En Registro, dando constancia de la transmisin y recepcin.
con sus fechas y del contenido ntegro de la notificacin
Autenticacin De ambos corresponsales, durante el proceso de comunicacin
Compatibilidad EJ soporte, medio o aplicacin sealado como preferente ha de
ser compatible con el/los de la Administracin General del
Estado
24.5.6. Comunicaciones por medios preferentes del usuario;
comunicacin de la forma y cdigo de a c c e s o s a sus
s i s te m a s de comunicacin
Art. 7.3
En las actuaciones o procedimientos que se desarrollen ntegramente en soportet
(irnicos, informticos y telemticos, en los que se produzcan comunicaciones
www.FreeLibros.me
m AunnonU inkjwmAuca tN enfoqct pAcuco
caracterizadas por su regularidad, nmero y i'olumen entre rganos y entidades del
mbito de la Administracin General del Estado y determinadas personas fsicas o
jurdicas, stas comunicarn la forma y cdigo de accesos a sus sistemas de
comunicacin. Dichos sistemas se entendern sealados con carcter general como
preferentes para la recepcin y transmisin de comunicaciones y notificaciones en las
actuaciones a las que se refiere este apartado.
Requisito:
Identificacin Del cdigo de acceso al sistema de comunicacin del uuurio
Compatibilidad De la forma del acceso, con lo* medien disponible por b
Administracin General del Estado
24.5.7. Validez de fe chas de notificacin par a cmputo de
plazos; anotacin en los re gistros generales o
auxiliares a que hac e referencia el artculo 38 de la
LRJ-PAC
Art. 7.4
Las fechas de transmisin y recepcin acreditadas en las comunicaciones
reseadas en los apartados anteriores sern \dlidas a efectos de cmputo de plazos y
trminos, a cuyos efectos se anotarn en los registros generales o auxiliares a que
hace referencia el artculo 38 de la Ijey 30/1992. de Rgimen Jurdico de las
Administraciones Pblicas y del Procedimiento Administratno Comn.
A estos efectos los Sistemas de Informacin que integren procesos de transmisin
y recepcin podrn constituirse en registros auxiliares cuando recojan todos los datos
a que hace referencia el prrafo segundo del apartado 3 del artculo 38 de la Ley
30/1992, de Rgimen Jurdico de las Administraciones Pblicas y del Procedimiento
Administrativo Comn, y se tenga acceso a ellos desde las unidades encargadas de los
registros, generales correspondientes.
Requisitos:
Certificacin En Registro Auxiliar, de las fechas comunicadas al usuario
Control de Accesos AI Registro Auxiliar, pora asegurar que solamente acceda
al mismo unidades de Registro General
www.FreeLibros.me
24.5.8. Conservacin de documentos; medidas de seguridad
que garanticen la identidad e integridad de la
informacin necesaria para reproducirlos
Ar1.8J
Los documentos de la Administracin General del Estado y de sus entidades de
derecho pblico vinculadas o de/tendientes que contengan actos administrarnos que
afecten a derechos o intereses de los particulares y hayan sido producidos mediante
tcnicas electrnicas, informticas o telemticas podrn consentirse en soportes de
esta naturaleza, en el mismo formato a partir del que se origin el documento o en
otro cualquiera que asegure la identidad e integridad de la informacin necesaria
pura reproducirlo.
Requisitos:
Identificacin En el Rcgittro. del documento original
Certificacin En el Registro, de la informacin que segura la integridad del
documento original
Integridad De la informacin capa/ de reproducirlo y contrastarlo con la
informacin de ixxan racin
24.5.9. Acceso a documentos almacenados; disposiciones
del artculo 37 de la Ley 30/1992, y, en su caso, de la
Ley Orgnica 5/1992. Normas de desarrollo
Art.lU
El acceso a los documentos almacenados por medios o en soportes electrnicos,
informticos o telemticos se regir por lo dispuesto en el artculo 37 de la Ley
WI992. de Rgimen Jurdico de las Administraciones Pblicas y del Procedimiento
Administrativo Comn, y. en su caso, por la Ley Orgnica 5/1992, de Regulacin del
tratamiento automatizado de los datos de carcter personal, a s como en sus
correspondientes normas de desarrollo.
Requisitos:
Control de Accesos Al Registro, doode se encuentre identificado el documento
original
www.FreeLibros.me
VO AUDUOKlA IN'fOKMTH
24.5.10. Almacenamiento de documentos; medidas de
seguridad que garanticen su integridad, autenticidad,
calidad, proteccin y conservacin
Art. 8.4
Los medios o sopones en que se almacenen documentos debern contar con
medidas de seguridad que garanticen la integridad, autenticidad, calidad, proteccin
y consenacin de los documentos almacenados. En particular, asegurarn la
identificacin de los usuarios y el control de accesos.
Requisito*:
Integridad
Autenticidad
Calidad
Conservacin
Identificacin
De la informacin contenida en el soporte
Del soporte y de mi contenido
Del soporte
Del soporte, del Registro del soporte, y del proceso que
recupera la informacin del soporte
En el Registro del soporte, del autor del soporte, y de
quienes pueden acceder al soporte
Control de Accesos Rechaza las identificaciones no registradas
De manera resumida. la situacin de conjunto es la que se recoge en el siguiente
cuadro resumen de requisitos de seguridad, normalizacin y conservacin de las
aplicaciones c el RD 263/1996.
/ . Confidencialidad 5. Control de accesos 8. Consen acin
2. Autenticacin 6. Identificacin 9. Compatibilidad
3. Integridad 7. Certificacin 10. Calidad
4. Disponibilidad
www.FreeLibros.me
-ArtUilOM M (Bt'iM. ISK.tMMi'MN IA AJ>MtNnnmVlS W
21.6. CONCLUSIONES SOBRE EL PAPEL DE LA AUDITORIA
INFORMTICA EN LA ADMINISTRACIN
ELECTRNICA
El concepto de "Administracin electrnica". Administracin virtual o de la
Adrmnistracin en la Sociedad de la Informacin ha tenido en los ltimo* artos una
itlevancia creciente unto en medios profesionales como para el pblico en general.
En las Actas de la 30* Conferencia del Consejo Internacional sobre las
Tecaologias de la Informacin en Las Administraciones del Estado (ICA). celebrado en
Ktubre de 1996 en Budapest, se recoge la siguiente definicin de Administracin
electrnica:
Es la posibilidad de que los ciudadanos accedan a lo servicios administrativos
de manera electrnica. 24 horas al da, 7 das a la semana, para la obtencin de
informacin.
Adems, es la posibilidad de efectuar trmites de manera electrnica con los
ciudadanos, con otros rganos o Administraciones y con la empresas.
Tambin consiste en reducir y sustituir el papeleo gracias a la extensin del
correo electrnico.
Tambin se identifican los mecanismos a travs de k* cuales se favorece la
otroduccin de la Administracin electrnica:
El principal es U demanda de los ciudadanos de servicios similares a los del
sector privado.
www.FreeLibros.me
Ix importantes ahorros en personal y en costes de mantenimiento.
simplificacin de funcione* y procesos.
La resolucin de problemas ms rpida con sistemas en linca que a uass de
correspondencia escrita.
La prevencin del fraude, mediante una mejor identificacin y audiUbiti&d
de las transacciones electrnicas.
La apertura de nuevas oportunidades para los usuarios. Pueden hacerlo por
telfono o a travs de Internet en lugar de desplazndose a una oficina.
lu facilidad de uso.
En otras palabras, la estrategia para poner en prctica la Administracin
electrnica consiste en proporcionar servicios mediante tcnicas EIT. con eficacia en
el coste y accesibilidad para los ciudadanos, de acuerdo, entre otros, con los siguientes
principios:
- EUccin del medio como preferente, no exclusivo.
Confianza en que la informacin recogida de ciudadanos y empresas ser
protegida de modo que no pueda ser accedida incorrectamente o manipulada.
- Acceiibituiad a los servicios cmo, dnde y cundo el cliente los requiera.
- Difusin de La informacin, siempre que sta no deba ser protegida per
razones de privacidad o de confidencialidad comercial.
- Eficacia en la prestacin del servicio, simplificando trmites y reduciendo el
tiempo de respuesta.
- Racionalizacin, evitando en lo posible la duplicacin de esfuerzos y recursos
que puedan ser compartidos.
En este contexto de la Administracin electrnica, ya hemos visto como en
EspaAa, en el caso de la Administracin General del Estado, se dispone de un marco
legal que no slo permite, sino que impulsa, la utilizacin de las tcnicas En* para Us
relaciones con los ciudadanos. De este marco jurdico se deduce que existen unos
requisitos concretos de seguridad, normalizacin y comunicacin para hacei realidad
este nuevo tipo de Administracin. La Auditora informtica en la Administracin
tiene ame si como una tarca especialmente relevante la de comprobar el cumplimiento
de tos requisitos en aplicaciones o sistemas de informacin concretos, y ms es
particular, en aquellos sistemas, como los de informatizacin de registros, orientados a
facilitar las relaciones de ciudadanos y empresas con las Administraciones.
y. AUDfTOttM IMOK-MAtK'A UN BNKXWt. PRCTICO am
www.FreeLibros.me
1. Qu se expone en la Ley de Rgimen Jurdico de I* Administraciones
Pblicas respecto a la utilizacin de las TIC en la Administracin?
2. Cules son los problemas de normalizacin que influyen en la relacin de
los ciudad w a t con Us Administraciones Pblicas?
3. Cules son los requisitos de validez y eficacia de los documentos
electrnicos?
4. Cules son los principales aspectos a auditar en la informatizacin de un
registro?
5. Cul es el objetivo del Real Decreto 263/1996?
6. Cules son kw requisitos de seguridad en el texto del Real Decreto
263/1996?
7. Qu tipo de requisitos impone la garanta de realizacin de las
comunicaciones?
8. Qu se especifica en cuanto acceso a documentos almacenados en la Ley
3<VI992 y en la Ley Orgnica 5/1992?
9. Defina, en qu consiste la administracin electrnica?
10. Qu mecanismos empleara para favorecer la introduccin de la
Administracin electrnica?
24.7. C UESTIO NES DE REPASO
www.FreeLibros.me
CAPTULO 25
AUDITORA
INFORMTICA EN LAS PYV1ES
Carlos M. Fernndez Snchez
25.1. PREMBULO
25.1.1. Las PYMES y las tecnologas de la Informacin
F.I presente capitulo pretende ser una contribucin que se sume al esfuerzo por
seguir una mayor rentabilidad de lo* sistema* de Informacin en las empresas y
os concretan tente en las denominada* PYMES (Pequeas y Mediana* Empresa*).
La importancia de las PYMES viene dada ante todo por su nmero - m i s de dos
mitones de empresa* que conforman el tejido empresarial- as como por su
paeacialidad. ya que constituyen la base del desarrollo empresarial, siendo una fuente
4e generacin del 170% del empleo total en Espaa. Si analizamos la situacin
(apretara) en los pases iberoamericano* integrados en la OCDE comprobamos que
b situacin relevante de las PYMES es muy parecida a la espartla, con una
aportacin al PIB del 40% al 50%. A la vista de estos datos, ex un hecho por fin
uimdo por todos los estamentos pblicos y privados de la sociedad actual la
necesidad de reformar la competividad y rentabilidad de la* PYMES favoreciendo su
labilidad y la que stas aportan a la economa. Para contribuir a ello, el primer paso
abordar su problemtica interna: su propio funcionamiento: y dentro del mismo, los
edemas de informacin que han de permitir la gestin y seguimiento de las
principales variables del negocio, facilitando la correcta toma de decisiones,
otamizarxlo riesgos, y consiguiendo de este modo ampliar su competitividad en un
aereado cada vez ms abierto y liberalizado.
L.
www.FreeLibros.me
V* M tHTOftlA IVKKMATH A IV tNHXJlli PRACTICO
Es asimismo un hecho perfectamente demostrado que el Control Interno
Informtico y su auditora pcrnute gestionar y rentabili/ar los sistemas de informacin
tic la forma ms eficiente, optimizando, en suma, resultados Por este hecho hemos
credo de inters abordar en el presente captulo la exposicin de este mtodo de
AUDITORA INFORMTICA expuesto de forma breve y directa eti la conviccin de
que. ponindolo en prctica, se lograr que los Sistemas de Informacin sean fiables,
exactos, y ante todo, den el fruto que los empresarios esperan de ellos.
25.1.2. Metodologa de la Auditora Informtica
h la actualidad existen tres tipos de metodologas de Auditora Informtica:
- R O A. (RISK ORIENTED APPROACH). disertada por Arthur Andersen.
- CHECKLIST o cuestionarios.
AUDITORA DE PRODUCTOS (por ejemplo. Red Local Windows NT:
sistemas de Gestin de base de Dalos DB2: Paquete de segundad RACF, c.|.
En s las t m metodologas estn basadas en la minimi/acin de los riesgos, que
se conseguir en funcin de que existan los controles y de que stos funcionen. En
consecuencia, el auditor deber revisar estos controles y su funcionamiento.
De estas tres metodologas, la ms adecuada a la Auditora de las PYMES es a
nuestro juicio la de CHECKLIST. por ser la de ms fcil utilizacin.
25.2. INTRODUCCIN
25.2.1. En qu consiste la gua de autoevaluacin?
Esta gua de autoevaluacin pretende ser un sistema sencillo y fiable de conocer
la situacin general del sistema de informacin de una empresa, as como definir el
estado del control de dichos sistemas tomando como control la definicin de U
ISACA (Information System, Audit and Control Association).
Lw mtodos que abarquen las polticas, procedimientos, prcticas, estndares y
estructuras organizativas que aseguren la adecuacin de la gestin de los activos
informticos y la fiabilidad de las actividades de los sistemas de informacin."
No se pretende con la misma eliminar las funciones del auditor (interno o
externo) informtico, sino que el responsable de los sistemas de informacin, el
Gerente o Director de un departamento o de la misma empresa pueda hacerse una idea
www.FreeLibros.me
CAHTUIOJS AUDITORIA IM ORStATtCA liK LAS KYMLS W>
suficientemenie aproximada del estado de mis sistema', podiendo abordar, en caso
necesario, un esiudio mis intenso o especializado de los mismo. Resulta, pues, un
enfoque de Auditoria Interna tomando como base que la informacin es un activo ms
de la empresa y como Auditoria Informtica:
"Proceso de recoger, agrupar y evaluar evidencias para determinar si un sistema
informatizado salvaguarda los activos, mantiene la integridad de los datos, lleva
eficazmente los fines de la organizacin y utiliza eficientemente los recursos de este
modo, as como sustenta y confirma la consecucin de los objetivos tradicionales del
auditor.
Asimismo, con esta gua pretendemos que el usuario o el Auditor pueda
comprobar por si mismo la fiabilidad y consistencia de sus sistemas mediante una
metodologa que no le obligue a tener amplios conocimientos de informtica ni de
Auditoria propiamente dichos.
25.2.2. A quin va dirigida?
Tal y como el ttulo indica, esta gua est orientada a las Pequeas y Medianas
empresas, y dentro de las mismas, a los responsables de los sistemas de informacin,
gerentes, directivo o auditores.
Consideramos que esta gua puede ser de gran utilidad a la hora de examinar y
potenciar los sistemas de informacin y. en consecuencia, para mejorar
substancial mente la gextin y control de la propia empresa
1:1 auditor podra ser un financiero con conocimientos de informtica o un auditor
eformtico jnior.
25.2.3. Conocimientos necesarios
Segn algunos ouiorc-, no rCMilta necesario tener conocimicnto informtico
para realizar una auditoria informtica mediante la tcnica utilizada en esta guia
(CHECKLIST). No obstante, creemos necesario un mnimo de formacin especfica
pira, al menos, saber qu es lo que se quiere analizar as como algunos conceptos no
o resulten excesivamente extraos. Fundamentalmente esos conocimientos sern de
la ndole de:
- Minicomputador.
- Red Local.
- PC.
www.FreeLibros.me
ito AHOfTWlA INTOKMnCA: UN EMOQt^ PRACTICO
- Perifricos.
- Software de Base.
- Eficacia de un servicio informtica.
Seguridad Lgica.
- Seguridad Fsica.
- Ele.
Asimismo ser necesario conocer en profundidad el organismo o rea a evaluar;
su organizacin, composicin y caractersticas principales, as como los medios de que
se disponen: plantilla, datos tcnicos, etc. Por supuesto es deseable que se tengm
unos conocimientos informticos ms exhaustivos, pues pueden ayudar a U
ponderacin de los controles, pero insistimos en que no son indispensables.
25.2.4. Entornos de aplicacin
Esta gua es enfocada hacia tres grandes entornos que son:
- Minicomputadorcs c informtica distribuida.
- Redes de Area Local.
- PCs.
Dicho enfoque es, a nuestro entender, el ms lgico, puesto que son los citad
entornos los que se utilizan (quiz en casos determinados con alguna caracterstica
especial) en los crculos de la pequea y mediana empresa.
25.2.5. Metodologa utilizada
La metodologa utilizada es la Evaluacin de Riesgos (ROA Risk Oriented
Approach) recomendada por ISACA (Information Syxtem. Audit and Control
Association. Asociacin Internacional de Auditores de Sistemas de Informacin).
Esta evaluacin de Riesgos se desarrolla sobre determinadas reas de aplicacin y
bajo tcnicas de Checklist (Cuestionarios) adaptados a cada enlomo especfico: deber
tenerse en cuenta que determinados controles se repetirn en diversas reas de nesgo.
Esto es debido a que dichos controles tienen incidencia independiente en cada un y,
que se pretende poder analizar cada rea independientemente, es necesaria dicha
repeticin. Asimismo los controles generales y algunos controles de caractersticas
especiales, como pueden ser los de bases de datos, se aplicarn teniendo en cuenta las
particularidades de cada entorno.
www.FreeLibros.me
CaHTVIX 21 Al OrtOHA INKMtMTICA Vi LAS PYMBS >71
25.3. UTILIZACIN DE LA GUA
Tal y como hemos apuntado anteriormente, la autogua est dividida en varias
reas de riesgo, concretamente seis, que son:
1. Riesgo en la continuidad del proceso.
2. Riesgo en la eficacia del servicio.
3. Riesgo en la eficiencia del servicio.
4. Riesgos econmicos directos.
5. Riesgos de la seguridad lgica.
6. Riesgos de la seguridad fsica.
25.3.1. Fases de la autoevaluacin
Para aclarar un poco el enfoque vamos a tratar de explicar someramente el
significado de cada uno de ellos, teniendo en cuenta que no existe una separacin
absoluta entre lo* mismos, sino que frecuentemente se solapan e incluso determinados
riesgos conllevan otros que se han evaluado en diferente irea. No obstante creemos
que existe una cierta especificidad en los ooairotes a llevar a cabo, adems, se ha
pretendido orientar el anlisis a unas reas lo ms prximas a la empresa y sus
interese de forma que el directivo o empresario pueda hacer una evaluacin directa
tio descartar que posteriormente se pueda cootar con la interpretacin posterior ms
exhaustiva de un analista o auditor informtico.
Riesgo en la continuidad del proceso
Son aquellos nesgos de situaciones que pudieran afectar a la realizacin del
trabajo informtico o incluso que pudieran llegar a paralizarlo, y. por ende, llegar a
perjudicar gravemente a la empresa o incluso tambin a paralizarla. Se deber hacer
especial hincapi en el anlisis estricto de estos riesgos puesto que. ti bien otros
podran afectar relativamente a la empresa o bien causarle perjuicios de diverso tipo,
stos podran ocasionar un verdadero desastre. No pretendemos ser alarmistas y. por
mi puesto, no todos los riesgos analizados llevan a paralizar la empresa, pero insistimos
en tener muy en cuenta el anlisis exhaustivo de estos riesgos.
Riesgos en la eficacia del s o n id o informtica
Entenderemos como eficacia del servicio la realizacin de los trabajos
encomendados. As pues, los riesgos en la eficacia sern aquellos que alteren dicha
realizacin o que afecten a la exactitud de los resultados ofrecidos por el servicio
informtico.
www.FreeLibros.me
Kmcnderemos como eficiencia del servicio la mejor brma de realizar los
procesos o trabajos. ya sea a nivel econmico o tcnico, pretendiendo con el anlisis
de cmos riesgos mejorar la calidad de servicio. Hay que nuil ir en este aspecto que
determinados controles podran resultar una mejora considerable de la eficiencia del
servicio pero igualmente podran resultar econmicamente poco rentables sobre tota
para pequcftas empresas La valoracin de dichos controles deber ser analizad* por
los responsables de la empresa en cuya mano estar la decisin de aplicacin de tos
mismos.
Riesgo en la eficiencia dd servido informtico
Riesgos econmicos directos
bn cuanto a estos riesgos se analizarn aquellas posibilidades de desembolsos
directas inadecuados, gastos varios que no deberan producirse, e incluso aquellos
gastos derivados de acciones ilegales con o sin conscntimicno de la empresa que
pudieran transgredir la normativa de la empresa o las leyes vigerle (LORTAD).
Riesgos de la seguridad lgica
Como nesgas en segundad lgica entenderemos lodos aquellos que posibilites
accesos no autorizados a la informacin mecanizada medame tic nicas informticas o
de otros tipos. Incluiremos igualmente aquellas inherentes a transmisiones pese a que
quiz en determinados mbitos de aplicacin podran constituir un rea independenle
pero que se anexan con el fin de compactar el sistema de anlisis
Riesgos de lu seguridad fsica
I-Os riesgos en cuanto a seguridad fsica comprendern lotks aquello que acten
sobre el deterioro o apropiacin de elementos de informacin de una forma meramente
fsica.
Dadas esta reas de riesgos, el usuario podr valorar cada uaa
independientemente egiin sus necesidades. Aun as. se consideran como ms
importante, y casi podramos asegurar que imprescindibles, las dos primeras:
- Riesgo en la continuidad del proceso
- Riesgo en la eficacia del servicio
por lo que cualquier anlisis debera ser comenzado con las misnas.
www.FreeLibros.me
CArtmum auditor!* p>KMAncA es las i-vmi.n st
Todas estas reas U n incluidas cn cada mbito de aplicacin de acuerdo con su
especificidad segn la divisin que dimos al principio de minicompuudorcs. redes
ixales y PCs.
25.3.2. V a l o r a c i n d e r e s u l t a d o s
La autogua se compone de una serie de cuestionarios de con:rol. Dichos
cuestionarios podrn ser contestados mediante dos sistemas indicados cn los mismos:
En el primer sistema se responder con S NO o N/A (NO APLICABLE si la
respuesta no lo fuera por cualquier causa). Estos cuestionarios de respuesta directa
tendrn un valor numrico de I a 10 anexo a la pregunu que habr qte poner en el
ligar de la respuesu.
1
CONTROLES S NO N/A
la instalacin equipos de continuidad en
icaso de cortes de energia como puede ser los
7 4
i mlrmas <le alineacin inintmumpuo?
En el caso de que se dispusiera de UPS (Sistema de Alimentacin Interrumpida),
te pondra cn la casilla del SI el valor 7. en caso contrario pondramos d valor 4 en la
casilla del NO. 1.a diferencia de valoracin puede estar determinula porque la
exicncia se considera una mejora susuncial. sin embargo, la no existencia podra ser
de escasa importancia.
En el segundo sistema no existir un nmero gua de ponderacin y ser el propio
rnrio quien deber dar una valoracin a la respuesta. Generalmente en estos casos
bi controles comenzarn con la propuesta EVALE... y la valoracin que habr que
ir estar anexada a la pregunta con los valores mnimos y mximo: por ejemplo:
CONTROLES .SI NO _ N/A
! Evale la carga de trabajo ea poca alca de
fnxev) (Ponga el resultado en la cabilla no) 1-30.
4
Como habr observado, umbin se le indicar cn qu casilla deber incluir el
resultado de su ponderacin. Dicha ponderacin se podra obtener, y todo el ca<o de
www.FreeLibros.me
la pregunta del ejemplo, medame el nmero de horas extras del personal, hora de
trabajo dc los equipos, o simplemente mediarne observacin personal en los casos qa
fuera posible. Una ve/ finalizado el cuestionario se sumarn los valores dc la cavilla
S y se restarn los del NO. lo que iwvs dar un valor que podremos comparar con lo
estndares del cuestionario (que el usuario habr valorado en un principio).
Por ltimo existirn algunas cuestiones que no tengan valoracin, sino que ira
acompaadas dc un asterisco. Estos controles son considerados de alto riesgo, y por
tanto indispensables. La idea es que un sistema sin estos controles podra abocar al
desastre informtico y en algunos casos al desastre de la empresa. En ocasiones no st
da la debida importancia a los mismos y solamente se ponderan en lo que valen al
ocurrir el problema. Por tanto insistimos: estos controles debern tenerse taoy en
cuenta a la hora dc realizar la evaluacin y. en caso dc inexistencia, dar primada a ni
implantacin.
574 AUDfTOKlA INFOKMTKA- US WCTOQWS fKACIKO___________________________ t h w
25.4. MINICOMPUTADORES E INFORMTICA DISTRIBUIDA.
RIESGO EN LA EFICACIA DEL SERVICIO
INFORMTICO
CONTROLES
Si NO
N/A
Existen planes a largo plazo para el departamento de informtica.
Valore la conexin de esos planes con los planes generales de la
empresa.
Cubren los piares del D.l. los objetivo a largo plazo dc la empresa,
valrelo.
Existen planes a largo pia/o pira el departamento de informtica.
Valore la conexin de esos planes con los planes generales de la
Cubren los planes del D.l. k objetivos a cono plazo de la empresa,
valrelo.
Existe un comat dc planificacin o direccin del departamento de
informtica.
Ducho comit est compuesto por directivos de departamentos de
Existe en dKho comit algn miembro con conocimientos
informticos exhaustivos.
El comit realiza algn tipo de estudio para analizar la coherencia de
su departamento de informacin con los avances tecnolgicos.
www.FreeLibros.me
CArtUXO AllDTORlA DJORUTICA BN I.AS PYMtS STS
CONTROLES S NO
N/A
Valore U celeridad en U implantacin de las recomendaciones del
comit informtico
Qa importancia le asigna La direccin de la empresa al comit/
direccin de informtica
Valore la coagrucrxia entre lo* plan a largo y corto plazo del 0 1.
Sea adecuados los recxirsos asignado* al D.I. para cumplir con los
cbptivos a corto plazo
Exisie una adecuada t i a de comunicacin y control de cumplimiento
dc objetivo a corto y largo plazo por parte de la direoesft.
Valore L>precisin en el cumplimiento de los planes a corto plazo del
D.L
-
Exilien poltica* para la planificacin. control y evaluacin del D I.
Evatte la integracin de las directivas de poltica de alia direccin en
HD.I.
Existen estndares que regulen la explotacin de recursos del D.l.
F.iaJe la calidad y vigencia de lo> lindares de expiotaon de
lecursot del DJ.
Liale el cumpl menlo de los enlodares de explotacin de recursos
del D I
Eusten procedimientos sobre las responsabilidades, peticiones de
servicio y relaciones entre los diferentes departamentos y el D.L
Dichos procedimientos estn adecuadamente distribuidos en los
Aferentes departamentos.
Evale 1 cumplimiento de dichos procedimientos por pirte de los
El D.L esti separado orgnicamente en la estructura orgnica de la
Es independiente la ubicacin del D.l. de los otros departamentos de la
Euin claramente definidas las ucidades organizativas en r i D.l.
Estn separadas las unidades de desarrollo de sistemas y explotacin.
Esli separadas las unidades de explotacin y control de datos.
Esli separadas las unidades de administracin de bates de datos y
desarrollo de sistemas.
EsaKe la independencia de las funcione* del penonal entre las
diferente* unidade*.
www.FreeLibros.me
5Tt AUDITORIA PsKHtMnCA: W fcMHXXt PKCTICO
COVTROI.F.S
Si NO N/A
Existe una descripcin po escrito (manual de operaciones y
procedumcMos) de cada puesto de trabajo cu lat difcrenics unidades
de D I?
La desenpesn del poesto de trabajo incluye definiciones de
coaoaintcMo y pericia tcnicos''
Los manuales de operaciones y procedimiento pasan una revisin
mnima anual?
lixivie un mtodo de evaluacin para cubrir las v acanie del D.l?
Evale la adecuacin del mtodo y polticas de leccin para cubrir
las antedichas vacantes.
Evale la conformidad del personal del D.l. con lat polticas y el
ustema de ve leccin
.Existe na poltica definida por la direccin del D.l. para promocin
del personal?
Evale la conformidad del personal del DI. con las polticas y el
sistema de promocin.
Existe un programa de orieMacia formacin y reciclaje de personal
de plantilla
Tiene una revisin al menos anual dicho programa de reciclaje?
Supone el programa de reciclaje al menos el 10 del presupuesto del
D.l?
Valore la formacin mioma recibida en el programa de reciclaje.
Culi es la valoracin que da el personal al programi de formacin y
Contraste y evale la adecuacin entre las fichas de formacin del
personal y la exigencias de conocimientos o pericia necesaria de los
puesto.
Existe algn mtodo de control y evaluacin de consecucin de
objetivos de cada puesto de trabajo?
Esti informado y comprende el personal el sistema de evaluacin
obre consecucin de objetivo?
Existe una lista de aplicaciones de tratamiento de datos cuja
Se especifica en dicha hua tiempos de preparacin y tratameeato?
Se contrasta dicha lista con el nivel de acuerdo de servicio del D.l?
Existe algn sistema de control pora la carga de trabajo del D.I?
www.FreeLibros.me
CAPfTVI.O :? Al lXTOKl\ IXMMtMATX'A f-11.AXlYMt.S SY
CONTROLES sf
NO N/A
.l i a establecido el 0.1. prioridades de tratamiento de los diferentes
trabajos^
Evale la ewfa de traban del D.l. en poca bija de proceso (ponga el
resultado en ao).
Evale la caifa de trabajo del D.l. en poca alta de proceso (ponga el
resultado en sf).
Evale la capacidad de los equipos disponibles pura satisfacer la
demanda en la poca alia de proceso (resultado en s)
Evale el exceso de capacidad de los equipos disponibles pira
satisfacer la demanda en la poca baja de proceso tresultado en no)
Oi valoracin le dan los trabajadores del irca de explotacin a la
disponibilidad de equipos en poca alta de trabajo (resultado positivo
en s y resultado negativo en no)?
Evale la capacidad de los recursos humanos para sals facer la
demanda en la poca alta de proceso (resultado en s)
Evale el exceso de cjpKtdad de los recursos humanos disponibles
para satisfacer la demiada ea la poca baja de proceso (resultado en
o).
Qu valoracin le dan los trabajadores del irea de explotacin a la
disponibilidad de recursos humanos en pocas altas de trabajo
(resultado positivo en s y resultado negativo en ao)?
Existe un calendario de nuntemrmenio preventivo de material o
topea!.
Se verifica que dicho calendario ao inclusa revisioo en perodos de
carga alta de trabajo?
cEs el calendario de explotacin lo suficientemente flexible como pira
xomodar tiempos de no funcionamiento a fia de reati/ar revisiones?
^Realiza la direccin del D.l. un control y segu meato del flujo de
trabajo y de las variaciones del calendario de explotacin?
Se registran las variaciones del calendario de explotacin?
Existe nuterial de recambio para el tratamiento de programas que
exijan alto nisel de disponibilidad
Existe un procedimiento pira evaluar tas causas de los problemas de
Existe uo registro de problemas de tratamiento de dalos?
Se toman x c iones directas pira evitar la recurrencia de los problemas
de tratamiento de datos?
www.FreeLibros.me
s n AMXTOUlA INFOttM ATICA: UNEBOQUEfUACTlCO
CONTROI.ES
Si NO .VA
..Huiste una preasignacin para 1* sotonn de problemas especficos de
tratamiento Je ducn?
Se ha determinado una prioridad en la resolucin de problemas de
tratamiento de datos?
Existe un inventario de contenido de la biblioteca de soportes?
Existe un procedimiento pora inventariar los contenidos de la
biblioteca de soporte?
Existe algn responsable de mantenimiento de la biblioteca de
soportes?
Evale la exactitud del inventario de la biblioteca de soporte
Identifican las etiquetas de los soportes: nombre de archivo, fecha de
creacin, programa que lo cre y periodo de retencin de soporte?
Existe algn sistema de control de entrada y salida de la biblioteca de
soporte?
Existe un procedimiento de seleccin de logical acorde con los planes
a corto y largo pta/o de la empresa?
Se lleva a cabo dicho procedimiento a la hora de analuar necesidades
Evale la satisfaccin de los usuarios de software respecto a la ltima
adquisicin.
Existe algn procedimiento de pnieba antes de efectuar cambios de
lgica! de sistemas?
Existe alguna persona especializada en rniplemcMadn de logkal de
Existe algn registro sobre los cambios realizados sobre el logical del
sistema?
Existe algn procedimiento de reviun de cambio del logic-al de
sistemas antes de pasarlos a explotacin?
Existe algn registro de problemas de logical de sistemas?
Se identifican y registran exhaustivamente la gravedad de los
problemas de logical de sistema, la cansa y tu resolucin?
Se corresponde la implantacin del sistema de inormitica distribuida
o red coa las especificaciones de los pitaes a corto y largo pla/o de la
Se han desarrollado planes de implantacin conversin y pruebas de
aceptacin para la red de informitica distribuida de la empresa?
www.FreeLibros.me
CAPITULO :* AUPtTORU INFORMA TXT A ES LAS PVMtS *T
CONTROLES S NO VA
,Hi do desarrollado dicho plan conjuntamente por el departamento
de informtica y la direccin de los departamentos unimos afectados
.Contempla dicho plan la aceptacin de estndares de implantacin,
conversin y pruebas en redes informticas distribuidas'1
,Hi sido desarrollado el lgica! del mturna de acuerdo con la
metodologa del ciclo de desarrollo de stsienus de la organizacin o
medanle una metodologa cimentada y reconocida?
.Ik Ilw el plan de implantacin o conversin de la red de informtica
Atribuida a kxlos los usuarios productores de datos imprescindibles *
Se ha contemplado en el plan cualquier riesgo especial asociado a las
rede* distribuidas *
butun procedimientos de control generales de la red de informtica
atribuida?
t Se realizarn dichos procedimientos de control con una periodicidad
Exitu un control de actividades excepcionales que te pudieran
realizar en la red de I D.?
Ha establecido el departamento de informtica, desde la implantacin
de la red. ua mecanismo para asegurar la compatibilidad de conjunto
de datos entre aplicaciones >' crecer la misma?
Se han distribuido a lodos los departamentos afectados declaraciones
escritas de procedimientos operativos de la red de 1D.?
Estn adecuadamente canalizadas las peticiones de cambios de
pocedimientos operativos de la red de I D.?
Existe algn control sobre cambos autorizados o no en los
procedmiemos operatisos de la red?
Son analizados los cambios de los proced miemos operativos pora ver
u responden a necesidades reales de los usuarios?
Ha establecido el departamento de informtica controles sobre
utilizacin de los contenidos de las base* de dalos de la red?
Aseguran dichos controles la estandarizacin de Lis definiciones de
datos compartidos?
Se mantienen diccionarios de datos comunes a los diferentes usuarios
de las baxs de datos?
Est asegurado el control del camb*o de definicin de datos comunes
de las bases?
www.FreeLibros.me
<MI At DIUmlA ISK*MAT>CA t ' \ t.NHKJt KHttlICO
CONTROI.KS Si NO VA
F.xitte un tulema eficaz para evitar que lo utuario camb la
definicin dc dalo* cwmune* dc 1 ba*e*?
, l-.vistc una conwnic*:i6n regular obre cambio* efectuado* ea la.
bate dc dato* comune
Rutte algtln titicma de coatrol que ategure la compatibilidad de lo.
contenido de la bate* de dato de la red?
Iwiten controle etiahlecido por el departamento de informlKi
Mibrc utilizacin de contenido dc la ta** de dato* de la red?
,Eutle algn procedimiento de control vibre k cambio de contenid*
y procedimiento de dicho cambio ea la* bate* de dito de la red?
t Kxivie algila control que augure que lo cambio introducido en lo.
contenido de la bate d dito mantienen la compatibilidad de dicha,
bate?
Exittc algn procedimiento ettablmdo que asegure en todo* k>.
punto* de la red que lot cambio crtico en lo comer ido de la bte
te lleven a cabo con puntualidad'
Se ha ettablecido una poltica para identificacin y clasificacin dr
dato* temible* dc la red?
Exilien mccamtmo* de tcguridad que impidan introduccionc*
modaficacione* emJoea de dalo temibles?
Kxi*le algn mecanismo de control que ategure una adecuada cargi
de la red etpeculmente en lot periodo de trabajo critico?
Se kan establecido y comunicado a lo inuario procedimiento,
efectivo pira coordinar la operacin de lo programa* de aplicacin >
la utilizacin de lo* contenido* de la* B.D?
Potccn todo lot utuario de la red etpecificacione .obrr
disponibilidades. horario, tiempo dc rctpuctta. almacenamiento
respaldo y control operativo.
Se realizan rcumonc* peridica* entre kn usuario* pora coordina-
calendario* de explotacin. epecificacione* de tratamiento ;
procedimiento operativo
.Establecen toda la itutalaciooc dc departamento utuaho* dc la red
pre luone* obre nece*Hlade* de material fungible?
.Existe siempre un remanente de material tangible que ategure la
continuacin de k>* proccto. en lo departamento utuario?
Exitten procedimiento ctaMecido por el departamento d<
informtica para la getiin y control del logical dc cotMMcacionct ?
www.FreeLibros.me
AU>(IOUIM<>MAIK A NI-ASI">StKS 5!
CONTROLES
Si NO
VA
l-.stn i neto den en dicho procedimiento estndares sobre la
utilizacin de dicho logical?
Se han remitido descripciones e v n i n obre los citados
procedimientos a lodos h departamentos usuarios
Se han establecido prioridades de transmisin asignadas a los
mensajes enviados por la red?
Evale la satisfaccin de los usuarios sobre las transmisiones a irasxS
dla red. sobre todo cn perodos crtico.
Existen piones de formacin para usuarios de la red?
Existen responsables que evalen el correcto oso de la red por parte
de los usuarios?
Estn perfectamente identificados todos los elemenlc fsicos de la
red (unidades de control, mdems cables etc. medanle etiquetas
esternas adecuadas?
Est asegurando en un tiempo prudencial la reparacin o cambio de
elementos fsicos de la red?
Se realiza por porte de personal especializado una revisin peridica
de todos los elementos de la red?
Existe algn sistema para controlar y medir el funcionamiento del
sistema de informtica distribuida de la red?
Existe una estructura que asegure que la explotacin de mxima
prioridad te Ilesa a cabo y se transmite cn primer lugar?
Se han desarrollado o adquirido procedimientos automticos para
resol ser o esitar cierres del sistema (abra/os modales)?
Existe una mima que asegure que ningn proceso o dalo de baja
prioridad va a estar sin procesar indefinidamente en la red?
Existen mecanismos que controlen los tiempos de respuesta de la red
y la duracin de los fallos de operacin de la misma?
Se controlan regularmente todo los procesadores de la red?
25.5. CONCLUSIONES
Dado que cn los restan le-* captulos Jo este libro se aborda lano la auditora de
otro entornos (minicomputadores. Redes de reas local y PCs) cono sus ire-i' de
riesgo. en el prsenle captulo nos hemos limitado nicamente a arulizar la auditora
de los nunicompuiadorcs con respecto a los riesgos en la cficaria del servicio
www.FreeLibros.me
S AllDUDRIA INFORMATICA tTitNlomu HtAOKX)
informtico dentro de una PYME. viendo aplicable e\ta metodologa a cualquiera de
lo\ otro entorno informtico.
Hn cualquier cavo, siempre que t e lleve a cabo una auditoria de empresa habrln
de tcncrve en cuenta, como mnimo, los siguientes controles generales:
Segregacin de funciones, separacin de los entornos de desarrollo y produccin,
control de programa fuente y objetivos, procedimiento, estndares o nomenclatura
para toda clase de objetivo en el sistema de Informacin, plan de seguridad lgica y
fsica (copia de BACKUP o respaldo de dalos y programas, plan de contingencia, etc.)
y plan informtico coordinado con el plan estratgico de Ja comparta.
Tanto a travs de la guia de a utoe valuacin como a travs de la auditoria de k
mencionado controle generales se puede alcanzar el objetivo de gestin y
certificacin de los dato logrando conseguir la calidad tota) de los Sistemas de
Informacin, renubilizando as la inversiones en Tecnologa de la Informacin.
Control Objetives f o r Information and Related Technology. 1996. Editorial
Information System audit and Control Foundation.
Gua de seguridad informtica. 1997. Vamos. Editorial SEDISI (Asociacin
Espartla de Empresas de Tecnologas de la Informtica).
Emilio del Peso y otros. Manual de dictmenes y peritajes informticos 1995.
Editorial Dfaz. de Santos.
Marina Tourirto. Carlos Manuel Fernndez Snchez y otro. Papeles de Avila:
Expertos en Auditoria Informtica. 1986. Editorial CREI.
Seguridad en los Sistemas de Informacin. 1984. Fisher y traducido por Cario*
Manuel Fernndez Snchez. Editorial Daz de Santo.
EDP Auditing. 1992. Vamos. Editorial Auerbach Publishers.
Stanley & Coopers & Lybrand. Handbook O f EDP Auditing. 1985. Editorial Warm.
Gorham Rlainont. INC.
Ron Weber. EDP Auditing. Conceptual Foundations and Practice. 1988. Editorial
McGraw-Hill.
www.FreeLibros.me
c>M>________________________ CAPtTVIX) 5 AtlDITOKA ISFOKMT1CA RN LAS PVMfS U
Dr. Reni Fonscca. Auditora Interna. 1989. Editoria! EDI ABACO.
Gonzalo Alomo Rivi. Auditora Informtica. 1988. Editorial Din/ de Sanio.
J. Acha Iturmendi. Auditoria Informtica en la empresa. 1994. Editorial Paraninfo.
Aurora Pre/ Pascual. U r auditoria en el desarrollo de proyectos informticos. I9SS.
Editorial Daz de Sanios.
Carlos Manuel Fernndez Snchez Apuntes de la asignatura de Auditoria
Informtica. Universidad Pontificia de Salamanca en Madrid. Curso acadmico
90-97.
Mi agradecimiento a D. Jesih Monedero Fernndez, alumno de la asignatura de
Auditoria Informtica. Universidad Pontificia de Salamanca en Madrid.
1. Por qu tiene tanta repercusin la auditora informtica de las PYMES?
2. Qu tipo de metodologa de auditoria informtica es ms adecuada para las
PYMES?
3. Enumere Icn principales riesgos en la continuidad del proceso.
4. Qu entiende por eficacia del servicio informtico?
5. A qu riesgos econmicos directos se enfrentan las PYMES debido a la
LORTAD?
6. Cmo se puede evaluar la carga de trabajo de un equipo informtico?
7. Cmo n ivviii ia la M*ifa.cn k los ummHo?
8. Segregacin de funciones en las PYMES.
9. Elabore una lista de comprobacin para auditar un computador personal.
10. Cmo llevara a cabo la auditora de una hoja de clculo?
www.FreeLibros.me
CAPTULO 26
PERITAR VERSUS AUDITAR
Jess Rivera laguna
28.1. INTRODUCCIN
Nunca segundas panes fueron buenas", afirma un viejo refrn castellano. No es
ste el cato, un embargo, <le la segunda edicin, que no reimpresin, de Auditoria
Informtica. Un enfoque prctico.
El xito de venus de la primera edicin -motivado en buena medida por el hecho
de haber sabido detectar sus Coordinadores una imperiosa necesidad de
'conocimiento", adems de por haber conseguido recopilar una cuidada y
enciclopdica seleccin de temas y autores-, avala el obligado lanzamiento de esta
nueva obra, con objetivos mis all del perfeccionamiento de la primera versin de
1997.
No me corresponde, pete a todo, a m. y mucho menos en este lugar, discutir la
portacin cientfico-didctica de esta nueva obra, ya fuete tanto en su vertiente
acadmica como profesional, si bien be estimado oportuno comenzar haciendo esta
"uModuccio". habida cuenta de que no exista tal capitulo acerca de los Infames.
Dictmenes y Peritajes. Judiciales y Fjctrajudiciales en la edicin original, ni por
supuesto acerca de los profesionales -ooo actividades afines a las de los auditores-,
que los emiten a peticin de terceras partes.
www.FreeLibros.me
' l i M. ItiliWISIMIWMAIK'A ISIMO/.I I t IKI)
Aplaudo, pues. evie boen criterio de los Coordinadores, en pro de una plena
exhaitstividad de su contenido inicial, confiando slo en que su decisin tambin haya
sido pertinente al proponerme la redaccin de los apartados que siguen, donde he
tratado de condensar pone de mi "capital intelectual" en esta e a de conocimiento,
atesorado inequvocamente en el Ejercicio Libre de la Profesin (ELI1) en el Colegio
Oficial de Ingeniero de Telecomunicacin, como tal Ingeniero de Telecomunicacin,
especializado en el mbito judicial y cxtrajudicial de las Peritaciones en Tecnologas
de la Informacin, o de las ingenieras informtica y de telecomunicacin, no carente
de posteriores iniciativa formativa de postgrado y profesionales en cte contexto, en
diversos mbitos de actuacin, privada e institucional. adems de asociativa.
En el primer captulo de la primera edicin de esta misma obra, su autor -Alonso
Hernndez Garca-, comenzaba diciendo: Definid y no discutiris. Y aun in la
pretensin de que lo que se exponga en este captulo sea indiscutible, parece muy
conveniente delimitar el campo en que nos desenvolvemos- . Pues bien, sera de necios
no aplicarse la receta: por ello, y antes de aportar conocimientos especficos al tema
objeto de este captulo, dedicar un primer apartado a delimitar el campo", antes
incluso que a definir" conceptos.
26.2. CONSULTORES, AUDITORES Y PERITOS
Si el marco de comunicacin con ustedes, amigos lectores, no fuese el formal de
un texto escrito, me permitira la licencia de relatarles en detalle -como acostumbro a
hacer en mis conferencias y curso-, aquel chiste de la cigarra que se dirige al
Consultor para preguntarte qu debera hacer para vivir como una hormiga, siempre
feliz, trabajadora y abolutamente productiva". Seguramente conocern el detentare:
el Consultor factur a la cigarra sus honorarios slo por mostrarte un Plan
Estratgico, dejndole a ella el problema de cmo desarrollar el oportuno Plan Tctico
de ejecucin".
Ciertamente, he podido consular en repetidas ocastones cmo los mismos
profesionales confunden y superponen los campos de actividad de estas tres
especialidades: consultorio, auditoria y peritacin. Sin embargo, sus funcionalidades
estn bien delimitadas, y desde luego sus competencias, actuaciones y producto'',
por los que facturan y se les abonan los oportunos honorarios.
De hecho, existen rgidas fronteras establecidas incluso por mandatos jurdicos-,
que impiden simultanear a un mismo profesional - o Comparta- mbitos de actuacin
superpocstos con un mismo cliente: es decir, prestarle un servicio como consultor, y
antes/despus como auditor. Consecuencia de ello han sido las escisiones a nivel
mundial de las grandes firmas de Consultores y Auditores, para dar cobertura legal a
sus respectivas reas de negocio, especialmente con determinados dientes
estratgicos.
www.FreeLibros.me
< APIIVUl.'ft Pt.HITA VT.W3 Al' PtTAR W
Hernndez. Garca. en d capitulo Mes ludido ("1.a informtica como herramienta
del auditor financiero"), afirma, hablando de la auditora, que aunque el "concepto
permanece inamovible, lo que si puede variar es %u objeto y finalidad": le ah que
urjan confusiones, tanto entre los diferente aspectos. Areas o enfoques en ><
sismos. como por las debidas a la vertiginosa evolucin que experimenta la
especialidad".
Aunque no volveremos sobre lo ya tratado en CMC libro, s utilizaremos por
coherencia vu esquema de discusin racional, para completar la visin de consultores y
auditores, con la de los peritos. Asf. seguiremos manteniendo la descomposicin de
concepto tPRRITACIN, en cmc caso), en unos determinados elementos
fundamentales: a saber: contenido, condicin. caracterMica temporal (introducido
aqu por primera vez), justificacin, objeto y finalidad.
ELEMENTOS
MBITO DE ACTVACIS PROFESIONAL
COWEPTVALES
CONSCLTORiA AUDITORIA PERITACIN
CONTENIDO
f
iOpoafa objetiia Opinin latêtiva
CONDICIN
(Carcter del
-cont*,-)
BMdienla
Coccmuda
Leal caber y entender
CARACTERSTICA
iMixio en el tiecpo)
Apeion A prnimon A po*terion
JUSTIFICACIN
(BwyacMtteMiel
ocn*>")
AnibndedMm
Procedimiento etpecllWiH
(tendente* a p(opMCK<ur
a x;indaJ n/niiNc de
tunen real y revio
de k hecho
ccpcciticjda en b
prueba nJic<(ada
OBJETO
(Uracoto *ot*e el qiae
e afilala
jiuciticaci&a")
Actividad o cueiota
vxrvoii a
conuderaon y/o
Infcemacin deterrnnada.
obtenida en a cieno
Elementen opeoifio
pccfueconado juato a ,
b proeba pinpccu
FINALIDAD
l-Producto* final
mromnlul de
Adecute * b realulad. o
fubilid* de b
Juicio de *aJc*. aumpe
Tabla 26.1. Contextualizacin de la "Peritacin ". verxus los mbitos profesionales
afines de la "Consultorio" y la "Auditoria"
La Tabla 26.1 mucMra el compendio de los tres mbitos profesionales,
extendiendo y perfeccionando lo ya visto pora la consultora y la auditora. Nti
damente se pone de manifiesto la separacin conceptual del mbito de la peritacin"
con respecto al de la consultora y auditora, ya de por si diferenciadas', aunque
' Hernn). C.jrcij. Alomo (AitAkvt ttifomfua1907. Cap I. fktg. I0> 'EpeoalmrMe el
elescnlo mtrmJodittinfue claranentr b auditoria de b conuihoeb. DepenJiendo de que u> contenido
xa o>mi obre no rewkadcn II dar netomroeMo o cornejo e relacin con un ctivid! i
drwrolUr. < tratar! de aodtfcefe o conultorfa"
www.FreeLibros.me
MO AUDITORIA LVKHtMATK'A US ENKXJtt PRACTICO
exilian opiniones afirmando que "la* definiciones de U auditora informtica liendre a
englobar el concepto de cnsul torta-'.
Entendemos que es importante hacer notar cmo la aocin de pensar puede
solicitarse en cualquier momento del proceso global, tanto de emisin de un "consejo
o asesora" (CONSULTOR/ * ). como de evacuacin de una determinada "opinin
objetiva" (.AUDITORA), justamente para soportar tcnicamente una determinad)
afirmacin ("opinin subjetiva" de un experto en la materia, o perito), acreditmfch
como tal a partir del "juicio de valor" en la cuestin planteada, emitido en todo caso a
posteriori. una vez establecida la "proposicin de prueba" y aportados sus
correspondientes "elementos especficos" a peritar .
Separados, por unto, lus tres mbitos de actuacin profesional convergen en w
aplicacin, quedando diferenciados en todo momento, en ocasiones coa caricia
imperativo.
26.3. DEFINICIN CONCEPTUAL DE PERITO
\ j l peritacin o peritaje es. segn el Diccionario de la Real Academia Espaola
de la Lengua, el trabajo o estudio* ouc hace un perito, para quien da tres acepciones
diferente* o definiciones aclaratorias que encierran en si mismas matices distinto:
a) "sabio, experimentado, hibil. prctico en una ciencia o arte:
* Koi auat defuncin -Ua u f k - . de ~utbjo. tludo o infierne que tuce el perito tebn m
dcrnrmli nvMcna" %t KiKMn en muchoi ro diccionanot jenefile
- Gran Diccionario Je ta Imûa E-tpaoia
- Ihtcionario Uanaal * Mamado dt ls*fmi Eipiola
- fhcckmano General VOX. de h //irtii Espa/Ma e lloarado
- Diccionario Encidop/dico ESP ASA
- Diccionario Enciclopdico HA7A <1JASfS
- IX-(MU(M ARISTOS
La mple acepcin * mencHMU > comenu afuiudo O de U fpta ufuienle acerca del omepo
de Perno e comn * Kutimn tvenie*. inckno bien diviiix ce u onenuocoev
- Diccionario General VOX. de la lengma Espaola e Ilustrado
- Diccionario Enciclopdico EDAE
- Oran Enciclopedia lAKOt'SSt
- Enciclopedia dri Si fio XX
tMulopedia m*bmedia PIANO AGOSTIW
Enciclopedia unneruil Mtwnni CAJA MAtNtlD
- Okcwmano Enciclopdico ALEA. de SALVAT
- Enciclopedia tNCAKTA. de SiK KOSOf T
- FaKkfmiu a i n u l menctiva. deCtXXJEK. ele.
www.FreeLibros.me
CAPTULO 5> mtfTAK WJBH AUDITAR V>\
b) persona que. poseyendo especiales conocimientos terico o prctico,
informa, bajo juramento, al juzgador, sobre puntos litigiosos en cuanto se
relacionan con su especial saber o experiencia"; y,
c) persona que en alguna materia tiene ttulo de tal. conferido por el lisiado".
A los efectos que nos ocupan en esta obra apartaremos la acepcin c). por su
componente acadmica, vinculada a una titulacin -universitaria, en general-, sin que
ello quiera decir que no sea condicin sine </ua non xu posesin en determinadas
circunstancias.
Tambin apartaremos de la discusin que pretendemos realizar iiicialmcnte. la
acepcin b). por ser limitativa del concepto genrico de perito, no forzosamente
vinculado a actuaciones judiciales en su quehacer profesional, pudiendo ser
"extrajudicialei" u orientadas a la "mediacin y el arbitraje.
El Diccionario Enciclopdico SALVAT aporta una cuarta acepcin de conocida
incidencia en nuestra sociedad, aunque bien pudiera quedar englobada en la primera
de las acepciones, nica con la que de hecho nos quedaremos para su dbcusin en este
apartado. As. segn este diccionario de SALVAT. un Perito es t n prctico o
conocedor de la naturaleza de un bien, de su mercado y de sus caractersticas y
aplicaciones, que tiene por objeto atribuir un valor (tasacin pericial) t ese bien: no
obstante, reconoce que "en ocasiones el peritaje no comporta tasacin, y se limita a
reunir un dictamen acerca de sus aplicaciones y caractersticas tcnicas.
Queda pues claro, a partir de lo expuesto, el enlomo defmitorio de un Perito,
delimitado por las siguientes caractersticas para estas "personas":
a) con conocimientos4 en el mbito de la opinin reclamada (hava el lmite de
calificarle como sabio*'');
b) experimentados, luego alguien que sopona su informe en vivencias
adquiridas; y,
c) hbiles o prcticos, en una ciencia o arte, capaces de ejecutar y valorar
resultados obtenidos a partir de la prueba planteada en un contexto tanto
cientfico como artstico, segn los casos.
De forma sucinta, podemos encontrar definiciones de perito autnticamente
alegradoras de estas caractersticas precedentes, como la aportada* por la Gran
' Srgn el IXttumano de Hara Mobmtr. Vonociimcmcx (tpecitlet n uu rrukn
' Segn el fhemnano General HuuraJv de VOX -sabio mpaimentafe"
*t e mtim dxcKoafU. ule como:
-tjKKtopedtodet Sitio XX
- themnario det FjpaM n u l de ACUIIAK
- IMetitmarioeiuitlofMuoSA/aiUANA
www.FreeLibros.me
m AtmrotiA intohm Atica.- un bioque prctico
Enciclopedia LAROUSSE: "Experto, entendido en una ciencia o arte", o en algn*
rama del saber" (glofcalizacin del Diccionario Enciclopdico GR!JALBO>. o "... es
una ciencia, arle u oficio (extensin de la Enciclopedia Multimedia PLANETA
AGOSTIN! y dc b Enciclopedia universal interactiva CAJA MADRID).
26.3.1. Equivalencia con la denominacin de Experto"
De acuerdo con lo expuesto, podra inferirse que el trmino Experto" e*
absolutamente equivalente al de Perito", aunque sea este ltimo el habitual mente
utilizado.
Un recorrido por los diccionarios de sinnimos y antnimos refuerza esto ltima
- sinnimos de "Perito", son: expeno, diestro, hbil, experimentado, conocedor,
competente, especialista, tcnico, prctico...
- antnimos dc Perito", son: inexperto, desconocedor, incapaz...
Lo mismo queda confirmado con un recorrido por diseos diccionarios de
espaol-ingls:
- "Perito", se traduce* por Expe rf . en general.
- Segn los casos, puede aAadine un calificativo para precisar su campo de
actividad*: por ejemplo: Computer experi", o "expert in programming
languages". Pero, en todos los casos, especificando que se trata de "alguien
con profundos conocimientos sobre algo" lexpert-person *ho knows a lot
about uimeihing). o desde luego con "conocimientos especiales, habilidades
coctcretas o formacin prctica en una determinada parcela del saber" (person
H'ith special knowledge. skill or training in a particular fietd)w.
Un trmino alternativo acuado para los "expertos, aunque menos utilizado con
carcter genrico, es el de los Peritos forenses, muchas veces asociado al mbito
judicial y en reas de conocimiento muy concretos como la medicina (caso dc los
mdicos forenses"). Dc hecho, existen categoras y reas de peritaje forense privado
que se utilizan habitualmente, tales como:
- "peritos forenses dc grado superior" (desde mdicos y psiclogos hasta
ingenieros c informticos, posando por licenciados en arte o bilogos):
Ottctonxno Ltpaia df SvWmti >Aatmmm. Ihtrmnarto Ihmul dt SiaiMmpi y AnhUmm.
COtJJNS. Dk(Hrt, AaMun f f hf-ymaUem Tntmalvfi. ttC
*DKOnnvy of InfomuCKa. OKUoniry i latcvnutu Tecknofctfy. ele
*Oxford Advanced Imwf'i
www.FreeLibros.me
"peritos forenses <lc grado medio" (desde ingenieros tcnicos y aparejadores, a
censores jurados de cuentas o topgrafos); y.
- "pericos forenses de grado tcnico" (desde peritos calgrafo, gemlogos,
filatlicos y numismticos, u agentes de la propiedad inmobiliaria, pesadores y
medidores...).
26.3.2. Acerca de la adquisicin d e "expertlse
Hemos visto cmo en una primera vertiente conceptual, o dcfmitoria. podemos
encontrar respuesta al concepto de "Perito" en los mismos diccionarios. Tambin
hemos visto cmo el trmino "perito" -experto en determinada materia, radicando su
vale* en los "conocimientos / experiencia" que "posee / ha adquirido"- no tiene una
traduccin precisa en otras lenguas, utilizndose "e xp e r f -generalmente asociado a su
rama especfica de conocimiento- , por ejemplo en las lenguas anglosajonas.
La cuestin remanente seria entonces dnde ha adquirido t u experiencia", porque
l a experiencia es buena, cuando no se compra demasiado cara" (Experience it good.
if or bought too dear)':. Dicho de otro modo, queremos entender la experiencia en el
sentido de acumulacin de conocimientos por estudio y/o vivencias de "hechos", no
necesariamente "fracasos", en la acepcin del poeta y moralista francs Paul
AUGUEZ1 "la experiencia es la suma de nuestros desengaos.
Nuestra doctrina pues, ira ms en consonancia con la de Francisco BANCKS
CANDAMO14:
"Docta es. pero peligrosa,
escuela la de los yerros,
si en ellos ha de ensearse.
Porque si hay eleccin en ellos
que puede costar la vida.
para qu es la conciencia? I.ucgo.
feliz quien estudia a costa
de los errores ajenos!"
l-o mismo, con palabras similares, nos han dicho muchas personas: desde Tito
LJVIO1' (E \ mt u t itultorum magister est), hasta Benjamn FRANKLIN1* (Experience
keept a dear SchooJ. yet foots *111 team in no other).
"XIII Encuendo tohre y Derecho. MtJnJ. myo I99*>. IVniujes en Tecnologas Je
b IrrfccmKuta y Comtnicaciones" (FVoencu Je Jcvis Rivera Laguna): Ltfeo Je Acus
' TK-flus FULLER (I6H-I7J4K (iKmoiotfa
1 Veipnene est le uxal Je no Jceptons" (SMtmt ct rocoto)
H <1662-1 Wl: titulancnfAv. Je oro.
" / rtptrirxc ui o rl maturo Jt lu mttroi ~ |/fiwoiii*
H ~F.i i m tunta cata la Jt Ui txptrttann; im tmbargo, lotk/toi noupttnJtrn nt uitiuu
I ' </W KmHo/ J t Abmwth)
www.FreeLibros.me
yx AUOTTOItlA INFORMTICA CN t>TOQI.'F. PRACTICO
26.4. PERITO" VERSUS ESPECIALISTA"
26.4.1. Quin puede ser "Perito I T
De modo genrico -conceptual o defniiorio-, acabamos de comentar en el
paitado precedente qu es un perito". En una segunda veniente, estrictamente
Jurdica, podemos leer en el Diccionario Jurdico de Julia Infante1, que: "perito es b
persona que informa en un procedimiento, bajo juramento (sobre cuestiones litigiosas
relacionadas coa su especialidad o experiencia)"; no obstante, se aflade que esa
persona posee un titulo y es especialista en algo determinado".
Si admitimos las precisiones antenotes, nuestra respuesta a la pregunta de qu es
un perito y sobre todo a la de quin puede ser. un Perito I T -en Tecnologas de la
Informacin-, se concreta su stanc taimen te:
a) debern poseer una titulacin, en informtica o de tdccofmintcactfa.
entendemos que oficial y de carcter universitario: ingeniero tcnico" cuando
menos, o ingeniero19, i bien podra admitirse la validez en determinadas
peritaciones de otros titulados universitarios en ramas afnes; y.
b) debern, adems, ser especialistas en el objeto de la pericia, en tanto que la
titulacin universitaria en si misma no es garanta a priori de la competencia
tcnica necesaria pora emitir un dictamen con reconocida autoridad, en un
mbito particular de conocimiento dentro del vasto y dinmico contexto de las
tecnologas de la informacin.
Como en muchos otros mbitos profesionales, la praxis ex diferente. Cuntas
veces hemos constatado formando porte de "temas enviadas a Juzgados, para
insaculacin de sus miembros, que se desconoca el objeto de la pericia hasta ese
momento, siendo el comn denominador de los peritos propuestos exclusivamente la
titulacin universitaria que poseamos, pero no. por tanto, la adecuacin de nuestra
especializacin y en definitiva nuestra capacitacin real pora emitir el dictamen en
cuestin. Los Colegios Profesionales no cuentan habitualmcnte con recursos adminis
trativos para efectuar una mnima prc-se leccin de propuestas de candidatos a perito
judicial en un determinado procedimiento, ni puede que quizs se lo permitiese el
propso colectivo de colegiados: potenciales peritos. No entraremos en este debate,
ajeno a nuestra competencia, pero dejaremos constancia de l.
' ' fle*o NavutOu Emilio del: ,Kwwi rfe DicMnmn > Ptrlu)r> infomMcox. Ediiocul DIAZ
Mi SANTOS Majnd. 199) I y u.)
" Titulacin unlifririaria oficial, de primer ckto.
'* Titulacin uMitnuana cfictaL de fiado ticte-
www.FreeLibros.me
CAjfn.i o y>mtt AR " a u w a u x t a b w
Sin duda. y para nuestra tranquilidad, el sistema dispone de sus propias
salvaguardas:
la deontologa del propio perito insaculado, o simplemente propuesto. para
declararse a s mismo como "no competente" en dicho procedimiento: y.
- la declaracin final que lodo perito har en el momento de firmar su dictamen:
"segn su leal saber y entender, que le lleva a someter su opinin a otra mis
cualificada o fundamentada tcnicamente"
En una tercera vertiente estrictamente profesional, coincidimos en fin con quienes
defienden que un "Perito IT profesional" es mucho mis que un mero tcnico
competente, por supuesto titulado universitario en alguna rama de las Tecnologas de
la Informacin y con experiencia (expertis*") en la materia objeto de la pericia de
que se trate en cada momento. Concretamente, la AIPT* diferencia entre "perito" y
especialista", segn se hace constar en el correspondiente documento de 'Solicitud
de ingreso" en la misma11: el reconocimiento social y el prestigio de las aducciones
profesionales de los Ingenieros de Telecomunicacin como Peritos, hacen deseable a
juicio de la Agrupacin que se satisfaga una doble condicin:
a ) Experiencia y formacin especifica como Perito
b) Dedicacin preferenciaI al Ejercicio Ubre de la Profesin
Con inusual rudeza y absoluta claridad, la Comisin Gestora de la AIPT puso de
manifiesto que ~no basta con ser especialista para poder realivir buenos peritajes: o
ya se ha adquirido una formacin especifica como Perito, ejerciendo esta actn'idad
desde hace aos, o se deber adquirir". Asimismo, "recuerda a los interesados en
pertenecer a la Agrupacin de Ingenieros-Perito que es necesario tener en cuenta
las obligaciones de carcter fiscal y laboral que conlleva la realizacin de trabajos en
ejercicio libre
En sntesis, la argumentacin de la AIPT es que debe profesionalizarse la
actuacin como Perito con una "dedicacin preferencia!" a dicha actividad, y que debe
acreditarse su competencia como tal perito r on cxpciicuvU aucdiUnU I icspcwiu. que
no garantiza en s misma la titulacin universitaria oficial propiamente dicha
(Ingeniero de Telecomunicacin, en este caso).
En otras palabras, un "Perito IT profeMonal" no es un temporero de las
actuaciones Judiciales. Con todo respeto a su competencia tcnica, estos otros
profesionales serian los "especialistas~ -que no peritos- , como distingue
* Agrupacin de Ugttxtrm-PerUot de Teteetmuucciet. del Colegio Oficitd de ftlffalena dt
Telecomunicacin.
COMISIN GESTORA DE LA AIPT 'AttntJnd pmfeUonri libre ejerciente, amo tntemem-
Perito deICOU" iSokcUud de h|KU). COfT: MadnJ. 17 de nuyo de IWI
www.FreeLibros.me
inequvocamente la AIPT: "se enrienden como lates, a aquellos compaeros que toa
expertos en una determinada materia, pero que carecen de plena disponibilidad de
tiempo y desplainmitmo en su trabajo principal tno como ~libre-ejerciente~i o no
estn interesados en asumir el riesgo de unos costos fijos anuales ocasionados por el
alta en el IAE -Impuesto de Actividades Econmicas y el pago mensual como
autnomo de la Seguridad Social
En o t a linca fe leccin fe perito profe*Minales~. encontrarnos una slidi
iniciativa, sin duda fuertemente elitista por criterios de formacin y dcontdoga. tal
cual cs SllSPES/Soctcdad Espartla de Pierito* Judiciales", quien exige a sus
asociado.:
1. Titulacin universitaria oficial de segundo ciclo, como mnimo (el 50 de
sus actuales miembros son doctores), en Derecho y lo carreras del mbito
de las TI* (Ingeniera Informtica e Ingeniera de Telecomunicacin,
preferentemente).
2. l-'ormacin tcnica especializada de postgrado en materia fe peritajes, as
como en deontologa. que haya sido reconocida por la Fundacin
DINTEL, adems fe acreditar una adecuada experiencia profesional con
Perito.
En concreto, los requisitos exigidos pora ser admitido en SESPES. como tal
"Perito IT profesional", son:
a) titulacin universitaria oficial, de segundo ciclo, en Derecho o Tecnologas de
la Informacin:
b) formacin especfica de postgrado en materia de peritajes;
c) compromiso de actuacin profesional sujeta a cdigos deontlogicos; y.
d) experiencia pericial acreditada.
lvta A*ociacin de Peritos profesionales -SESPES- justifica de hecho sus
criterios fe seleccin afirmando fie en otras condiciones se estaran ofertando a-
aquellas Instituciones u Organizaciones que le solicitan sus servicios o colaboracin,
perito* seudo-profcsionales. o sin "garanta de origen, lo que no significa que i
puedan dar un adecuado "servicio" esos tcnicos, en determinadas ocasiones. Y ello,
sin entrar en las consideraciones fiscales y laborales que les exige asimismo la AIPT a
sus miembros, segn hemos visto en el prrafo anterior.
SESPES. o la SottrdoJ EtfaAota Je Ptrtioi JadHiatri, creada tujo lo auipKBM de b
I undanta Divm.. qee agrtfo a finio profetionalc* en Teroologl*' de la Infcemac Pirn* idi el
I7dcatwild( 1999 co un A Fundacional de dit i pcuewonale (taco detfcvc en Detecto \to
Tecnologa de la InfcematpJo, Paireo. de la tiuklaon WXTH, y. cinco ex alurmo* de ui
Ph.gransade AlU l<mac>> en Ingeniera InformJtKat SfcSPKS exi reconocida oftculmeMc t*i con
*u t*ljlwoy- .raunian el oportuno Repuro de A i , i m con el N* 165 4l7(~XrinAHt Jr
tu Seirtku Genrrat Toita JriM**Mr,oAt Interior' : N* 7.6J4. de 29 de julio de 19991
www.FreeLibros.me
CAHn.lO 2b.tmiTAR VUOS AUDtTAR w
26.4.2. Formacin de Peritos IT Profesionales"
Un "Perito I T ' no n a : se hacc. con formacin especfica. Efectivamente, hemos
fccho que un perito, lo es en tanto a unos conocimiento (titulacin) y una experiencia
especfica en este mbito profesional. Desgraciadamente, en la Universidad no se
incluyen este tipo de materias, ni los colectivos profesionales (hablamos
exclusivamente del sector de las Tecnologas de la Informacin) dedican a este asunto
todos los recursos formavos que aparentemente son necesarios. Por el contrario, nos
constan algunas iniciativas aisladas en esta direccin, promovidas por la iniciativa
privada:
- IEE. en colaboracin con GRANADA: Aula de Informtica Legal- 0'; y.
- Fundacin DINTEL: "Programa de Alta Formacin en Ingeniera Informtica"
y "Proyecto formativo sobre Ejercicio Profesional y Autoetnpleo como
Perito-04.
Segn SESPES. en el apartado de "formacin especfica en materia de peritajes",
los peritos profesionales debieran tener conocimientos de:
a) Fundamentos jurdicos: El perito profesional tiene que desenvolverse en un
entorno judicial, para lo cual necesita conocer ciertos conceptos jurdicos,
vocabulario, etc.
b) Tcnicas de redaccin de dictmenes: El informe pericial es uno de los
medios de prueba de que puede hacerse uso en un juicio-' ' , siendo aconsejable
por unto que sigan un cierto esquema de exposicin.
c) Criterios de mnutacin de honorarios: El perito es un profesional libre
ejerciente que deber facturar sus honorarios, con criterios deontolgicos
desde luego, pero tambin con conocimiento acerca de cules son las tarifas
de honorarios recomendadas, sus excepciones y salvedades, etc.
?1 *AU de InixmilKj LegjT. ganiiada p<* IEE > GRANADA Binase CoMinMy:
tVuwwi > f ' t n u yi hfomiiutn: Madnl atol. I.
'*Fu ambo* o m . I uto <JI taw fcw de kx Pro)ti fontulivin ha wdo cedido a la r<ad*:iM
fot I propiciar cukutt u de loto u derechos intelectuales y de explotacin (Ri.no Laguna. JeUn
hmrcto forma/mi Je Infirme>. OKimntti y FtrtueuMti. v Kura/ndKtaUt. MINISTERK)
DE EDUCACIN Y CULTURA Registro O n n l de b Piuptolad Intelectual. N* 77 211) Un alum**-
piraos que Mfcna rl periodo de focnuoSn. tasado ahv-iacjmenl n <nm reales, reciben un T M i
(XWul de la Pwlacin DlfTEL*. avalado poe un repMado Cianuro de Proesore. lodos
FMeuonalet de mvooodo prestigio. acreditada nprntncu como IVMx en Tecnologas de U
UmacMi.
* Au lo establece espcclfKaance el articulo 57 apattato 3*. en la Seccia Quinu de la vtfctte
Ley de EajaKiaaeolo Civil de IRSI. y. el articulo 299 asaltado 4*. en el Capitulo VI de la Ley de
Enpucumienio Ovil 1/2000. que cacar en sigoe ai aio de se publicacin (en el yaiati 7 de nlr
ptate ic ijitcuiirin estai cuestiones en profundsladl
www.FreeLibros.me
V MCCTBKlA INWKMUCA UN KKIQtt HtCnCO
d) Protocolos de actuacin: La actuacin de un perito puede provenir Je una
decisin judicial directa, o a instancia de terceras portes: puede requerir
obligatoriamente el Viudo -previo o diferido- del correspondiente Colegio
Profesional: etc.
Adems. > en todo caso, un perito profesional debe:
- tener uno mnimos conocimientos laborales y fiscales para cumplir con k
I oportunos mandatos: su desconocimiento en modo alguno le exonera de
responsabilidad:
- adquirir una mnima competencia comercial y de marketing, que le permita
acceder al mercado laboral, con casos reales en los que poder ejercer tu
actividad profesional;
- etc.
26.4.3. Conclusin
Las nuevas tecnologas, en particular las IT-Information Teclmologiei'
(Tecnologas de la Informacin), estn de moda y son un campo de creciente inters
en la presente Sociedad de la Informacin, lis en este marco tan dinmico e inestable,
donde se impone la necesidad de efectuar peritaciones tcnicas, aun cuando sus
propios agentes (los "tcnicos competentes") no las promoviesen. Surge pues, inevi
tablemente. la necesidad de disponer de peritos profesionales, ms all de los meros
tcnicos competentes.
En todo caso, debe distinguirse al "perito" (como profesional"), del
especialista" (como "experto puntual"), al que no se le exige que posea una
formacin especfica en reas tales como: fundamentos jurdicos, tcnicas de
redaccin de dictmenes, criterios de minutacin de honorarios, etc.
26.5 DIFERENCIACIN ENTRE INFORMES, DICTMENES Y
PERITACIONES
Antes de comentar la diferenciacin que establece al respecto alguna Corporacin
de Derecho pblico (COIT. Colegio Ofu'ial de Ingenieros de Telecomunicacin, en
concreto), precisamente por su incidencia en el clculo de los honorarios que uaa
determinada actuacin profesional provoca, haremos un recorrido por diversos
www.FreeLibros.me
diccionarios generales con la finalidad de apollar una mayor perspectiva a estos
trminos, habiiualmente identificados como equivalentes por los legos en la materia.
26.5.1 Acerca del trmino Informe
El Diccionario de la Real Academia Espaola de la Lengua* define Informe de
modo genrico, como "noticia o instruccin que se da de un negocio o suceso, o bien
acerca de una persona".
Bastantes diccionarios*' introducen una cierta generalizacin -no exenta de
confusionismo tcnico, segn aludamos ames-, al definir Informe como "la accin y
efecto de informar o dictaminar
Slo unos pocos aportan la precisin esperada:
- Diccionario ARISTOS: "accin de informar o dictaminar una persona
competente".
- Gran Enciclopedia IAROUSSE: "exposicin oral o escrita del estado de una
cuestin
- Diccionario General de la t sngua Espaola VOX: Comunicacin que
enumera con orden y detalle unos hechos, actividades o datos, basndose en
supuestos ya comprobados (un informe tcnico).
Tambin los hay que matizan definiciones2' en el imbito del Derecho, asociando
el trmino "Informe" a las "exposiciones orales que hace el fiscal o el letrado ante el
tribunal que ha de fallar el proceso". En particular, algunos otros-' ' asocian el trmino
"informe" en el mbito procesal, al contexto de pericial tcnica: "diligencia acordada
por el juez cuando, para conocer o apreciar algn hecho importante en el juicio, fuese
necesaria la intervencin de un especialista con conocimientos cientficos o
profesionales".
tnlre ota. Mies como:
C*w> del Dur tonino EMKtoptiAto ESPASA. IAKOVSSC. Dvccionerto EncwIcyutJMn Vtmtna
OCtANO. EncteloptAa UniirriaJ /iwwma CAJA MADRID. Dmxontuto jKutapeîtv AIJ-'A dr
ULVAT.tte
3 Ciw dd IAROUSSE. Du.i m m b i . tfcyw'Jk tVMWnof OCANO. Emcxlapn/M fmxrud
KmtnJa ESPASACAITE Encwlt-ptAa ENCARTA dr MICROSOFT, etc
> C**o de U EitcktopnKa V M PLANETA AGOSTINt. Enrelo^Vnhenut l w w u
CAJA MADRID. Entvlofmtw Vnneruri Inuracui COUJUt. t u
www.FreeLibros.me
26.5.2 Acerca del trmino "Dictamen"
FJ Diccionario e la ReaI Academia Espaola de la t/ irua* define Dictamen de
modo genrico, como "opinin o juicio que se forma o emite sobre una cosa".
Bastantes diccionarios matizan:
a) que quien expresa la opinin sobre dicha cosa, es "alguiea con autoridad en la
materia":
- Diccionario Mara Moliner
- Diccionario deI Espaol Actual, de AGUILAR
- etc.
b) que se traa de una "opinin escrita y motivada, suscrita por uno o varios
facultativos, sobre un asunto determinado de una especialidad":
- Diccionario Enciclopdico ESPAA
- Diccionario Enciclopdico SALVAT
- Gran Diccionario de la Ijrngua Espaola
- Enciclopedia IAROUSSF.. de PLANETA
- etc.
La Enciclopedia Gran Larousst Universal, identifica no obstante dictamen
(pericial), con "informe pericial", invistiendo en que "debe centrarse en cuestiones
puramente tcnica, ya que los jueces no pueden delegar su poder decisorio... El perito
es un mandatario de la justicia, habilitado para proceder a toda* las investigaciones
exigidas por el cumplimiento de su misin, del dictamen". Y aade inequvocamente
al discutir la valoracin de un dictamen pericial que "la apreciacn que haga el juez
del dictamen es libre, no estando obligado a sujetar su decisin a li opinin pericial: si
no lo considera adecuado para fundamentar el fallo judicial ccber. no obstante,
sealar los motivos que han dado lugar a su decisin".
El Diccionario de Derecho Pri\ado de la Editorial LABOR, atode de su pune que
"la ley utiliza la palabra dictamen para designar el informe emtido por los peritos
durante el periodo de prueba en un proceso".
- H-noum LitCKiopetto ESPASA
- Cra* FMKtopnba lAKOUSSf:
- DKfKwr KxeukjpMKo EDAF
Pirctomim fjtctchpMtto HA/A A JANS
- Dtctiemario AKISTOS
www.FreeLibros.me
La consulta de diccionarios'1 de sinnimos, antnimos e ideolgicos, no apoda
mayor luz. al considerar sinnimos trminos como informe, opinin y juicio, junto a
otros ms.
Lo mismo ocurre con las definiciones recogidas en d i c ci o n a r i o s d e lengua
extranjera: report. opinion y judgement. No obstante, si puede considerar: relevante
la diferenciacin que introduce el Diccionario de Trminos Jurdicos (ligls-EspaAol /
Spanish-English) de Enrique Alczar Var y Brian Huges. de Editorial ARIEL, entre:
dictamen consultivo: advisory opinion:
dictamen jurdico: legal opinion (opinion o countel):
- dictamen moth'ado: reasoned opinion: y.
diclamen pericial: cvpert opinion (expert tcvtimony). cotro sinnimo de
c m u ____________________________________ C A H M O BHTAIIMSWJAUDIT OI
26.5.3. Definiciones del COIT
Las anteriores similitudes terminolgicas entre informe, dictanen y pericial
quedan absolutamente deslindadas en los documentos oficiales del COIT. Colegio
Oficial de Ingenieros de Telecomunicacin, y ms eoncrciamcnte en su ANEXO II de
f rm ulas pora Informes. Dicimcncs y Peritajes".
Concretamente, entiende por:
INFORME: El desarrollo, con explicaciones tcnicas, de Us circunstancias
obienadat en el reconocimiento o examen de la cuestin sometida a informe.
DICTAMEN: 1.a exposicin de la opinin que emite el Ingeniero, sobre la
cuestin sometida a dictamen.
PERITACIN: El dictamen en que se disciernen cuestkoes de orden
tcnico, o se definen circunstancias tambin del mismo orden.
Hasta tal punto es manifiesta la diferenciacin conceptual asocuda a los tres
trminos en cuestin, que el COIT especifica que "los honorarios en tos casos de
defamen o peritacin (II), sern el doble de los sealados para los informes ( H T .
11 Gran Iheticmario de Smrumcn. de BRlXiUERA. Dk<tonarto n u a al de SMaiam y
HMttmot. de VOX. Dimuri UnUfk# Je ta Unfu tspaMa. de JULIO CASABES: t*C
15Oxford Adsaoed L nm r' i . COtLINS dKtionvy. ele
www.FreeLibros.me
60? AUOTTOKA INFORMTICA l'N ENFOQUE mACUCO
As. aun partiendo" de uno honorarios mnimos" de 55.700 pus., el COIT
recomienda se aplique como frmula general para clculo de honorario de lo*
Informes":
H B * 0 0 3 x V x C
siendo :
- V Suma de valores de materiales, mano de obra, amortizaciones, gastos,
generales, ele. con la que ha habido que operar;
- B = 5.250 pas.: y,
- C * Coeficiente reductor por tramos;
pero teniendo en cuenta que. para los "Dictmenes" y "Peritaciones", los honorarios
(II) se duplicarn:
H - 2 x H
Esta filosofa de duplicacin del valor ( II ') de los honorarios resultantes de aplicar
la frmula de los "Informes", se mantiene en cualquier otra situacin en que no sea
vlida la frmula general antes indicada. En concreto, el valor antes indicado de H. te
calculara:
- en el caso de "Informes sobre Proyectos", mediante:
H * - 0 * 5 x B + 0*l x P
siendo P, los honorarios del Proyecto:
- en el caso de Informes sobre Obras ". mediante:
i r - 0 ' S x B * 0 * l x O
siendo O. los honorarios del Proyecto de las Obras informadas:
- en el caso de Informes sobre Instalaciones (mquinas, materiales, etc.)",
mediante:
H * 0 ' 5 x B O 'l x l
siendo I. los honorarios del Proyecto de las Instalaciones informadas:
11Batanas de Hanorenot Orvmnwi para Trabajo iProfnumaln. tfbcMn a kn Inpnimu de
TeteoYBunKKin. en el Ejercicio lbre de la Profesin
14En et ato 2000
www.FreeLibros.me
*\ CAPTUH-O >: mtITAR VMSUS AUDITAR 01
- en el caso de "Informes sobre Concursos de Proyectos ", medanle:
H - 2 x B 0 05 x C
siendo C. los honorarios de los Proyectos informadas:
- en el caso de Informes sobre causas de avera (en fbricas, instalaciones,
maquinarias, artefactos. conducciones, etc.)", medante:
H' * B + 0'05 x A
siendo A. el valor de lodas las prdidas producidas por la Averia:
- en el caso de "Informes ame Tribunales (en situaciones especiales para las que
no existe la tarifa correspondiente), mediante:
H' b 0 5 x B + 0 0S x F x ( l *0'l xN)
siendo F el importe de la Fianza sealada por la autoridad judicial o el impode
de la responsabilidad civil subsidiaria que sea objeto de la intervencin
judicial, y N la suma del nmero de escritos y comparecencias del ingeniero;
- en el caso de Informes sobre Patentes", mediante:
H B (0*5 *0*25 x R )
siendo R el nmero de Reivindicaciones objeto del informe.
26.5.4. Tarifas diferenciadas de Honorarios de Ingenieros en
Trabajos a particulares
La disquisicin de honorarios descrita en el prrafo precedente, no es en realidad
una particularidad del COlT. Antes bien, se trata de una adaptacin de las Tarifas del
COI!', a lo establecido por la Orden de 24 de julio de 1962 (Boletn Oficial del listado
de 31 de julio), por la que se aprueban las normas complementarias de aplicacin de
las tarifas de honorarios de los Ingenieros en trabajos a particulares, a propuesta del
Instituto de Ingenieros Civiles de lispaa" -actualmente. Instituto de la Ingeniera de
EspaAa-, y de acuerdo con lo establecido en la base general 13 del Anexo del Decreto
1998/1961 de 16 de octubre.
As. de las 268 Tarifas que integran la Parte III del Anexo'' al Decreto, dedicada a
'Trabajos Especiales", se establece concretamente una d a t e denominada "Informes,
dictmenes y peritaciones" (Tarifas 156 a 168. ambas inclusive), correspondiendo:
La Piik I comxne tcalu U Tarifas t H a xnn rctonvu i Po)io.
Grupo.
www.FreeLibros.me
- la Tarifa 168, a la frmula general;
- la Tarifa 156. a la frmula largamente comentada de H 2x11*: y,
- la Tarifas 157 a 160 <amba inclusive) y la 168 y 166 y 16?. a las
explcitamente relatada. para clculo particular de II': proyecto, obras,
instalaciones, concursos de proyectos, causas de av:ra. informes ante
Tribunales y patente*, respectivamente.
Inequvocamente, este Anexo al Decreto de Tarifas de Honcrarios de Ingenieros
jue se ha presentado, distingue pues entre Informe". "Dictamen" y Peritacin",
recogiendo de hecho las mismas definiciones Jadas en el prrafo 5.3. en el prembulo
al bloque de Tarifas 156 a 168.
26.6. PERITACIONES EXTRAJUDICIALES Y ARBITRAJES
No profundizaremos aquf en este tema, por razones de espacio. pero no queremos
pasar sin dejar constancia <fc su importancia explcita en el captui> que tratamos.
El mismo Anexo <lcl Decreto le Tarifas a que hicimos referencia en el apartado
precedente, dedica explcitamente su Tarifa 220 a valorar este merester:
H' - 5 x B 0 05 x V
siendo V la suma de valores con qtic se ha operado para resolver el arbitraje. En
particular se establece que para su realizacin se supone que se proporcionan al
Ingeniero toda clase de datos, y adems de lo resultante de aplicar esta tarifa, habrn
de abonrsele los honorarios de los reconocimientos, informes, viloraciones. etc. que
efecte.
De los dos tipos bsico de arbitraje que existen -le equidad y de derecho-, slo
en el de equidad cabe pensar en principio que un tcnico acte como rbitro. ya que
en este caso puede serlo cualquier persona natural que se elija para decidir sobre la
cuestin litigiosa, segn su leal saber y entender y sin sujecin a trmites, debiendo
tan slo dar la oportunidad a las partes para ser odas y presentar las pruebas que
estimen convenientes. Ello no impide que. en cualquiera de los casos, se requiera un
informe. Jictamen o pericial extrajudicial por las panes, a quienes asimismo
corresponde la eleccin del tipo de arbitraje que desean17.
En el no del 'artMraje de derecho lo irtMrca deciden la curtate litipuu Wfccife a
derecho, fue lo quedehertn ver letradoenejercKio.
En **> de que > ha>aa nmfetado ui vol untad en me aspecto, el arfante t t t i de exudad
www.FreeLibros.me
CAPITULO i t PIUrTAIt VtXttS Ai:DtTAlt 60*
El arbtrale, en tanto que istcma de resolucin alternativa de conftelo, aporta
mltiples ventajas: rapidez'*, discrecin y confidencialidad, flexibilidad en el
procedimiento y lugar de celebracin, reduccin de costas, voluntariedad en la frmula
de solucin al litigio, eficacia, etc.
En particular, y totalmente en la lnea que nos ocupa, cabe destacar como una
notable ventaja el hecho de que las panes pueden escoger como rbitros ("de
equidad") a personas que sean especialistas en la materia. ya sea por su profesin,
cargo o actividad: no se olvide que sern estas personas, al actuar como rbitros,
quienes lomarn la decisin que estimen ms justa en conciencia, y que una vez sea
firme el laudo arbitral dictado ste podr ser objeto de ejecucin forzosa, al igual que
una 'sentencia judicial firme.
Distinta es la frmula de la mediacin", que se diferencia de la del arbitraje en
que el mediador no tiene carcter de juez, sino de "hombre bueno" cuyo consejo puede
ser aceptado o rechazado libremente.
En conclusin, segn recoge la Enciclopedia Gran Ijarouu* UniversaI:
"Socialmente pues, el confiar la solucin de conflictos al juicio-resolucin de rbitros,
significa la existencia de una comunidad sana y nicamente madura en la que los
problemas imcrpcrsonales no alcanzan grados de continua agudizacin, y por el
contrario se han conseguido en su seno altos niveles de convivencia."
En mayo de 1989. unos meses despus de la entrada en vigor de la Ley de
Arbitraje Espartla, se constituy en nuestro pas AKBFTEC", con la finalidad de
ofrecer una va alternativa eficaz para la resolucin de divergencias que tengan como
fondo productos o servicios relacionados con las Tecnologas de la Informacin. En
febrero de 1997 se convirti en la primera institucin espartla que admite soluciones
de arbitraje a travs de Internet, utilizando la red en todas las fases del procedimiento
arbitral, excepto en aquellas diligencias en las que se requiere presencia de las pon e s'1.
* Estuca. incWsu. los deno** "arbitraje acelerado-. <n k x f x x introducen cien
aodtfkacione* para garantizar que e (vedi realizar en nene* tiempo y coa neo m* redundo ido.
M La imparcialidad de AMBtIWC -AiotMKidn EtpaMa * Artnrrar TtcnoUt**-. quedl
garantizada p<*el hes.-H>de que la Cuakuta encargada de elegir a lo rtxtro eli fumada po un
representante de la oferta > otro de la demanda
a) el cctue de Un empieva vuaamttradom de Tecnologa de la takeminte. e*U representado
por SEDISI: y.
b> lo atuanos. estin representado* pee la Asociacin de Uuiariot de Internet
I o* <4>*iiKaln garantizan la tutela de kn derecho de ta panes en ei manalo de la deigaacin
de penkn para el procedireenlo artwval
Pira someterse al arbitraje ARBITEC. podr tramitarse b s4citud. por ejemplo. * tras del
nesfundiente formulario electrtaio en b teb tap onnet eVaibstes
www.FreeLibros.me
W. Al'DmHH IMOKMATKA I N I.MOQO IACTK~Q
A de mis de ARBITEC. y desde luego de la Corte Espaola de Arbitraje, existe en
nuestro pas otra interesante organizacin: ARxME. Arbitraje y Mediacin". nica
empresa privada espaola dedicada a promover e impulsar el arbitraje y la medixtn
como alternativas a) procedimiento judicial ordinario, as como de administrar kts
sumos que le son encargados.
26.7. EL DICTAMEN DE PERITOS COMO MEDIO DE PRUEBA
La versin actualmente vigente de la LEC-Ley de Enjuiciamiento C'il de 1881
-Real Decreto de 3 de febrero-, tambin llamada " l e y de Trmites Civiles", establece
en su Artculo 578 (Seccin QUINTA. I)e los medios de prueba), que:
Los medios de prueba de que se podr hacer uso en juicio son:
1. Confesin de juicio
2. Documentos pblicos y solemnes
3. Documentos posados y correspondencia
4. Los libros de los comerciantes que se lleven con las formalidades prevenidas
en la Seccin Segunda. Ttulo II. Libro I
5. Dictamen de Peritos
6. Reconocimiento judicial
7. Testigos."
Debe hacerse notar que el artculo siguiente de la vigente LEC (el 579). no hace
referencia alguna a las 'Pruebas ' , entrando de lleno en la descripcin de la "ConfesSo
Judicial". No ocurre as. en la LEC - Ley 1/2000. de 7 de enero, de Enjuiciamiento
Civil (todava no vigente):
- se dedican dos artculos a los "Medios de Prueba" (Captulo VI. De los medios
de prueba y las presunciones), en el Ttulo I (De las disposiciones comunes a
los procesos declarativos) del Libro II (De los procesos dcctaraihos):
Art. 299. Medios de prueba
Art. 300. Orden de prctica de los medios de prueba
- se modifican tanto las denominaciones de los medios de prueba, como el
orden en que se podr hacer uso de los mismos (Art. 299):
1. Interrogatorio de las partes
2. Documentos pblicos
3. Documentos privados
41ARvMR. CMnbemdi i fmjle <3f 1996. tu deurrotUA.' timo un reglamento <Jciftottajr como un
prortdimietto de wûkVi. para dtsvtvJlv tu iratajo
www.FreeLibros.me
CMTTU.O rtKtrAK YOtSVSAITICTAK 07
1. Dictamen de Peritos
6. Interrogatorio de testigos
- se precisa el orden de prctica de los medios de prucha (Art. 300). "salvo que
el tribunal, de oficio o a instancia de parte, acuerde otro distinto":
1. Interrogatorio de las partes
2. Interrogatorio de los testigos
3. Declaraciones de peritos sobre sus dictmenes o presentacin de stos,
cuando excepcionalmente se hayan de admitir en ese momento
5. Reproduccin*-' ante el tribunal de palabras imgenes y sonidos captado*
mediante instrumentos de filmacin, grabacin y otros semejante*.
26.7.1. Objeto de la prueba pericial"
En todo caso, e independientemente de la versin considerada de LEC. el "objeto
principal de la prueba son kw hechos; ms exactamente, las afirmaciones l'cticas del
proceso41. O. si se prefiere, entendemos po<prueba": "la actividad que desarrollan
las paites con el tribunal para adquirir el convencimiento de la verdad o certeza de un
hecho o afirmacin Tctica o p a n fijarlos como ciertos a los efectos de un proceso.
Esta actividad se realiza tanto en procedimientos civiles como penales, sociales y
contencioso-administrativos: siendo lo regulado para el procedimiento civil la norma
bsica que se aplica a todos los procedimiento*".
Ahora bien, no todos los "hechos" son objeto de prueba pericial. Tal seria el caso
de aquellos que no necesitan ser probados por considerarse notorios, o porque sean
admitidos al no resultar controvertidos, adems de determinadas presunciones.
De modo genrico, puede distinguirse entre "hechos fundamentales" y "hechos
accesorios o indicanos", en funcin de su correspondencia directa - o no- con lo que
se trata de resolver en el proceso en cuestin.
Por otra parte, y aunque lo habitual es que sean la* partes (actora y demandada)
quienes propongan la prueba, bien puede ocurrir que sea el propio Juez o la Sala que
conoce del litigio quien decida la necesidad de una prueba pericial, antes de dictar
El *flte 299 ? de b Ur de neto de 2000. establece <j* -i*nb x dmtirn. cwwmr j lo
dnfvesto en esu Ley, lo medio* de rrpeodoccuSn de plate*. el unido y b imagen. coso k*
imcumenlot que penrrten archivar y cvoocer o reproducir pabhrm. dalo, cifra y operackoe
maleextttc llevad a cabo con fine* ccauble* o e otra el, relevante* pan el proccuo.
" Mufo/ Martnez. Rki I . Itnxiucci* ol mtnlo jmriitco. Ld Fndanla DINTH. hogamw
i r Alta FamactCm en Intmfha iKfotmlxu - Cuno de "Informe*. DcUm u y JVriUfCt en
Tecnoloj-lM de la Infcemacico". Madnd. bnl 19
Mato* Matine/. RtU i.. Op. t.
www.FreeLibros.me
mAUUfTOKlA INFORMATICA- IX KNKXX HtAniCO
sentencia: de ah que se denomine a este tipo de pruchas periciales como 'diligencias
para mejor proveer".
26.7.2. El Dictamen de Peritos en la vigente LEC
La vigente LEC de 1881. dedica a ene asunto los artculo 610 a 632. ambos
inclusive.
Desde una perspectiva conceptual, orientada al mbito tcnico, segn corresponde
al contenido de esta obra, entendemos como significativos pan nuestros Tines los
siguientes aspectos que comentamos:
La prueba pericial procede emplearse cuando se dan dos circunstancias
concretas (Ail. 610):
a) se necesitan, o son convenientes, conocimientos cientficos, artsticos o
prcticos; y.
b) se persigue conocer o apreciar "hechos de influencia en el pleito".
El objeto de la prueba pericial debe proponerse con daridi d y precisin4, por
la pane a quien interese este medio de prueba (An. 61 1).
Los peritos, en nmero de uno o tres (An. 611>. "debern tener ttulo de tales
en la ciencia o .irte a que pertenezca el punto sobre el que han de dar su
dictamen, si su profesin est reglamentada por las leyes o por el Gobierno"
(An. 613).
La admisin de una Solicitud de prueba pericial, y detde luego su objeto
definitivo, slo corresponde al Juez (An. 613), independientemente de la
propuesta de las pones. Lo mismo ocurre con la valoracin del dictamen
emitido por el Perito (An. 632). ya que "los Jueces y los Tribunales apreciarn
la prueba pericial segn las reglas de la sana crtica sin estar obligados a
sujetarse al dictamen de los peritos",
El Juez podr pedir informe a la Academia. Colegio o Corporacin Oficial
que corresponda, cuando el dictamen pericial ex ja operaciones o
conocimientos cientficos especiales (An. 631).
* E por clk> qt>e. en hse a n cipmmtu profesional, esle aulor ha prepuesto en mkipln Ion
que el lettajo ceme team (equipo) con ef perno c'experto' en la matena. con til Mcnico en la muitai:
- XIII Encuentro de "Infoemttca y DfwKV tUniversidad Pontificia Comillas / Imtitmo de
Informilica Jurdica) Madrid. 7 y X abril I W
- Retina Je IfetemAlM pw Juristas de bdilooal AKAV/AIM N* Jl. abol de 1999.
www.FreeLibros.me
26.7.3. El Dictamen de Peritos en la LEC, de enero de 2000
I-a LEC de 7 de enero de 2000. dedica a este uunio los artculos 335 a 352, ambos
inclusive, constitutivo* de la Seccin 5* del Captulo VI del Ttulo I del Libro II de la
Ley. La redaccin del articulado presenta en s misma apreciables diferencia*.
Con respecto al "objeto y finalidad del dictamen de peritos" (Art. 335) la nueva
Ley coincide en lo sustancial con la vigente. Se insiste explcitamente, adems, en que
al emitir el dictamen, todo perito:
a) deber manifestar, bajo juramento o promesa de decir verdad, que ha actuado
y. en su caso, actuar con la mayor objetividad posible:
b) tomar en consideracin tanto lo que pueda favorecer como lo que sea
susceptible de causar perjuicio a cualquiera de las pones; y,
C) conocer las sanciones penales en las que podra incurrir si incumpliere su
deber como perito.
Ambas leyes siguen coincidiendo en lo sustancial, en cuestiones tales como:
Condiciones de los peritos (Art. 340)
Los peritos debern poseer*1el ttulo oficial que corresponde a la materia
objeto del dictamen y a la naturaleza de ste. Asimismo, podr solicitarse
dictamen de Academias e instituciones culturales y cientficas que se ocupen
de las materias correspondientes al objeto de la pericia4.
Valoracin del dictamen pericial (Art. 348)
El tribunal valorar los dictmenes periciales segn las reglas de la sana
crtica.
Ahora bkn, la nueva LEC. introduce en el apartado de dictamen de los peritos
novedades importantes: artculos 336 a 339. As, se especifica en los artculos 336 y
337. que:
**Cunado *etrac de nucerut qae no esla cnsprendidu en titulo profeionil okuk*. los
pititn hbfin de r AOffltvadM entre perweat cmmkIkIi* en ayielltv nulrnx\ CArt J40. />.
* TimSn podra esa ti:dKlaexn obre coc<*K*et (ifedlicu lu penonu jurdica kgilmcnic
habiliudis pjri t!V IAn .1*0.21.
www.FreeLibros.me
Mil MIH!lI.MSnmVM:< M M MOJI i 1H MIMO
1. Los litigante podrn apon ai los dictmenes que dispongan (elaborados por
peritos por ellos designados). y que estimen necesarios o convenientes para U
defensa de sus derechos (Alt. 336).
2. Podrn aportarse dictmenes elaborados por peritos designados por las partes,
con posterioridad a la demanda o contestacin, anunciittdo oportunamente
que lo harn en cuanto dispongan de ellos", para su troludo a la otra paite
(An. 337).
Desde luego, y pese a lo dispuesto en el artculo 337, las pules podrn apodar
aquellos "dictmenes cuya necesidad o utilidad venga suscitada por la contestacin
la demanda o por lo alegado y pretendido en la audiencia previa il juicio" (Art. 338).
Es decir, se contempla tambin la posibilidad de aportacin de drtmenes en funcin
de actuaciones procesales posteriores a la demanda.
Por ltimo, en el articulo 339 se contemplan:
- la solicitud de designacin de peritos por el tribunal ( ; resolucin judicial
sobre dicha solicitud): y.
la designacin de peritos por el tribunal, sin instancia de parte.
Cuestiones retesantes son:
- si cualquiera de lax partes fuese titular del derecho d: asistencia jurdica
gratuita, no tendr que aportar el dictamen pericial con la demanda o la
contestacin, sino simplemente anunciarlo, a lo efectos de que se proceda a ti
designacin judicial de perito (Ad. 339.1):
- la designacin judicial de pento puede ser siempre solicitada en sus
respectivos escritos iniciales, tanto por el dcmandinte como por el
demandado, "si entienden conveniente o necesario pira sus intereses la
emisin de informe pericial (Art. 339.2): y.
- la emisin de un informe pericia) elaborado por perito designado
judicialmente se podr solicitar con posterioridad a a demanda o a la
contestacin, "salvo que se refiera a alegaciones o pretensiones no contenidas
en la demanda (Ad. 339.2).
Lo* dwlitnean te formularan por sonto. acompaAados. <* su caso. dt los dera** devumento*.
innnmetto* o malcrales adornado* fura opeare el pato: del pens ubre lo toe hay a u4 j objeto de la
periMrt 36.2)
** fea lodo caso, antes de uncan la audiencia prest al meto crdmanoo aran de <nu ea I
serbal lAn. U7.ll
www.FreeLibros.me
CAF1T1IIX) Ttt P1RHAK YlXStSAl IXIAJC 611
Asimismo. consideramos significativo k> dispuesto en el Artculo 345. acerca de
1 "operaciones periciales y posible intervencin de las partes en ellas":
- lis pjLflcs y sus defensores podrn presenciar el reconocimiento de lugares,
objetos o personas o la realizacin de operacin anlogas, si con ello no se
impide o estorba la labor del perito y se puede garantizar el acierto o
imparcialidad del dictamen (Art. 345.1): y,
- el perito deber dar aviso directamente a las partes, del da. hora y lugar en
que llevarn a cabo sus operaciones periciales, siempre que el tribunal haya
aceptado la solicitud de aqullas para estar presente (Art. 345.2).
26.7.4. Comentarios finales
La LEC. de 7 de enero de 2000. no entrar en vigor hasta un ao despus de su
publicacin en el Boletn Oficial del Estado"", por lo que pudieran todava introducirse
ciertos cambios, si bien no es ello lo que cabe esperar, concretamente en k> que a
nuestra parcela de inters compete.
Las novedades que lun sido comentadas introducen aportaciones sustanciales con
relacin a la todava vigente LEC de I&8I. Deberamos reflexionar pues sobre ellas,
como un cercano futuriblc. adems de muy posible en cuanto a su aplicacin y
obligatoriedad.
26.8. CONCLUSIONES
Pe rilar no es Auditar, ciertamente, al igual que tienen mbitos de actuacin
profesional separados y bien definidos los consultores y los auditores. Puede en todo
caso contextualiz-arse la Peritacin" como un mbito profesional afn al de la
Coosultoria" y la Auditora, con sus obligadas diferenciaciones en cuanto a
elementos conceptuales comunes, tales como: contenido, condicin o carcter del
contenido, caracterstica temporal, justificacin o base que sustenta el contenido,
objeto o elemento sobre el que se aplica la justificacin, y finalidad o producto
deseado y esperado tras la actuacin profesional propiamente dicha.
Conccptunlmente. son absolutamente equivalentes los "expertos y los "peritos,
si bien nada tienen que ver aqullos con los "especialsus", cuando se valoran
componentes de dedicacin profesional con carcter preferencial. Cuestiones
determinantes son la formacin especfica, el back-ground profesional, la actitud y la
conducta tica en estos mbitos, etc., adems de su entorno y salvoconducto laboral
" Diipcnjcta fiiu viguaao pnoma de la Ley.
www.FreeLibros.me
61 i AlPtTORA INFORMTICA: UN RNFOQtlF. WICTKO
(licencia fiscal. cuota c impuestos ad-hoc. etc.). Importan it . asimismo. la
adquisicin de expertise".
Suelen identificarse. inapropiadamente, trminos pcrfcctanente diferenciados
tales como informe". "dictamen" y "peritacin". No obstante, existen incluso tarifa
oficiales de honorarios recomendados por las Corporaciones d: Derecho IMNico.
distinta para la realizacin de cada uno de ortos tres tipos de trabajos a particulares,
de los ingenieros en el marco del ejercicio libre profesional.
U s peritaciones no son slo judiciales, sino que tambin puteen tener un carcter
extrajudicial. Los arbitrajes, e incluso las mediaciones", cobran Ijci/j cada da ms.
existiendo instituciones pblicas y privadas que se ocupan de favorecer este tipo de
salidas para la resolucin de litigios entre las partes en desacierto. La firma del
"perito profesional" se ubica con determinacin en este nuevo contexto jurfdico-sociaL
Tanto la vigente LEC / Ley de Enjuiciamiento Civil de 1881. como la LEC de 7
de enero de 2000 que entrar en vigor un ao despus de su publicacin en el Boletn
Oficial del Estado, reconocen explcitamente el "dictamen pericul- como uno de los
medios de prueba. Su cotTccto planteamiento y uso. y la macstri en su redaccin y
defensa, pueden ser claves para la resolucin judicial, aun cuando se valore por el
tribunal "segn las reglas de la sana crtica".
Ptfso Navarro. F..; el til.. Manual de Dictmenes y Peritajes Informticos. Ed. Daz de
Santos. Madrid. 1995.
Fundacin DINTEL (diversos autores). Ejercicio Profesional y Autocmpleo. como
Perno, en Multimedia y Comunicaciones. Proyecto Formativo. en colaboracin
con la Comunidad de Madrid y la Unin Europea: Manual del Alumno (Cuno de
208 horas lectivas). Madrid, octubre 1999 (I* Edicin), y febrero 2000 (2*
Edicin).
Fundacin DINTEL (diversos autores). Ejercicio Profesional y Autoempleo. como
Perito, en Informtica, Proyecto Formativo. en colaboracin con la Comunidad
de Madrid y la Unin Europea: Manual del Alumno (Curso de 208 horas
lectivas). Madrid, febrero 2000.
Fundacin DINTEL (diseos autores). Perito en Prevencin de Riesgos Laborales
Informticos. Proyecto Formativo. en colaboracin con la Comunidad de Madrid
y la Unin Europea: Manual del Alumno (Curso de 208 horis lectivas). Madrid,
febrero 2000.
www.FreeLibros.me
CAllTX U) M ttHITAR VfXU'i MMtXR 1 I
Rivcro laguna. J.; et al.: Informes. Dictmenes y Peritaciones: Ed. Fundacin
DINTEL: Serie "Monografas y Publicaciones". Coleccin Peritacioocs IT
Profesionales": Madrid, julio 2000.
Rivera l.aguna, J.: Peritajes en Tecnologas Je la Informacin y Comunicaciones;
XIII Encuentro obre "Informtica y Derecho": 7 y 8 mayo. I W ; Universidad
Pontificia Comillas / Instituto de Informtica Jurdica. Actas del Exuentro.
Rivcro Laguna. J.: "Procesos judiciales, arbitrajes y peritos profesionales, en
Tecnologas de la Informacin": Ed. ARANXADI: Rev. Actualidad Informtica
Alanzada, n* 31 (abnl. 1999). pginas 10 y ss.
Verder-j y Tuells. E.: Algunas consideraciones en romo a l arbitraje comercial; Ed.
Cl VITAS.
Roca Aymar. J. I..: 7 arbitraje t n ta contratacin internacional; Ed. ESIC & ICEX.
Madrid. 1994.
1. Diferencie "consultora" de "auditora" y "peritacin", a partir de la base que
justifica su contenido conceptual y el producto final deseado.
2. Indique el contenido que define el mbito de actuacin profesional de un
perito frente al de un auditor, e incluso al de un consultor.
3. Exprese tres acepciones diferentes para el concepto de "Perito".
4. Enumere diverjas categoras y reas de peritaje forense prvalo.
5. Cite aquellas reas de formacin especfica que debiera troer un perito
profesional", frente a las actuaciones puntuales de un mero tcnico
compctent o "p p N i l i t u " , n I mbito del jtrcicio profesional como la).
6. Distinga entre informe, dictamen y peritacin, en panicuUr indicando la
frmula para calcular el valor de los honorarias que se ajlicira en cada
caso, en una situacin genrica.
7. Indique algunas frmulas concretas para el clculo de honorarios
recomendados de Informes tcnicos", para su aplicacin en el caso de
trabajos de ingenieros a particulares.
www.FreeLibros.me
61 AUDTTtlRtA tNHULMACA: UX ENFOQUE PRACTICO
8. Defina lo dos ipos bsicos de arbitraje entre los que pueden optar las (unes
para dirimir cuestiones litigiosas que les afectan.
9. Diferencie conceptualmente las figuras de "rbitro" y "mediado.
10. Enumere los medios de prueba establecidos en la vigente LEC / Ley de
Enjuiciamiento Civil y las modificaciones introducidas al respecto por b
LEC de enero de 2000. tanto en cuanto a denominacin como en cuanto a
orden de prctica de los mismos.
www.FreeLibros.me
CAPTULO 27
EL CONTRATO DK AUDITORA
li ah f l Da\xira Fernndez de Marcos
27.1. INTRODUCCIN
A pesor de que nuestro anlisis se centra en el contrato de auditora, antes de
comenzar con ello creemos conveniente intentar delimitar en esta introduccin el
concepto de Auditora Informtica. Para ello, empezaremos presentando varias
definiciones doctrnales altamente reconocidas, luego pasaremos a plantear una
ineludible comparativa con la Auditora de Cuentas, esquema comparativo que se
seguir a lo largo del trabajo por ser la ms prxima, aun con sus importantes
diferencias, referencia legal disponible, y terminaremos este apartido introductorio
con algunas notas sobre las funciones y fases de esta auditora d< los sistemas de
informacin.
Una vez concretado en lo posible el mbito de actuacin de la Auditora
Informtica, nos permitiremos una breve aproximacin a la na tun leu jurdica del
contrato analizado, y finalmente pasaremos a estudiar la figura contractual que
constituye el marco legal en que se desarrolla esta actividad y que cj el objeto de este
trabajo. Para lograr este objetivo principal, y dado que en la defincin de la figura
jurdica en que consiste lodo contrato como acuerdo de voluntades, hay que delimitar
en todo caso tres elementos esenciales: consentimiento, objeto y causa (an. 1261
Cdigo Civil), nuestro estudio seguir esta estructura determinad] legalmentc. En
cuanto al consentimiento, centraremos su estudio en el anlisis de las panes
intervinientes como prestadoras de dicho consentimiento, haciendo una especial
www.FreeLibros.me
616 Al'DIKWlA I.NKlRMnCA: UN ESTOQUE PRACTICO
referencia al perfil del auditor informtico, a su responsabilidad y a su pertenencia o
no a la organizacin auditada. Con relacin al objeto del contrato diferenciaremos las
distintas reas susceptibles de ser sometidas a la revisin y juicio de la auditoria.
Finalmente, examinaremos las causas de la contratacin de una auditoria y su posible
obligatoriedad.
La Auditora Informtica "comprende la revisin y la evaluacin independiente y
objetiva, por parte de personas independientes y tericamente competentes del entorno
informtico de una entidad, abarcando todas o algunas de sus reas, los estndares y
procedimientos en vigor, su idoneidad y el cumplimiento de stos, de los objetivos
fijados, los contratos y las normas legales aplicables, el grado de satisfaccin de
usuarios y directivos, los controles existentes y anlisis de los riesgos relacionados con
la informtica"1.
1.a Information Systems Audit and Control Association (ISACA) define a la
Auditora de los Sistemas de Informacin como "cualquier auditora que abarca la
revisin y evaluacin de todos los aspectos (o alguna seccin/rea) de los sistemas
automatizados de procesamiento de informacin, incluyendo procedimiento*
relacionados no automticos, y las intcrrelaciones entre ellos". Sus objetivos deben ser
brindar a la Direccin una seguridad razonable de que los controles se cumplen,
fundamentar los riesgos resultantes donde existan debilidades significativas.
Ya que no tenemos una definicin legal de la Auditoria Informtica,
recurriremos, una vez ms. a la de la Auditora de Cuentas c intentaremos hacer un
paralelismo entre sus elementos.
En Esparta, la normativa en materia de Auditora de Cuentas se circunscribe a: la
Ley 19/1988 de Auditora de Cuentas (LAC). de 12 de julio, el Real Decreto
1636/1990, de 20 de diciembre, por el que se aprueba el Reglamento de la Auditora
de Cuentas que desarrolla la LAC, las Normas Tcnicas de Auditora (NTA). y dems
referencias dispersas en otras disposiciones de diferente rango como pueden ser el
Cdigo de Comercio, la Ley de Sociedades de Responsabilidad Limitada,
el Reglamento del Registro Mercantil, y, las consultas publicadas por el ICAC. En d
mbito comunitario europeo, en la actualidad el marco legal europeo en materia de
auditoria se eme a la Octava Directiva (regula el ejercicio profesional), a la Cuarta
Directiva y a las Normas Tcnicas de Auditora nacionales.
Asf. el Reglamento de la Auditora de Cuentas dispone en su articulo 1:
/. Se entender por auditora de cutntat la actividad, realizada por una persona
cualificada e independiente, consistente en analizar, mediante la utilizacin
de las tcnicas de rexisin y \-erificacin idneas, la informacin econmico-
financiera deducida de los documentas contables examinados, y que tiene
' Rwut GontUct. M A. La aafteoria mformioci". ra molida* Inform tna Armiadr. a*14.
enero dr 1995. p4fieas I y u.
www.FreeLibros.me
CATfTVtjQ iT 11. COVT1IATOIX: AtltHTOttM 6IT
como objeto la emisin Je un informe JirigiJo a poner de manifiesto su
opinin responsable sobre la fiabilidad Je la citada informacin, a f i n de que
se pueda conocer y valorar dicha informacin por terceros.
2. Im actividad de auditora de cuentas tendr necesariamente q*e ser realizada
por un auditor de cuentas, mediante la emisin del correspondiente informe y
con sujecin a los requisitos y formalidades establecidos en 'a Ley 19/1988.
de 12 de julio, en el presente Reglamento y en las nonras tcnicas de
auditoria.
En definitiva, pasando a estructurar comparativamente las delinicvncv
^ I Cualificada - Auditor de cvantt So existe tmikota oScial ni Regn*u
independenle
rwmdm ] Aruluar
*T InfctmKidn ev.om.'mwv-fiajt.iet
-' - ^ I IMuidi de dorumentot coouMet
mforanctfn enlomo Informtticot
deducida revuin y omtrol de kn
* ' Manifestando w pinina
4 4| V*TC u ti ldad de la inf<maci<i
u WfTrrji.tL J I " * <"oa y 'alore poe
Emitir informe
manifestando tu opndn
retpoauMe
*>re la fuNtbd de lainformante
para que ve coootca >valore por
I p
Mfetoa
(omlididn
r>xmat de la profesa*
cdigo de condixia te la proferta |
fin donde existen las principales divergencias entre la dos dcfim.ioncs es. de un
lado. en la inexistencia de una titulacin oficial de la profesin de Auditoria
Informtica y. de otro lado, en la inexistencia de reglamentacin especfica de esta
actividad.
En cuanto al primer aspecto relativo a la titulacin, las ventajas ce una titulacin
oficial son evidentes: se obtiene un consenso en la actuacin, se establece una
metodologa comn, se dispone de normas tcnicas actualizadas por los propios
profesionales, se establecen una serie de criterios de responsabilidad coherentes, se
oU a la profesin de prestigio, y se impone la exigencia de actualizacin'.
: Tountoi Minan. Conferencia di aparva en ti Scirwono de Auditoria de lo Sitiema de
Mccnuoa y Control Imano<AUD1SI?000>. orfttizado pe* Mwmacm Eurcfem Kxpotot. Madrid.
Hmo 3000.
www.FreeLibros.me
61 AUDITORIA INFORMTICA: L*NEfiFOQfE mACTlCO
En chimo a la regulacin y normas existente*, en la actual dad la Organizacin
de Auditora Informtica tOAl). captulo espatol de la ISACA. tiene tanto unas
normas tcnicas como un Cdigo de tica profesional. Entre las {nieras destacan los
Estatutos de Auditora, la Independencia profesional, la Edcacin Profesioail
Continua, la Preparacin del informe... En el segundo, se impon el cumplimiento de
las normas de la Asociacin, servir al beneficio de empleadores, accionistas, clientes y
pblico en general, desempear las labores independiente y obje ivamcMc. obtener y
documentar suficiente material basado en hechos reales, informar a las paites
apropiadas, mantener valores morales en la conducta y el carcter A travs de la OAI
se puede obtener el certificado C1SA. Ccnificd Information Systems Auditor, de la
ISACA.
De acuerdo con la reconocida doctrina que opta por seguir ur concepto amplio de
la Auditora Informtica para evitar que se reduzca a un control de kw aspectos
informticos de los sistemas de informacin, los objetivos de la misma puedes
clasificarse en tres grandes gnipos:
a) Colaboracin con la Auditora de Cuentas.
b) Auditora de los propios sistemas informticos.
c) Colaboracin del jurista en la Auditora jurdica de los entxnos informticos'.
La utilizacin de la auditora informtica en la primera de sas venientes, dentro
de la auditora de cuentas, se debe, principalmente, a la necesidad de ajuste en la
especificacin de los riesgos del negocio. Sin embargo, la auditora informtica es
mucho ms que eso. y se ocupa de distintos y amplios temas como el anlisis
estratgico de los sistemas implantados, su adecuacin al negocio (actual y futuro), d
tiempo de respuesta, la capacidad de la organizacin de responder a cambios e
implantar soluciones a medida, etc. Entre las razones que explican la evolucin de la
auditora informtica destacan la dependencia de la informtica por parte de cualquier
entidad, los riesgos novedosos referentes a la informtica, el cambio en la
concienciacin del empresario, el uso de los datos de carcter personal de forma
automatizada, la seguridad en todas sus facetas-./. Y. en omcreto. dentro del
denominado riesgo de control se ha introducido un nuevo elemento de vital
importancia y al que bien pudiera dele categora de elemento individual: la
tecnologa de la informacin, y que ha dado lugar a la utilizacin de la informtica en
los sistemas contables, que a travs de la tecnologa de la informicin. cada vez ms
sofisticada, ha propiciado sistemas de informacin que incorpcran nuevos riesgos,
peculiares y especficos que dan origen a la consultora y auditora informtica'.
IVI Pino. E. U aadacoela|urd:a de la cosa mfoemlxa". Confmeoa pfuouiKisd en el VI
C<*(rcw Ibceoanxtkano de Dntd e Infocmfcica. plfina* $* y ss.
*1-ane, l>J>J A. 1 j auditora nforanfeka y i evcdacio". en l'artuUPvbl*. n* 9. jKtrntn
1998. cdpnat 76 y u.
Hernndez Cania. A . l a cuantificacidn del l i n p en auditora", en /Vuda toMe. a* S. atril
1998. pdfiiat 7J y s.
www.FreeLibros.me
CA<TVtO:H.CqVTRATOn AUillOKU 19
La utilizacin de sistemas expertos en auditora es. por lo unto, un tema distinto
que consiste en introducir el um> de la herramienta en la funcin de auditora
tradicional. No obstante, a pesar de que no se puede reducir el objeto de la auditora
informtica a la auditora realizada con computador o con herramientas informticas,
comporta ciertas ventajas hoy en da de todo pun* imprescindibles: conserva el
conocimiento experto de los auditores dentro de la empresa, aumenta la capacidad de
los expertos para manejar grandes volmenes de datos y realizar anlisis compiejos,
asesora en la toma de decisiones, permite unu comprensin ms profunda del
conocimiento de los expertos, perfecciona la productividad del personal, aumenta los
vicios ofrecidos por las empresas de auditora, y funciona como herramienta
pedaggica y de formacin del personal para transmitir el conocimiento de los
auditores expertos a los nuevos.
En cuanto a las fases en que se puede descomponer un proceso de decisin en
auditora, una propuesta de esquema podra ser la siguiente'':
1. Orietuacin: el auditor obtiene conocimientos sobre las operaciones del
cliente y su entorno y hace una valoracin preliminar del riesgo y de la
importancia relativa.
2. Evaluacin preliminar de los controles internos.
3. Planificacin lctica de la auditora.
4. Eleccin de un plan para la auditora.
5. Prueba de cumplimiento de los controles.
6. Evaluacin de los controles internos basada en los resultados de las pruebas
de cumplimiento.
7. Revisin del plan de auditora preliminar.
8. Eleccin de un plan revisado para la auditora.
9. Realizacin de pruebas susfantitas.
10. Evaluacin y agregacin de los resultados.
11. Evaluacin de la evidencia. Podra dar lugar a unas pruebas ms exhaustivas
o formar la base de la eleccin de la opinin por el auditor.
12. Eleccin de una opinin que clasifique los estados financieros del cliente.
13. Informe de auditora.
Para terminar con este apartado, una breve referencia a la debatida opcin entre
auditora interna y externa, con relacin a la problemtica de la independencia, el
mejor conocimiento de la organizacin en su conjunto y el necesario y constante
mantenimiento y supervisin en razn del peculiar objeto de la auditora informtica.
La independencia es una caracterstica esencial en la auditora. Constituye un
requisito nuclear sin cuya presencia se vicia todo el recorrido posterior. Por lo tanto,
partiendo de esta premisa, el aseguramiento de la independencia es una exigencia
Sirve he/ TomK Amonio. Siner-a. oprrtot en udilorii. en TV... CentaUr. sotanea 45.1993.
S29ys*.
www.FreeLibros.me
O AUXTOMA INFORMATICA: UN ENHOQUE WCI1CO
obligada, no siendo ste el lugar, en nuestra opinin, para profundizar en
disquisiciones mis o menos improductivas acerca de la mayor independencia a pnon
de la auditoria exlema frente a la interna y viceversa. La independencia tiene que
existir y ser manifiesta y constataWc en el caso concreto.
De todas formas, no conviene olvidar que en el caso especifico de la auditoria de
los sistemas de informacin, donde se presentan las peculiaridades es principalmente
en la especificidad del objeto de la auditora en si. lo que hace que sea imprescindible
un conocimiento intenso de los sistemas de informacin y del (lujo de la informacin
en la empresa en cuestin. Y sta es una de las principales razones que apoyan en esta
materia la constitucin de un departamento de control interno de los sistemas de
informacin de manera institucionalizada en la organizacin en cuestin. Todo ello sm
perjuicio de la recomendable compatibilidad de ambos opciones aunque sea de forma
espordica en funcin de la u n intocable eficiencia en k costes.
En todo caso, se opte por la alternativa que se opte, antes de encargar al exterior
un trabajo de esta naturaleza se ha debido realizar un esfuerzo interno considerable, y
se deben tener censadas las discrepancias, asi como las diferentes alternativas en caso
de litigio*.
27.2. UNA BREVE REFERENCIA A LA NATURALEZA
JURIDICA DEL CONTRATO DE AUDITORIA
Conviene empezar por asentar la casi total aceptacin por pane de la doctrina del
carcter contractual del vinculo que se establece entre la sociedad y el auditor, frente a
las escasas discrepancias que abogan por una tesis "organicista". La calificacin de
contractual se apoya fundamental mente en tres razones. En primer lugar lo establecido
expresamente por el articulo 14.2 de la Ley de Auditora de Cuentas que se refiere al
contrato de auditora". En segundo lugar, la Ley de Sociedades Annimas que
deliberadamente excluye esta materia del capitulo de rganos sociales. Y. finalmente,
porque i calificacin como rgano sera insertar al auditor dentro de la estructura de
la sociedad y considerarlo como parte integrante de la persona jurdica, lo que resulta
contrario al espritu de la ley que lo configura como una "instancia extema e
irsdepct*licnlc de control"*.
Adems de la dificultad aAadida que supone la inexistencia legal de la figura de la
auditora informtica, tampoco en la tradicional comparacin analgica con la
auditoria de cuentas existe unanimidad doctrinal en lo que a su naturaleza jurdica se
refiere.
www.FreeLibros.me
CA>mxOW H COVWtATOni-At lMTOOU 631
Sin pretender realizar un* investigacin exhaustiva de los posibles encuadres
conceptuales de la figura, mencionaremos nicamente la divergencia doctrinal
existente en cuamo a su concepcin como un arrendamiento de servicios, aludiendo a
la profesionatidad de la figura, o como un arrendamiento de obra, aludiendo a la
ineludible necesidad de la materializacin del contrato en el informe de auditora que
constituye el resultado que caracteriza al contrato como un arrendamiento de estas
caractersticas.
Nuestra opinin se decanta por la figura de un contrato de arrendamiento de
servicios, servicios que se desarrollan a lo largo de un periodo temporal determinado,
y que. si bien se concretan en la emisin de un informe de auditora, la libertad del
auditor y la falta de capacidad de decisin del auditado sobre los contenidos de dicho
informe le privan de la caracterizacin del resultado esperado a dicho contrato y le
confieren una naturaleza de prestacin de servicios cuyo resultado no se puede, por lo
menos en gran medida, prever, o. mejor dicho, cuyo resultado, en cuanto a inclusin
de contenidos, no se puede pactar.
listas caractersticas se pueden contrastar en varios lugares. De un lado, si el
resultado del contrato estuviera perfectamente delimitado, no habra lugar a la
aparicin del tan nombrado gap de expectativas. o diferencia de expectativas entre lo
que los usuarios esperan obtener del informe de auditora y lo que se obtiene
realmente. De otro lado, no existiran tan diversas clases de informes de opinin, pane
integrante de todo informe de auditora que resume y concluye el juicio del auditor
sobre las situaciones analizadas y los riesgos evaluado.
La jurisprudencia, entendida en sentido amplio como todo pronunciamiento de
tribunal en el ejercicio de sus competencias y no como la derivada del Tribunal
Supremo que adems cumple los requisitos de repeticin e identidad, por su pane, ha
definido lo siguiente: "... la auditora de cuentas es. por lo Unto, un servicio que se
presta a la empresa revisada..."".
27.3. PARTES EN UN CONTRATO DE AUDITORA. EL PERFIL
DEL AUDITOR INFORMTICO
27.3.1. La entidad auditada
1.a empresa que solicitaba una Auditora Informtica, hasta la actual normativa
que veremos ms adelante, lo haca porque constataba una serie de debilidades y/o
amenazas provenientes de sus sistemas de informacin.
*Sentencia del Tnbunai Superior de iusocu de MaJnd. a* 415.4 de miso Je 19*4.
www.FreeLibros.me
t AlOTTOUlAINKJRMUCA: UN tjMOQtlfc PRACTICO
Por lo unto, U empresa que necesitaba este tipo de servicios lo que estaba
demandando en realidad era una solucin a tus problemas en trminos de eficiencia de
sus sistemas. ms que una verificacin o una revisin del cumplimiento de los
controles establecidos. Ex decir, se pretenda un atesoramiento especializado en U
gestin de dichos sistemas, funcin ms cercana, como sernos, a ia consultora.
Sin embargo, cada vez ms las empresas son conscientes de la relevancia del
sometimiento del elemento si no imprescindible sf completamente esencial, cons
tituido por los sistemas de tratamiento de la informacin, a una serie de revisiones y
controles entre los que destacan el de seguridad, el de calidad o el de la proteccin de
dalos de carcter personal por su preponderancia en virtud de su obligatoriedad legal.
Hoy es indispensable disponer en todo momento y de una forma rptda de
informacin suficiente, actualizada y oportuna. Y esto slo se puede garantizar
manteniendo tos sistemas de tratamiento de dicha informacin en perfecto estado que
slo se certifica mediante la correspondiente realizacin de la pertinente auditoria de
dichos sistemas de informacin.
27.3.2. El auditor informtico
Las nuevas tecnologas de la Informacin y las Comunicaciones estn creando
nuevos canales y herramientas para la gestin de negocios. El auditor tradicional, esto
es. el auditor de cuentas, no se encuentra capacitado en trminos de formacin para
afrontar los nuevos riesgos derivados de la utilizacin de las tecnologas. De ah que se
haga imprescindible la existencia de la Auditora de Sistemas de Informacin'".
Entre las caractersticas del auditor, y como ya hemos scAalado en la comparativa
expuesta al inicio del trabajo, destaca la independencia. Podemos definir la
independencia del auditor como "la ausencia de intereses o influencias que permite al
auditor actuar con libertad respecto a su juicio profesional, para lo cual debe estar libre
de cualquier predisposicin que impida su imparcialidad en la consideracin objetiva
de lo* hechos". Los problemas pueden clasificarse en tres grupos principalmente: la
compatibilidad de la prctica de la auditora con las asesoras legales, el interlocutor
del auditor dentro de la empresa auditada, y la rotacin del auditor
En otro orden de cosas, a pesar de que calificamos de profesional al auditor, hay
que precisar, remitindonos una vez ms a la comparacin con la auditora de cuentas
que la Ley de Auditora de Cuentas, segtln aclara el Tribunal Constitucional
respondiendo a una alegacin referente a la vulneracin por la LAC del articulo
" Mur Botngav Allomo, loi irniri de amdttoeii interna de lueww de tmfarmatMn. Seminario
Auditoria de los Sisieen de tncmuon y Control laeemu (AL'DtSt '2000). organiujo pe* taformineo
Kun?eoi Esperte. Madnd. itbrrro 2000
11Lon Lara. B y Serrino. K . "La auditoria adebale: peseme y foeuro~. c* Ponida laMe. *t.
ano 1996. pdpaat SS y .
www.FreeLibros.me
regulador de la l e y de Colegio Profesional, no regula exactamente una profesin
liberal, sino una actividad que puede ser realizada por profesionales, pero ni los
profesionales han de realizar slo esa actividad, ni sta ha de constituir exclusivamente
el objeto de una profesin .
En cuanto a la sujecin legal del auditor, todas los profesionales que desarrollan
su labor en el campo de la auditoria de cuentas estin sometidos a una serie de normas
que tipifican su capacidad profesional, la conducta para llevar a cabo su cometido y la
forma de emitir el informe. I-os auditores informticos no son una excepcin, aunque
adems deben cumplir una serie de requisitos y directrices que les son inherentes. Las
diferencias no slo afectan a las normas, puesto que su cometido tambin difiere y
consiste en la revisin de la funcin informtica o paite de ella, sus reas de revisin
son asimismo originales (organi/acional del departamento de SI. de seguridad de
accesos lgicos. f(sc<xs y controles medioambientales, de actuaciones frente a
desastres con los (dans de recuperacin, del software de sistema en cuanto a las
polticas sobre su desarrollo, adquisicin y mantenimiento, de software de
aplicaciones y de control de aplicaciones, as como las especificas de
telecomunicaciones, bases de datos y usuarios) y. finalmente, tambin pueden ser
diferentes sus tcnicas utilizadas . En este punto tambin es ms que resaltable la
existencia de unos condicionantes ticos imperantes en el ejercicio de esta profesin
que por su especial autonoma precisan una especial atencin. Pues si es verdad que
existen lodos estos referentes que delimitan profesionalmente la definicin de la
auditora de sistemas de informacin, no es menos cierto que el asentamiento de la
profesin requiere tambin de la creacin y seguimiento de cdigos deontolgicos que
apoyen los mnimos necesarios constituidos por los estndares normativos .
Las Normas Tcnicas de Auditora, siguiendo con el anlisis comparativo del
etquema normativo existente en la Auditoria de Cuentas, son un instrumento
regulador propio de la profesin. Existen normas tcnicas de carcter general, sobre la
cualificadn del auditor, la calidad de su trabajo en el ejercicio de su profesin y
aspectos de tica profesional. Tambin podemos encontrar normas tcnicas sobre la
ejecucin del trabajo que determinan los procedimientos a aplicar por los auditores.
Finalmente, encontramos tambin normas tcnicas sobre elaboracin de informes,
donde r l mutilo informtico debe exponer los objetivos de control no cubiertos
adecuadamente as como las recomendaciones a practicar1. En cuanto a la naturaleza
y eficacia de estas NTA. y de nuevo recurriendo a la inevitable analoga, hay que
entender su carcter puramente normativo como su propia denominacin indica pues
oama__________________________________ CAPfTVLOJ1 t.CONTHATODBAtUtTORlA 6H
" Bctrmn M. de VilUrcil. A, M.. la Ley de Audiiorfi de Coenijn y los rpian
hmdicoonileV*. <n Parthki fie**. *94. novKmtvr I99X. f-lprui 14y n.
11 PovoU Maette. J P. 'AudrtM Je Coenu# y Audmw Infwmica. Anilim Je Ut aorm
Unen", en T/cmea ContMt. Tomo 46. I W . pigiw 481 y iv
" Pie/ MjM. i . "(VcdctugM Jel Auditor Inforatkxo y CA*{0* ikoV. en Amflioni
fcjfcrn.iri.ij i tmfaptt prctko. til KA-MA. NUdisJ. 199. I *cdKin. 151y \\
" Pos<da MaeWe. i P. Amhiora Cmeiuas y Informtica AmSIi.ti Je la, wnui
Mueiu. ep. cU. plfiius 482 y m
www.FreeLibros.me
AtXMIOaU ISTOItSMTKA UN ENPOQfE P1UCT1CO
son meras lincas generales de actuacin, por lo que la alegacin ante los tribunales de
su falla de publicacin en el Boletn Oficial del Estado es una insistencia sin
fundamento, pues csic requisito es cxigiblc nicamente para las leyes, segiln el
articulo 2.2 del Cdigo Civil.
Con relacin a las funciones del auditor informtico, su actividad puede abarcar
desde aspectos funcionales, como la adecuacin de los sistemas de informacin a las
necesidades reales, l u s u la revisin de los tiempos de respuesta, pasando por la
Habilidad de los sistemas. Por supuesto, los aspectos tcnicos son los que ofrecen un
mayor campo de actuacin: desde el comienzo con el computador y sus perifricos,
los convenios utilizados para la codificacin de datos, los procedimientos de captura
de estos, la explotacin, la programacin, las comunicaciones, o. cmo no. toda la
gran rea de la seguridad, ffsica y lgica, y de la calidad1*.
El auditor, en el desarrollo de su trabajo, ha de obtener evidencia de los hechos,
criterios y elementos que est evaluando, con la finalidad de formarse una opinin.
Dicha evidencia deber ser suficiente y adecuada. Suficiente en cuanto a la cantidad
de evidencia a obtener y adecuada con relacin a la calidad de la misma, es decir, a su
carcter concluyente. Pero para obtener la evidencia adecuada el auditor deber
guiarse por los criterios de importancia relativa y riesgo probable. El de la importancia
relativa supone que no todos los hechos, criterios y elementos que forman parte de los
documentos contables son de la misma importancia. Existen algunos cuya importancia
es decisiva dentro del contexto general pora la opinin que el auditor va a emitir. La
importancia relativa, de otro lado, es un trmino de los encuadrablcs en la
denominacin jurdica de concepto jurdico indeterminado, pues la mayora de los
pronunciamientos profesionales dejan en manos del buen juicio y experiencia del
auditor, aunque existen una serie de consideraciones generales que sirven de gua para
fijara, dependiendo de su aplicacin al caso concreto del contexto1.
El auditor de Sistemas de Informacin debe tener la capacidad y los
conocimientos tcnicos para revisar y evaluar el control interno del entorno en que se
desarrollan y procesan los sistemas de informacin, capacidad para revisar riesgos y
controles, evaluar y recomendar los controles necesarios de los sistemas de
informacin, y capacidad para disertar procedimientos y tcnicas de auditora
especificas para este tipo de actividad. El auditor de sistemas de informacin empieza
a ser un generalista. porque tiene que ser consciente de que los sistemas de
informacin son un punto clave en una organizacin".
Akmto Riwv G . A*dttarM laformnca. Ediciones Dlu de Sanios. S. A.. Madnd. I9KK. ptfgirm
tyu.
Almeta Uiez. B . "La importancia rean** en auduota". en Partida IXMt. n*7J. diciembre 19%.
" ToiriAo. Mirm. Contornen Je afertura en el Sentan Astuta de kn Sntemai de
Incemac: ) Controi Interno (AUDISI'2000). orgaMudo por latonniCKO* Europeo* Esperto*. Madnd.
MmoSOOO
www.FreeLibros.me
CAPTULO 21 II. CONTRATO Df- AlDTTORlA <05
Otra cuestin (rauda en la doctrina es la del desistimiewo del audtor. Entre las
cautas que pueden considerarse suficientes destacan la impoubilidid fsica de
cumplimiento del contrato, la necesidad de atender a otro* deberes, las causas de
incompatibilidad, la perturbacin de las relaciones de confianza entre el auditor y los
administradores de la sociedad auditada o los incumplimientos de les deberes de
cooperacin por parte de la sociedad. En cada uno de los casos habr qu: dilucidar su
procedencia o improcedencia a efectos de delimitar, entre otra, cosas, las
comecuencias jurdicas de dicha terminacin unilateral del contrato1''.
lu responsabilidad del auditor es otro tema polmico en la tkc trina. en la
Resolucin del ICAC de 18 de junio de 1999 se somete a informacin plka. por seis
meses, U Norma Tcnica de Auditora sobre errores e irregularidades" cuyo objeto es
establecer los procedimientos que el auditor tiene que aplicar cuando detecta, y en su
caso informa, errores e irregularidades que pudieran existir en los estados financieros
objeto de su auditora as como delimitar su responsabilidad. La norma dstingue entre
irregularidades, como actos u omisiones intencionados o negligentes cometidos por el
personal de la empresa o por terceros que alteren la informacin cotxenida en lo*
estados contables, y errores, como actos u omisiones no intencionados jue asimismo
alteren dicha informacin. Cuando se derivase la posible existencia de errores c
irregularidades, el auditor debe evaluar sus efectos potenciales en las cu:nUs anuales,
y comunicar a la direccin, tan pronto como sea posible, su existencia. La norma
propone que informe del asunto a un nivel superior al de las personas presuntamente
implicadas y. cuando los ltimos responsables de la gerencia estn tambin
implicados, el auditor deber obtener el adecuado asesoramiento legal.
En 1999 se ha creado una subcomisin que ha iniciado el estudio de la
modificacin de la Ley de Auditora de Cuentas. Entre las demandas ck los auditores
destaca la necesidad de delimitar la responsabilidad del auditor. Los auditores opinan
que el carcter ilimitado y solidario de su responsabilidad es excesivo, y as lo
confirma el borrador de la Ley de Sociedades Profesionales que introduce esta
reivindicacin y exime de responsabilidad a aquellos socios de la firma de auditora
que no hayan firmado el informe. En la actualidad, a tenor de lo depuesto en el
artculo 11.2 de la LAC, un demandante puede actuar solidariamente cortra cualquiera
de los socio auditor* do una firma* .
Para terminar, queremos hacer referencia a una figura que est i gamndo una gran
aceptacin en la doctrina, en las organizaciones especializadas y. en definitiva, en la
profesin: los Comits de Auditora. El objetivo del comit es contribeir a la mejora
" lglru brida. J L . "La renooda al carjo del *u&x de cocal: nmmiaKm JaoiAcMivas y
cnuecuencw jurid* de la renuncia", en Keviua Crinen de t>rreeho IxmMuxrto. n* 622. aa>juo
I9M. nipitu 1501 yo .
Almcla Kc/, B. *Novtd*]esen Audrtcriaen PartidaDMe.n*107.enero20 pigma 76y.
www.FreeLibros.me
a: Ai'prTtmlA iNKmMncA un enfoque wtAcnco
de la gestin corporativa y garantizar la asuncin de responsabilidades oportunas sobre
el control interno11.
Segn se desprende de los informes de renombrados comits o comisione* de
expertos en relacin con estudios llevados a cabo sobre esta materia, tos Comits de
Auditoria constituyen una pieza clave en el cumplimiento de las responsabilidades de
vigilancia que tos Consejos de Administracin tienen sobre la informacin financien
que las sociedades facilitan a sus accionistas y a terceros, sobre los controles internos
que tienen establecidos y sobre tos procesos de auditoras, tanto internas como
externas. Un Comit compuesto exclusivamente de miembros independientes y sin
responsabilidad ejecutiva alguna, redundara necesariamente en una mejor supervisin
de las actividades de la sociedad, lo que se traducira en una mejor defensa de los
intereses de los accionistas., presentes y futuras, as como de terceros interesados en la
buena marcha de la sociedad. I-os Comits de Auditora de los Consejos de
Administracin son exigidos por la Bolsa de Nueva York como requisito pora admitir
una sociedad a cotizacin y para que puedan seguir operando las sociedades ya
admitidas. Del mismo modo, t a i Comits de Auditora han sido recomendados por el
Informe Cadbury".
27.3.3. Terceras personas
La informacin financiera ha ampliado su campo de comunicacin en el sentido
de que ya no interesa slo a los accionistas o propietarios de la empresa, sino tambin,
en la medida en que ha atendido a las implicaciones de la responsabilidad social, ha
ampliado la audiencia a la que va dirigida dicha informacin. As pues, el actual
concepto de usuario ya no se refiere slo a propietario, sino que se extiende a todos los
interesados en la actividad empresarial, entre los que se encuentra la colectividad en
general1'.
As se se fula en la Sentencia del Tribunal Superior de Justicia de Madrid n* 41$
de 4 de mayo de 1994 ya citada: la auditora de cuentas es un servicio que se presta a
la empresa revisada y que afecta e interesa no slo a la propia empresa, sino tambin
a terceros que mantengan relaciones con la misma, habida cuenta que todos ellos,
empresa y terceros, pueden conocer la calidad de la informacin econmico-contable
sobre la cual versa la opinin emitida por el auditor de cuentas".
En la declaracin "A Staiement of Basic Accounting Theory en 1966 de la
American Accounting Asxociation. en que por primera vez se hace una referencia
Rtmrtt, J . La cotamSn t auditoria", ca livrttim y Profrrio. n* IS9.199. pgina 115 y as
111pti Ccartbarro. J L . TropoevUn para utu mo*fkactfa de la Ley de Auditoria t Cuerna".
t SWiida ftakU. n* 71. octutee I *.. p*uia 42 y u
Lan Lata. L. "Una aueva Ley de Auditoria, de iodo y para K4'\ ca Ponida DoNt. * 9*.
noviembre 1998. p(inat44 y u
www.FreeLibros.me
CACHILO 27 H.CXXSTHATOPt. AUlMTORlA
expresa a la funcin social de la contabilidad, se establecen los objetivos de la
informacin contable, uno de los cuales es facilitar las funciones y controles sociales,
y asi comienza la contabilidad a ser considerada como un medio a travs, del cual la
sociedad puede ejercer su funcin de control sobre las unidades econmicas. Si se
aade a esta funcin social el carcter de bien pblico de la informacin contable
emitida por un auditor independiente, entonces aparece la asuncin de una
responsabilidad social por parte del auditor como garante de la fiabilidad de dicha
informacin'4.
La diferencia de expectativas alude al desacuerdo entre k> que esperan los
usuarios de la auditora y lo que ofrecen los auditores, teniendo en cuenta, adems, que
el tipo de auditora que necesita la sociedad depende, en cada momento, del tiempo y
del entorno concreto. En la literatura anglosajona se ha denominado diferencias en Las
expectativas de la auditoria" (awiit expectations gap}. o lo que es lo mismo, las
diferencias existentes entre lo que los usuarios esperan de la auditora y lo que los
auditores consideran que es su trabajo'-'.
Aunque el fenmeno del gap de expectativas tiene un alcance mundial, es en
Europa donde ha alcanzado su mayor virulencia. Como prueba de la inquietud
despenada, la Comisin de las Comunidades Europeas promovi un estudio sobre la
funcin, posicin y responsabilidad civil del auditor legal, que fue llevado a cabo por
el Maastrkht Accounting and Auditing Research Cerner (MARO, para conocer cmo
era tratada la auditora legal en la legislacin de los estados miembros, publicado en
1996. La Federacin de Expertos Contables Europeos por su parte public en enero de
1996 un resumen de recomendaciones desarrolladas por ella como resultado de la
investigacin llevada a cabo acerca tambin de la funcin, posicin y responsabilidad
civil del auditor legal en la Unin Europea. Posteriormente, en octubre de 1996. la
Comisin de las Comunidades Europeas public su libro verde sobre los mismos
aspectos que los tratados en el informe MARC y en el estudio de la FEE. y organiz
una conferencia en Bruselas en diciembre de 1996 para debatir sobre los mismos.
Adems, en 1992 se haba publicado el informe Cadbury sobre los aspectos
financieros del gobierno de las sociedades en el Reino Unido, y las ocho mayores
firmas internacionales de auditora crearon en 1993 el "Grupo Europeo de Contacto"
para considerar de qu forma la profesin contable en Europa poda responder al
txprctation gap. asumiendo que la profesin debera cambiar en cuanto a sus actuales
enfoques y alcances si se pretendan reducir las diferencias en las expectativas' .
Para terminar este apartado, quisiramos sealar que sta no es una tendencia
exclusiva de esta actividad. En la literatura empresarial mis reciente se ha acuado el
' ' Piada l-urcn/o, I. M . l a inpmiihh li J en lakaii", en Tftnnt nmtiMr. tomo 4ft. 19*4.
pginas 225 )
11 Careta Bromi. M A. y Vivo Manine/. A. \ ( f u t e<ra la tocicdad de taaaSiixi*". re
T/fnu n ronfoMe, rT eitrauciurw. IWS. pignat 17 y xx
* Lpe* Cccaham. J. 1-. "ftefleoac* obre algu pumo relacionados ce la auditor". e
tam*! DoNf. S5. enero 1998. pgina 24 y **.
www.FreeLibros.me
trmino le stakehoidtn. o interesados, ms concretamente apostantes. Se apunta con
cta denominacin, que recuerda sin duda a Ion tradicionales primero interesados o
accionistas (thareholdtrs o stockholdtrs). que existe un modelo de "base ampliada"
en el que es necesario que toda organizacin vea a los nuevos miembros, que en la
literatura gerencia! norteamericana se asimila a todo los ciudadano porque se
considera que el negocio de su pas es la empresa. Al menos es posible identificar
cinco grupos de "interesados" o depositarios de dichas apuestas": los accionistas, los
empleados, los dientes, las comunidades locales y la sociedad en general. Podramos
incluso detallar an ms e incluir a los mediadores y distribuidores, a los proveedores,
a los competidores a las instituciones financieras o los medios de comunicacin .
bit AlPfTORlAIXHMUHTICA t'NHSOQt)KPRCTKTI cau
27.4. OBJETO DEL CONTRATO DE AUDITORIA
INFORMTICA
Entendemos por objeto del contrato le auditora, tras la explicacin previa sobre
la naturaleza jurdica del mismo, la definicin y clasificacin que hemos presentado
como tales en la introduccin le capitulo, y no la pura y simple emisin del informe
de auditora que constituye en esencia la fase final de dicho contrato y no el resultado
del encargo que lo caracterizara, de ser asi. como dijimos, como contrato de arren
damiento de obra.
A pesar le su inexistencia en la regulacin nacional actual, sobre todo en
comparacin a la existente en la auditora de cuentas, el objeto de un contrato de
auditora informtica est ampliamente disersificado y se encuentra en un perodo de
auge inusitado que requiere de esfuerzos dogmticos importantes para su
estructuracin.
Esta inexistencia legal, pues las referencias normativas que se quieren encontrar,
si bien conceptualmentc encuentran su calificativo idneo en el trmino informtico,
especifican en todo momento la realizacin de una auditora, a secas, sin calificativos,
choca de una manera frontal con la espectacular amplitud de reas de conocimiento y
de gestin empresarial que cada vez ms se ve abocada a controlar y con la acuciante
demanda de profesionales en el mercado. Todo esto, obviamente, pasando por alto las
voces discrepantes de algunos profesionales de la auditora de cuentas que reclaman la
denominacin Se auditora en exclusiva relegando a las dems especialidades a
adoptar la expresin le revisin o similares ^
Entre las mencionadas "cuasi-referencias legales" se encuentran el artculo 28 e)
del Estatuto de la Agencia de Proteccin de Datos (Real Decreto 428/1993. de 26 de
marzo), la Norma Cuarta de la Instruccin 1/1995 de la Agencia de Proteccin de
' ' fmXniei Itntiixkz. I. L . fjMa pura rmpmarioi y wiiin. Ed. F-SIC. 2*rdacxVn. Madrid.
199b. pgina* 179 y a
' Lara Lara. L, *U*i mcvj lc> de Au*vU. de balm y fon todo", oj. cu.. plgin* 46.
www.FreeLibros.me
o*w_________________________________ CAftnnxn? a.cofciKATOD:Ai'puoU fc
Dato*. relativa a prestacin de servidos sobre solvencia patrimonial y crdito, y el
artculo I? del Real Decreto 994/1999. de II de junio, por el que se aprueba el
Reglamento de medidas de seguridad de los archivos automatizados que contengan
datos de carcter personal.
Aunque nos encontramos en un rea que por sus propias caractersticas impide el
listado de un numerus elamiti de actividades susceptible*, de ser sometidas a este tipo
de auditora, que. consecuentemente, en nuestra opinin, dan lugar a otros tantos
subtipos de contratos especficos de auditora de entornos informticos, pasaremos a
realizar una enumeracin de las principales reas en las que se desarrolla la
"inexistente" auditora informtica actualmente.
En concreto, podemos distinguir los siguientes mbitos principales en la
realizacin de una auditora informtica de la que hemos catalogado como
perteneciente a la auditoria jurdica de los entornos informticos''*:
1. Proteccin de datos de carcter personal
2. Proteccin jurdica del software
3. Proteccin jurdica de las bases de datos
4. Contratacin electrnica
5. Contratacin informtica
6. Transferencia electrnica de fondos
7. Delitos informticos
Todas estas reas deben ser objeto de un anlisis de la entrada, tratamiento y
salida de la informacin en los sistemas de informacin de la empresa desde un punto
de vista jurdico. Pasaremos a realizar unas breves observaciones al respecto
remitindonos al captulo en concreto de este libro en donde ya se trataban en la
primera edicin extensa y precisamente cada una de ellas'".
27.4.1. Proteccin de datos de carcter personal31
Es quiz ste el aspecto que ms importancia tiene en relacin con la materia
tratada, la Auditora informtica, pues ha tenido que esperarse hasta la plasmacin por
escrito y todo el posterior desarrollo legal del derecho fundamental prescrito, entre
otros por el artculo 18.4 de nuestra Constitucin para contar con una referencia legal,
como hemos dicho cuasi-explcita, de la existencia de la auditora de los sistemas de
informacin.
*Davara Rudrijut i . M . Mamni Jt t t m *.> hormlico. Ed. Anaudi. PauTffcna. 1997. >96
Dii Pino. K. Auditora In/onxJtKa i tn<nw pfitfieo. op cu. pipita* 119 y u
" Datara Kotlrifccz. M . Lprotrttifa Jt Jaiot en tmropa. Ed. Cnipo Asncf Equtfu. MftJrid.
www.FreeLibros.me
La actual Ley Orgnica 15/1999. de 13 de diciembre, de Proteccin de datos de
carcter personal (LOPD) que supone la reforma de la anterior Ley Orgnica 5/1992.
de 29 de octubre, de regulacin del tratamiento automatizado de dato de carcter
personal (LORTAD) sigue obligando en su artculo 9 a la adopcin de medidas de
seguridad para los archivo*, ya no slo automatizados, que contengan dichos datos de
carcter personal. F.l tambin artculo 9 de la LORTAD remita a desarrollo
reglamentario para su concrecin.
Pues bien, dicho desarrollo reglamentario se plasm en la prctica en el Real
Decreto 994/1999. de 11 de junio, por el que se aprobaba el Reglamento de Medidas
de Seguridad para los archivos que contuvieran datos de carcter personal. La nueva
LOPD mantiene vigente este Reglamento, tal y como prescribe en su Disposicin
Transitoria Tercera,
FJ Reglamento, aplicable por lo tanto, clasifica en tres los niveles de seguridad
(bsico, medio y alto) a los que hay que someter a los archivos dependiendo del grado
de sensibilidad de los datos de carcter personal almacenados. En concreto, e exige
una auditora al menos bianual pora todos los niveles excepto para el bsico. Entre
todos las medidas cuyo cumplimiento se exige que se controle, destaca el
procedimiento de respuesta y registro de las incidencias, el control de accesos, la
constitucin de un responsable de seguridad...'2 De esta auditora, que puede ser tanto
interna como externa, se obtendr necesariamente un informe del cual el responsable
de seguridad elevar las conclusiones al responsable del archivo, encontrndose a
disposicin de la Agencia de Proteccin de Datos en todo caso.
Si bien es cierto que esta auditora no lleva calificativo legal alguno, no es menos
cierto que encuentra en la Auditora de Sistemas de Informacin su acomodo perfecto,
en la conjuncin de la auditora de seguridad de los sistemas que tratan los datos y la
calificacin jurdica de los datos involucrados.
27.4.2. La proteccin jurdica del software53
La calificacin jurdica del software ha sido objeto de discusin doctrinal, porque
integra distintos elementos que pueden encuadrarse bajo diferentes rdenes de
proteccin jurdica, unos imparables hajo la legislacin de la propiedad industrial y
otros bajo la de la propiedad intelectual. La inclusin bajo esta ltima, y en concreto
bajo la figura de los derechos de autor, hace que asimilemos los programas de
computador a las obras literarias, cientficas o artsticas.
Como bienes objetos de esta proteccin, la auditora a la que se tienen que
someter debe verificar el cumplimiento de la misma, y. por lo tanto, investigar la
(M AMXTOUlA INFORMTICA UN EOOQUEFRCTICO___________________________
0(1 Fracs F.. y Ramos. M. A.. LORTAD KrgtantMO Je Secundad. Edtfione IX/ de Santos.
SA. Madnd. 1999. (Apa* 163 y s
11Datara Rotfgocz. M. A . Uanital * Dtrt<ho tnfonmitko. op. d i . plfinxs 103 y si
www.FreeLibros.me
CAHnXOt7: EL CWlKATOOe AUDITORIA 631
legalidad del software utilizado en dichos sistemas. evaluando el riesgo que se corre
por permitir la ilegalidad, el "pirateo**, y cuantificando monetariamente hablando el
diferencial existente entre dicho riesgo y el coste de implantacin y control de todos y
cada uno de los programas utilizados en la entidad.
Los auditores informticos tienen que eliminar los riesgos en esta rea
proporcionando de este modo un valor aadido a una buena gestin informtica,
siguiendo los criterios expuestos, entre otros, por la ISACA en su concepto de Valu
for Auditing Money para una mejor gestin y control de las licencias de software. En
particular, se pueden concretar los riesgos que conlleva la realizacin de copias no
autorizadas de software original como son las sanciones y multas, los problemas
tcnicos, la inexistencia de asistencia tcnica, la obsolescencia tecnolgica, el impacto
negativo en la calidad del software, el deterioro de la imagen empresarial y los ataques
intencionales14.
27.4.3. La proteccin jurdica de las bases de datos35
Una base de datos es un depsito comn de documentacin, til, para diferentes
usuarios y distintas aplicaciones, que permite la recuperacin de la informacin
adecuada, para la resolucin de un problema planteado en una consulta. Es decir,
contiene datos, pero proporciona informacin. De nuevo nos encontramos con la
figura jurdica de los derechos de autor como la adecuada para su posicionamicnto.
por la carga de creatividad que conlleva. Iero. adems, surge la denominada
proteccin mediante un derecl ir grntri s de las bases de datos, pues se pretende
garantizar la proteccin de la inversin en la obtencin, verificacin o presentacin del
contenido de una base de datos, evitando que una copta de los contenidos de una base
de datos determinada sometidos a unos criterios distintos de almacenamiento,
indizacin, referencias y mtodos de recuperacin constituya una nueva base de datos
que quede asimismo amparada bajo la figura de los derechos de autor.
Se establecen asimismo como requisitos necesarios para que la base de datos sea
susceptible de dichas proteccin la existencia de un autor o autores identificares y
relacionados con la obra realizada y el trabajo original que ha dado lugar a dicha base
de datos.
En el planteamiento de los bienes y derechos objeto de proteccin, habr que
atender, de un lado, los derechos de los titulares de los documentos almacenados, de
otro lado, los derechos de los productores de la base, pocs su creacin tiene tambin
una carga de intelectualidad, y. por ltimo, el derecho del titular de la base a impedir
la extraccin o rcutilizacin total o parcial.
M( M i dt Auduort* dt Sofaturr Original, RuncM Sotove Altante. Mjtlnd. 2000. pfn 2 y
Dara Rodrigue/. M. . Uauif dt Otrrtho Informtico, op. <it pigiiu IJJ y s.
www.FreeLibros.me
Pues bien, la auditora en este cato tendr del mismo modo que atender a los tres
casos expuestos, analizando el cumplimiento para todos ello* de los controles
establecidos, evitando por lo tanto copias o extracciones no autorizadas, y verificando
la gestin y actualizacin por las personas competentes y autorizadas para ello.
IU auditor debe en primer lugar analizar la metodologa de distilo para determinar
su aceptabilidad y luego comprobar su correcta utilizacin, drspos tendr que
examinar si los disertos se han realizado correctamente, una vez pursto en explotacin
deber comprobar los procedimiento* de explotacin y mantenimiento, y finalmente
deber establecer un plan para despus de la implantacin. Dd mismo modo, la
formacin del personal a lo largo de la vida del producto consituye un elemento
permanente e indispensable*.
t ! AUMTCTtU INFORMATICA: UN ENKXX'B P*ACUCO___________________________ c*w>
27.4.4. Contratacin electrnica37
Entendemos por contratacin electrnica toda aquella que s: realiza por algn
medio electrnico. Con la generalizacin del uso de Internet el ajge de este tipo de
contratacin empieza a ser consultable. Pero no slo esta red mundial acapara el
perfeccionamiento de contratos electrnico*, aunque es cieno que ha sido su
implantacin la que ha relegado al anterior sistema EDI (Electron; Data Intcrthange)
utilizado principalmente para transacciones intracmpresariales ".
Hoy en da. en el comercio electrnico concretamente, y entendido en su mis
amplio sentido como cualquier forma de transaccin o intercambio de informacin
comercial basada en la transmisin de datos sobre redes de comunicacin romo
Internet, se habla de la segmentacin en la utilizacin de estos medios electrnicos en
tres sentidos: en la direccin empresa-consumidor final (busiiKss to consummer.
B2C). en la direccin empresa-empresa (business to business B2B). y finalmente, en
la direccin empresa-administraciones pblicas (business to adrainiurations. B2A).
Adems podramos separar al consumidor final o usuario como artfice activo de dicha
contratacin y aftadir la contratacin entre consumidores (consuntner to consummer.
C2C) y la gestin de las relaciones administrativas de los administrados
electrnicamente.
Podramos tambin diferenciar entre comercio electrnico directo como aquel que
consiste en la obtencin del bien o servicio ntegramente por el medio electrnico, por
Punini Velthuiv M. Auditoril <Je Lu de Dolo y de lo Almacene* de tXilot"
<datiwarcbc*cI, oxiferetKia proouiKiada en Semitono Auditoria de los Siurmn de lncemi y
Coecrol tatemo (AUDISI 2000). orfanindo por Intormkxoi tur opeo lUpcrio Madrid, Febrero 2000
" Datara RnM[ur>. M. A.. La pnxeeetfi Je loi intereses Jet romurajor Me fui mn-ioi uuenut
Je owrrw riri ukko. fcd Cco/ederacV F.sjuAoU de Orgim/Kiooei de Anu de Caa.
Convocadores y Ikuirnn (CEACCU). Madrid, 2000. plgmas }? y
Del Pcvx F.. "Audiloril jurdtci de k nbxtk infcemltko- . en /(femirlii v Dereeho. n 19-
22.199X. pfiru 614 y u.
www.FreeLibros.me
c t w __________________________________CAPTULO 27: EL CONTRATO DE AUWTORlA ft
ejemplo, la compra de un libro en formato electrnico, o el comercio electrnico
indirecto en el que alguna de las actividades que perfeccionan la adquisicin del bien o
ver'icio no .se realiza por medios electrnico*, ya sea el transpone, el pago o cualquier
otra.
En la contratacin electrnica hay que atender a tres aspectos fundamentales: en
primer lugar a la inmediatez, de las relaciones, cuestin que se solventar en caso de
relacin mercantil por el momento de emisin de la aceptacin y en caso de otro tipo
de relacin por el momento en que llega a conocimiento del oferente, en segundo lugar
a la calidad del dilogo, y excluyendo el telfono o la videoconferencia habr que
asemejar la aceptacin a la hecha por correspondencia escrita en soporte papel, y. en
tercer lugar, desde el punto de vista de la seguridad. Pasamos a dedicar un especial
prrafo a este aspecto.
En lo que a seguridad se refiere, en las transmisiones electrnicas de datos se
busca garantizar la autenticidad, la integridad y el no repudio (en origen y en destino)
de las mismas. Actualmente existe un mecanismo que puede garantizar estos
extremos: la firma digital. Espaa ha sido una vez ms pionera en estos temas
regulatorios de los aspectos jurdicos de la denominada sociedad de la informacin. En
efecto, antes de que .se apruebe la Directiva europea sobre firma electrnica, se aprob
el Real Decreto-cy 14/1999. de 17 de septiembre, sobre firma electrnica, y la Orden
de 21 de febrero de 2000 aprob en su Anexo el Reglamento de acreditacin de
prestadores de servicios de certificacin y de certificacin de determinados productos
de firma electrnica. Aunque no es objeto de este trabajo su anlisis exhaustivo no
queremos dejar de mencionar las caractersticas ms importantes de esta novedosa
normativa. El Real Decreto ley 14/1999 distingue entre dos clases de firma
electrnica, la simple y la avanzada o digital. La firma digital tiene que cumplir una
serie de requisitos, entre otros el ser emitida por un prestador de servicios acreditado y
su eficacia jurdica es idntica a la de la firma manuscrita. El prestador de servicios, en
terminologa comunitaria ahora adoptada por la legislacin nacional que ha preferido
no utilizar la calificacin de autoridad de certificacin y despojarle as de ninguna
pretendida competencia pblica, se constituye en una tercera porte de confianza,
crendose el "fedatario electrnico, que puede identificar y autenticar a' las panes
intervinientes. por medio de tcnicas de cifrado de claves con las arquitecturas de
clave pblica o Public Key Infraestructura (PKI) que se basan en la utilizacin de
algoritmos de clave asimtrica de entre los cuales destaca el R-S.A, garantizar la
integridad de los mensajes transmitidos, y asegurar el no repudio de las
comunicaciones, en origen, que quien hizo la oferta lo niegue, y en destino, que quien
la acept lo haga. Adems se puede a/ladir la funcin de sellado temporal en la que se
cenifique focha y hora del perfeccionamiento de dicho acuerdo. No obstante, estas
funciones nicamente las puede garantizar un prestador de servicios acreditado, pues
si bien la constitucin de estos prestadores se realiza en un rgimen de libre
competencia sin que la falta de acreditacin puesta conllevar la inexistencia de tal
prestador, slo los acreditados podrn expedir certificados reconocidos que lleven
aparejada dicha firma digital que tiene plenos efectos jurdicos.
www.FreeLibros.me
Desde el pumo de vista de Ion controles a los que se puede someter este tipo de
contratacin se requiere un axesoramiento tcnico para que la redaccin jurdica se
adece a la ingente potencialidad de la herramienta utilizada que hace que la mera
traslacin de las categoras conceptuales tradicionales al medio virtual no sea posible
sin el previo sometimiento a unas especificaciones y aclaracin de todo punto
imprescindibles en virtud del modo de perfeccionarse euos contraros que. sin ser un
elemento esencial como hemos mencionado para los restantes tipos contractuales, se
hace necesario por las consecuencias jurdicas que se pueden derivar de su inobser
vancia.
Es decir, la aparicin de estas nuevas formas de contratacin, traspasa las
fronteras de la mera forma para constituirse en elementos definitorios de cuestiones
tan relevantes en la prctica contractual como la delimitacin y en s i caso exoneracin
de responsabilidades, la prestacin de garantas o la divisin de obligaciones entre las
partes que no pueden sin mis asemejarse a las categoras convenc ocales, entre otras
cosa* por la globalizacin y por tanto interseccin de legislaciones nacionales. Ni
siquiera los trminos tradicional mente constituidos en usos del conercio. que segn
nuestra legislacin mercantil tienen carcter de fuente de Derecho son absolutamente
trasladables a este entorno, y ejemplo claro de ello es el intento de definicin de unos
"c-temis", en una clara regulacin paralela a los utilizados y reconccidos incoterms en
el trfico mercantil internacional.
W AlDTTOtlA IMOftMTlCA; l'S EMOQtai MtCTICO____________________________OU4B
27.4.5. La contratacin informtica*9
Definindola como la contratacin de bienes o servicios informticos. Bienes
informticos son todos aquellos elementos que forman el sistema en cuanto al
hardware, ya sea la unidad central de proceso o su perifricos, s como todos los
equipos que tienen una relacin directa de uso con respecto a ellos y que. en conjunto,
conforman el soporte fsico del elemento informtico. Asimismo, se consideran bienes
informticos los bienes inmateriales que proporcionan las rdenes, datos, procedi
mientos e-instrucciones en el tratamiento automtico de la informacin y que, en su
conjunto, conforman el soporte lgico del elemento informtico. Los servicios
informticos son todos aquellos que sirven de apoyo y complemento a la actividad
informtica en una relacin de afinidad directa con ella.
Podemos dividir en dos grandes grupos diferenciados: res pee al objeto, debido
a las caractersticas especiales de los distintos objetos sobre los que pueden versar
extos contratos, y respecto al negocio jurdico, debido a que los cottratos informticos
ms comnmente realizados se han llevado a cabo bajo ina figura jurdica
determinada (compraventa, arrendamiento financiero, mantenimiento, prstamo...) en
* Diva* Rodrigue?. M . <t Oernho InformJnto. op t i ! . pljira 191y t.
www.FreeLibros.me
CAPlTl'I.O 21:FJ. CONTRATO PE ACPT<)lA
U que han encontrado acomodo pero que en casi lodos los casos ha sido necesario
adecuar.
U contratacin <le bienes y la prestacin de servicios informticos no tiene una
calificacin uniforme para situarla en un modelo o tipo de contrato. Los contratos
informticos estn formados por elementos tan dispares que exigen la mezcla o unin
de dos o ms tipos de contratos. Asimismo, el desconocimiento por el usuario, en
trminos generales, de las posibilidades y lmites de la informtica, hace que no todo
en el contrato pueda estar basado en el principio de autonoma de la voluntad de las
panes. En muchas ocasiones son contratos de adhesin, en los que una de las pones
fija las clusulas del contrato y la otra se adhiere a las mismas, sin tener posibilidad de
modificar ninguna de ellas.
I-a contratacin informtica resulta extremadamente complicada en la redaccin
de los contratos y en la fijacin de los derechos y obligaciones de las panes. A ello
hay que aadir la inexistencia de una normativa adecuada a los mismos y la dificultad
en la fijacin del bjeio cuando son contratos complejos. Se deben redactar teniendo
en cuenca un equilibrio de prestaciones y evitar en lo posible la existencia de clusulas
oscuras. Y es aqu, de nuevo, donde la figura del auditor informtico cobra toda su
importancia asesorando c implantando en dicho acuerdo los requisitos tcnicos y los
trminos especficos que delimitan y concretan los aspectos imprescindibles cuyo
cumplimiento debe ser objeto de los controles a los que se someta este tipo de
contratacin cuyas particularidades requieren un ascsoramicnto especializado y
experto.
27.4.6. Transferencia electrnica de fondos40
Este es un tema comn a la contratacin electrnica, a la proteccin de datos de
carcter personal y al pago electrnico. En concreto este ltimo adquiere una
relevancia en la prctica inusitada y en constante crecimiento. Esta relevancia y sus
particularidades justifican su tratamiento independiente. Nos referiremos en concreto a
los medios de pago electrnicos ya conocidos, esto es. las tarjetas de crdito y de
iVhlrt. o rl ruin p.-irlirulnr I xuvtwUs a un rtrl^rmifinrln ntaMnminiln
mercantil pora la realizacin de compras en el mismo, y slo mencionamos aqu el
naciente fenmeno de los micropagos y del dinero electrnico propiamente dicho y de
las consecuentes entidades emisoras de dinero electrnico.
No obstante, y dado que una ve* ms tenemos que recordar el objeto de este
captulo, no es ste el lugar donde analizar las fases de la transferencia electrnica de
fondos, ni los derechos y obligaciones de las distintas panes implicadas, el emisor del
instrumento de pago y el usuario, ni la nueva situacin de desequilibrio derivada de la
" IXn ui R<iripuc/. M A . Manual <UDrmho tnformAtKO, ap. rrt. pigmjn 237 y u.
www.FreeLibros.me
Mt AUDfTORlA INFORMATICA UN fcNK)QC.'li HtACtlCO
utilizacin de nuevo de kw contratos de adhesin, ni la confidencialidad ni seguridad
de los dalos de carcter personal involucrados, ni la delimitacin de las
responsabilidades y riesgos existentes en el uso de este medio de pago.
La tarea especifica de este mbito para el auditor informtico, aparte de la posible
y probable interseccin de alguno de los otro* mbitos especificados, reside en la
comprobacin de la inieropenibilidad entre los sistemas de lectura de las tarjetas y las
redes de comunicaciones.
27.4.7. El delito informtico41
ste es un tema debatido en la doctrina tanto en su definicin, ms all, en
cuanto a su existencia legal, como en su clasificacin. De un lado, los elementos
integrantes de la definicin estricta de delito en la doctrina criminalista, son
difcilmente cnconirablcx en la utilizacin de medios informticos, en su ms amplio
sentido, en la comisin de ilcitos. De otro lado, en la clasificacin de todas las
acciones ilegales dolosos instrumentali/adas de este modo tampoco existe unanimidad
Parece claro que son los fraudes los que ms importancia cualitativa y cuantitativa
encuentran dentro de este delito. Peto tampoco en la ordenacin de los mismos se
especifica una seleccin nica. A modo de ejemplificacin. baste enumerar los virus
informticos, la actuacin de los llamados piratas informticos, o el mero robo y otras
acciones fsicas similares contra los elementos fsicos y lgicos de los equipos
informticos, donde destaca sobremanera, la piratera del software ya mencionada ms
arriba*'.
Como no es el objeto de este capitulo el desarrollo intenso de este tema,
remitimos de nuevo a la parte especfica de esta obra donde se detalla su contenido y
pasamos a intentar circunscribir el mbito de la auditora de sistemas de informacin
con relacin al denominado delito informtico. La intervencin del auditor informtico
reviste aqu, sin lugar a dudas, una especial utilidad. Si. como hemos mencionado, en
cuanto a los errores c irregularidades detectables en la auditora de cuentas tiene un
deber de diligencia y cuidado profesional que determina su comunicacin a la empresa
auditada, en cuanto a la deteccin de delitos existe una prescripcin legal que, por la
experiencia y profes tonalidad, del auditor le constituye en el sujeto idneo para no
slo la constatacin de estos delitos sino tambin para ayudar en su delimitacin
conceptual a efectos de su inclusin en una u otra categora, otorgndole, por otra
parte, por estas mismas consideraciones una especial responsabilidad en dicha
deteccin.
www.FreeLibros.me
27.5. CAUSA
Para terminar con el anlisis de los elementos esenciales de iodo contrato,
pasamos a examinar la causa del contrato de auditora.
De todo lo anterior cabe deducir que la exigencia LEGAL de la Auditora de los
Sistemas de Informacin en la actualidad es. en puridad, nula. No e:iMc ni una sola
disposicin de ningn rango que determine la realizacin de una auditora de estas
caractersticas.
No obstante, toda la actual regulacin en materia de proteccin de datos de
carcter personal aconseja y suena a su imposicin. No cabe, hcrmenuticamente
hablando, la posibilidad de que se est refiriendo en este cuerpo normativo a una
auditora de las convencionales". Aparece, de este modo, la "figura legal" de la
Auditora Informtica, si se opta por no someterse a la literalidad de la Ley. en cuyo
caso conducira a la nica auditora existente por el momento a efectos de
reconocimiento legal: la auditora de cuentas, y acudir a la ya tradicbnal y aceptada
corriente de interpretacin del espritu de la norma, a efectos de conseguir una
conclusin ms adecuada y realista, que lleva ineludiblemente a la iceptacin de la
Auditora Informtica como la idnea para este anlisis.
Por lo tanto, es posible, en nuestra opinin, concluir que la causa puede tener en
este contrato, dentro de su licitud, sus dos orgenes: de un lado, partiendo de la
autonoma de la voluntad, principio rector en materia de Derecho contactual prescrito
en el artculo I2SS del actual Cdigo Civil, puede ser solicitada a simple voluntad de
la empresa auditada, y. de otro lado, como cumplimiento de la exigencia legal prevista
en la normativa de proteccin de datos de carcter personal y en concreto en el artculo
17 del Reglamento de Seguridad.
QK**>_________________________________ CAPTULO!lgCOfZmATOCCAUDfTORU t i l
27.6. EL INFORME DE AUDITORA
El informe de auditora constituye el producto final del trabajo de auditora y la
nica documentacin que va a llegar a quien la ha encargado. Sus objetivos
principales consisten en permitir al que revisa entender el trabaje realizado, las
circunstancias que afectan a i fiabilidad y las conclusiones del aulitor. as como
prevenir una interpretacin errnea del grado de responsabilidad tsumido por el
auditor1 .
El informe debe estar escrito e ir firmado. En l deben constar los antecedentes, el
objetivo del proceso de auditora, las posibles limitaciones, y un resumen para la
www.FreeLibros.me
Direccin en trminos no tcnicos. En cada punto debe explicarse por qu es un
incumplimiento o una debilidad, y alguna recomendacin. Ha de discutirse con los
auditados antes de emitir el definitivo. En algunos casos incluso se pueden recoger las
respuestas de los auditados**.
El informe de auditora de cuentas anuales, obligatorio para ciertas entidades que
cumplan unos determinados parmetros, es un documento donde se pone de mani
fiesto la opinin del auditor, respecto de la fiabilidad de la informacin contable
auditada, de manera que cualquier tercero pueda valorar dicha informacin y. en vu
caso, lomar decisiones sobre la base de la misma con autntico conocimiento de causa.
Estas caractersticas son. de nuevo, aplicables al informe consecuente de la realizacin
de una auditora informtica.
Un informe debe constar de las siguientes panes: ttulo, destinatario (a quin va
dirigido y quin efectu el nombramiento), identificacin de la entidad auditada,
prrafo de alcance (NT utilizadas y excluidas en su caso), prrafo de comparabilidad
(respecto a ejercicios anteriores), prrafo de salvedades (detallando su efecto sobre las
cuentas anuales o su naturaleza), prrafo de nfasis, prrafo de opinin (especialmente
recalcando el principio general contable de representacin de imagen fiel), prrafo
sobre el informe de gestin, firmas y fecha (que coincida con la de terminacin del
trabajo en la oficina de la entidad auditada)*'.
Para que el auditor pueda transmitir de forma satisfactoria su trabajo a los
colectivos interesados, el informe de auditora debe ser un documento que ha de ser
ledo y comprendido sin que los lectores encuentren dificultad o dudas en la
interpretacin del mensaje que contiene. En trminos generales, se ha producido un
rechazo al informe corto y la aceptacin generalizada de su alargamiento, de nuevo
como una forma ms. entre otras cosas, de acortar el tan nombrado gap de
expectativas*'.
27.7. CONCLUSIONES
Estas conclusiones tendrn do partes diferenciadas: En primer lugar,
extraeremos los puntos ms resaltables en cuanto a los elementos del contrato
analizado, y despus pasaremos a realizar un ms extenso anlisis de la situacin
actual normativamente hablando de la auditora informtica, pues es en este punto
donde encontramos que se debe hacer hincapi a la vista de lo estudiado
anteriormente.
M AlrortOHlA INFORMTICA: UNIJOOQUi fUCTICO___________________________ mm
Rinus Gnuifc/. M. A . Aixtawa infcnnitiu. en IxfionMuca y Drmho. n* 19-22. 199.
65? y .
*' Ltyv/ Crrale. K. "Cumplimknlu de lm nomsts tcnicas en t* muta dt informe- . en l'aitrd
Mr. n* 'H. r.y. itrrixe 1993. (Ugius 68 y u
www.FreeLibros.me
CAPtnxo:? ll cotohato pe aiixtoku 6
El contrato de auditora informtica, como todo lo que afecta a la regulacin
jurdica de las Nuevas Tecnologas de la Informacin y las Comunicaciones, no ex
algo que ve encuentre delimitado. La inseguridad jurdica es palpable. El objeto propio
de esta contratacin, adems de su multiplicidad, se caracteriza por la dificultad de su
configuracin jurdica. La profesin de auditor informtico, apae de su falta de
regulacin, sufre, entre otras cosas, de intrusismo profesional y de extralimilacin
de sus funciones. 1.a empresa que solicita una auditora informtica suele tener dudas
en cuanto a su objeto y a su resultado. I j diferencia de expectativas es aqu mayor
porque ni siquiera se tiene claro lo que se espera, pues se espera todo, se espera una
solucin, no una deteccin de los problemas. En cuanto a los terceros, menos claro
tienen an la existencia y delimitacin de la figura. Por otra pane, la causa, como
hemos visto, es escasamente legal en cuanto a periodicidad en la obligacin.
No vamos a abandonar en este ltimo apartado el obligado, esperamos que no por
mucho tiempo, esquema comparativo respecto a la auditora de cuentas que hemos
venido siguiendo, y. por lo tanto, nos aprovecharemos del anlisis de la situacin
actual de la misma e intentaremos sintetizar los puntos ms relevantes para basar
nuestras "reivindicaciones.
Comencemos por resaltar una vez ms lo novedoso de su normativa. Slo a partir
de la LAC (1988) se regula por primera vez la profesin de auditora de cuentas,
determinndose quin puede ser auditor de cuentas, cmo debe actuar el auditor de
cuentas en el ejercicio de su profesin, los plazos para la contratacin, el rgimen de
incompatibilidades y las responsabilidades y mecanismo sancionado. Para una
profesin que se remonta a los orgenes de las civilizaciones ms antiguas, resulta
cuando menos llamativo.
Pero adems, la auditora tiene an pendientes numerosos problemas que afectan
unto al contenido de sus normas de trabajo, como al alcance del mismo, o a la forma
de su expresin como actividad profesional. Temas como la autorregulacin profe
sional. la unificacin de criterios, la incemacionalizacin de los principios contables,
conceptos como los de empresa en marcha, importancia relativa, fraude e ilegalidad, la
compatibilidad de las funciones de auditor profesional y la consultora. sobre los
procesos de concentracin, las relaciones con las autoridades, los controles
deontolgicos. o la calidad del trabajo. Tambin es necesaria una normativa comn
europea sobre aspectos relacionados con la independencia y objetividad del auditor,
las reglas de contratacin, las responsabilidades cxigiMex, los seguros de responsabi
lidad profesional, y el rgimen de control y supervisin y de sanciones aplicables por
oooductas impropias4'.
Snchez Fdez. t ViWnnnu. I L. judiiorU en el coateu econRKO k*mT. m J/.nKu
ConuNr. n*lroftkftjr>o. 199, pgin 37 y n
www.FreeLibros.me
6*0 AUDITORIA INFORMATICA: UN EXFOQC'E mXCTKO
Apoyando c s u afirmacin, como hemos visto, el Libro Verde sobre la funcin,
posicin y responsabilidad civil del auditor legal en la Unin Europea4*, publicado por
la Comunidad en 1996. pone de manifiesto la necesidad de homogeneizar el ejercicio
de La auditora en aspectos como su definicin, la forma y el contenido del informe, la
independencia del auditor legal, la fomu de realizacin del control de calidad, la
responsabilidad del auditor legal... en orden a establecer las bases que permitan el
desarrollo del mercado interior de los servicios de auditoria. F.1 Parlamento Europeo,
por su parte, analiz el citado Libro Verde y aprob una Resolucin en enero de 1998
en la que consideraba, entre otras cosas, la necesidad de concretar los objetivos mis
inmediatos, la idoneidad de la constitucin de un su be omit tcnico, la necesidad de
armonizar el ejercicio de la auditora en la UE resaltando la relevancia de las normas
profesionales, la independencia del auditor y el ejercicio del control de calidad, la
responsabilidad civil de los auditores, aconsejando la suscripcin de un seguro
mnimo... En resumen, que para que se desarrolle el mercado interno de los servicios
de auditora es imprescindible que se disponga de un modelo comn de organizacin
de la actividad. La Comisin Europea, como continuacin del anterior anlisis del
Parlamento, present un documento denominado La auditora legal en Europa: el
camino a seguir, donde se especifica que el fin de proteccin del inters pblico, el
aumento de la armonizacin de la informacin financiera y el incremento de la
fiabilidad de la misma convierten a la auditora en un elemento importante para el
establecimiento y funcionamiento del mercado nico. La Comisin es consciente de la
falta de unanimidad sobre la funcin, posicin y responsabilidad civil del auditor legal
y de la necesidad de adoptar un modelo comn que a su vez respete los estndares
internacionales en la ejecucin del trabajo, en la emisin de la opinin y en los
controles establecidos para mejorar la calidad de los citados informes4.
En definitiva, si una profesin un antigua como la auditora convencional
adolece de untas imperfecciones legales, con tantos problemas y aspectos sin definir y
con extremos tan absoluumcntc indefinidos, y dado el muy superior ritmo de
crecimiento c importancia de la auditora informtica, entendemos que ya se est a un
nivel de importancia, aunque sea pretendidamente soslayada, y de presencia real de la
profesin, como para reclamar el reconocimiento de una identidad y particularidad.
As. en un futuro cercano esperamos tener que dejar de realizar anlisis comparativos
nada satisfactorios en el estudio de las caractersticas originales y propias de esU
profesin.
"Aprovechemos", pues, las similitudes existentes y la indefinicin legal que sufre
en muchos puntos la auditora de cuentas para comenzar un proceso normativo propio
que delimite la figura de la auditora de sistemas de informacin en todos sus aspectos:
desde los subjetivos, definiendo el perfil del auditor informtico, hasu los objetivos.
Libro Ver*. /mcMi. pourin y mpomtaMida <rl del oydOoe te**) en h <M*| Ovnpea
(96021/01)
* CteM Cifu. A.. "Miimo iniitiuno de la Uy de Auditora de Coceen". cu t'arrtJa OobU.
oilmen) W. novvcmtre 199ti. pipan 4 ) u.
www.FreeLibros.me
en oanlo a la regulacin legal principalmente, y los instrumentales u organizativos.
Es preciso lograr una regulacin, del tipo que sea. propia y del imitadora, declarativa
que no constitutiva. Je lo que es una realidad creciente en nmero c importancia: la
profesin de auditoria informtica.
*__________________________________ CAFfTtlO?7:ELCONTKATOPCAUPnOWlA 641
Datara Rodrguez. M. .. Manual de Derecho Informtico. Editorial Aranzadi.
Pamplona. 1997. Ui proteccin de los intereses del consumidor ante los rutews
sistemas de comercio electrnico. Editorial CEACCU. Madrid. 2000.
Ramos Gonzlez. M. A., La auditora informtica, en Actualidad Informtica
Aranzadi. n 14. enero de 1995.
VV.AA.. Del Peso Navarro. E. (Director). Manual de dictmenes y peritajes
informticos: Anlisis de casos prcticos. Ediciones Daz de Santos. Madrid.
1995.
VV.AA.. Del Peso Navarro. E. y Piattini Vclihuis. M. G. (Coordinadores). Auditoria
informtica: un enfoque prctico. Ed. Ra-Ma. I* edicin. Madrid. 1998.
1. Comparativa entre las definiciones legales- de la auditora de cuentas y la
auditora de sistemas de informacin.
2. Cul es la naturaleza jurdica del contrato de auditora? Por qu?
3. Las Normas Tcnicas de Auditora.
4. Auditora interna frente a Auditora extema en sistemas de informacin.
5. Las terceras personas o interesistas y la informacin en el contrato de
auditora.
6. Utilidad de los Comits de Auditora.
7. Distintos objetos en el contrato de auditora informtica.
8. La auditoria en la proteccin de datos de carcter personal.
9. La causa en el contrato de auditora.
10. Caractersticas del informe de auditora.
www.FreeLibros.me

Auditoria Informática, Un Enfoque Práctico - Mario Piattini

Caricato da

Informazioni sul documento

Copyright

Formati disponibili

Condividi questo documento

Condividi o incorpora il documento

Opzioni di condivisione

Hai trovato utile questo documento?

Questo contenuto è inappropriato?

Copyright:

Formati disponibili

Auditoria Informática, Un Enfoque Práctico - Mario Piattini

Caricato da

Copyright:

Formati disponibili

AUDITORIA

Se puede acceder a datos ylo manipularlos va el SGBD (tamo mi si hay

Potrebbero piacerti anche