Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
2.
3.
4.
Debe tener un enfoque de Calidad Total, lo cual har que sus conclusiones y trabajo sean
reconocidos como un elemento valioso dentro de la empresa y que los resultados sean aceptados en
su totalidad.
Principio de Beneficio del auditado. Aqu se refiere al hecho de que se debe de obtener el
maximo beneficio con el equipo con que se cuenta, adems de que el auditor debe ser ajeno a la
empresa y sus integrantes adems de que no debe de salir beneficiado con la auditoria.
Principio de calidad.El auditor debe brindar un trabajo de calidad con las herramientas que tiene,
pues tiene la libertad de utilizar todo lo que cra necesario y con las condiciones tecnicas
adecuadas.
Principio de capacidad. El auditor debe de ser capaz de realizar su tarea, adems de estar
consiente de sus capacidades y aptitudes.
Principio de cautela. Debe de ser cuidadoso a la hora de expresarse para no inducir a gastos o
acciones innecesarias.
Principio de concentracion en el trabajo. Involucra poner enfasis y dedicar tiempo a cada tarea,
no copy-paste.
Tcnicas
Cuestionarios: Las auditoras informticas se materializan recabando informacin y documentacin de
todo tipo. Los informes finales de los auditores dependen de sus capacidades para analizar las
situaciones de debilidad o fortaleza de los diferentes entornos. El trabajo del auditor consiste en lograr
toda la informacin necesaria para la emisin de un juicio global objetivo, siempre amparado en hechos
demostrables, llamados tambin evidencias. Se suele solicitar la completacin de cuestionarios que se
envan a las personas concretas que el auditor cree adecuadas. Estos cuestionarios deben ser
especficos para cada situacin, y muy cuidados en su fondo y su forma. Cabe aclarar, que esta primera
fase puede omitirse cuando los auditores hayan adquirido por otro medios la informacin que aquellos
preimpresos hubieran proporcionado.
Entrevistas: El auditor comienza a continuacin las relaciones personales con el auditado. La
entrevista es una de las actividades personales ms importante del auditor; recoge ms informacin, y
mejor matizada, que la proporcionada por medios propios puramente tcnicos o por las respuestas
escritas a cuestionarios. interrogatorio; es lo que hace un auditor, interroga y se interroga a s mismo.
Checklist: Tener claro lo que se necesita saber, y por qu. Sus cuestionarios son vitales para el
trabajo de anlisis, cruzamiento y sntesis posterior.
Trazas y/o Huellas: Con frecuencia, el auditor debe verificar que los programas, tanto de los Sistemas
como de usuario, realizan exactamente las funciones previstas, y no otras. Para ello se apoya en
productos Software muy potentes y modulares que, entre otras funciones, rastrean los caminos que
siguen los datos a travs del programa
Peritaje Informtico: Se conoce como peritaje informtico a los estudios e investigaciones orientados a
la obtencin de una prueba informtica de aplicacin en un asunto judicial para que sirva a un juez para
decidir sobre la culpabilidad o inocencia de una de las partes. La pericia, por ser un medio probatorio,
tiene sus normas, previstas en los cdigos procesales, respecto a la designacin, tiempos y forma de
presentacin.
SINTOMAS DE NECESIDAD DE LA AUDITORIA INFORMATICA
Sntomas de descoordinacin y desorganizacin
-No coinciden los objetivos de la Informtica de la Organizacin y de la propia Organizacin.
En estos casos, las responsabilidades suelen centrarse en los estamentos directivos de la Informtica.
Los objetivos informticos tendrn que estar subordinados a los generales de la empresa.
-Los estndares de productividad se desvan sensiblemente de la media conseguida en forma
habitual.
Si no han existido cambios masivos del plantel de la empresa, las causas pueden hallarse en la
reestructuracin equivocada de algn rea o en la modificacin de alguna Normativa muy importante.
Sntomas de imagen mala y usuarios insatisfechos
-No se atienden los pedidos de modificaciones de los usuarios.
La referencia a cambios de software en las terminales de usuario, refrescamiento de paneles,
modificacin de los archivos que deben ponerse a diario a su disposicin, etc.
-No se hacen las reparaciones de Hardware ni se resuelven incidencias en plazos razonables.
Incluso en casos de poca incidencia general, el usuario cree que est fuera de atencin permanente.
-No se cumplen en todos los casos los tiempos de entrega de resultados en perodos de tiempo
acordados.
Otra parte importante del Software Bsico es el desarrollado e implementado en los Sistemas
Informticos por el personal informtico de la empresa, por el propio personal de sistemas. Son
desarrollos internos que permiten mejorar la instalacin.
El auditor, en este punto, debe verificar que es software no agrede no condiciona al Sistema. Igualmente,
debe considerar el esfuerzo realizado en trminos de costos, por si hubiera alternativas ms econmicas.
c) Software de Teleproceso
Se ha agregado del apartado anterior de Software Bsico por su especialidad e importancia. Son vlidas
las consideraciones anteriores, Ntese la especial dependencia que el Software del Tiempo Real tiene
respecto a la arquitectura de los Sistemas.
d) Tunning
Es el conjunto de tcnicas de observacin y de medidas encaminadas a la evaluacin del comportamiento
de los subsistemas y del Sistema en su conjunto. Las acciones de Tunning deben diferenciarse de los
controles y medidas habituales que realiza el presonal de Tcnica de Sistemas.
El Tunning posee una naturaleza ms revisora, establecindose previamente planes y programas de
actuacin segn los sntomas observados.
Los Tunning pueden realizarse:
*.- Cuando existe la sospecha de deterioro del comportamiento parcial o general del Sistema.
**.- De modo sitemtico y peridico, por ejemplo cada seis meses. En este ltimo caso, las acciones de
Tunning son repetitivas y estn planificadas y organizadas de antemano.
El auditor informtico deber conocer el nmero de Tunning realizados en el ltimo ao, as como los
resultados. Deber analizar los modelos de carga utilizados y los niveles e ndices de confianza de las
observaciones.
d) Optimizacin de los Sistemas y Subsistemas
Tcnica de Sistemas deber realizar acciones permanentes de optimizacin como consecuencia de la
informacin diaria obtenida a travs de Log, Account-ing, etc. Acta igualmente como consecuencia de la
realizacin de Tunnings preprogramados o especficos.
El auditor verificar que las acciones de optimizacin fueron efectivas y no comprometieron la
Operatividad de los Sistemas ni el "plan crtico de produccin diaria" de Explotacin.
e) Administracin de Base de Datos
Es un Area que ha adquirido una gran importancia a causa de la proliferacin de usuarios y de las
descentralizaciones habidas en las informticas de las empresas.
El diseo de las bases de datos, ya sean relacionales o jerrquicas, se ha convertido en una actividad
muy compleja y sofisticada, por lo general desarrollada en el mbito de Tcnica de Sistemas, y de
acuerdo con las reas de Desarrollo y los usuarios de la empresa.
El conocimiento de diseo y arquitectura de dichas Bases de Datos por parte de los Sistemas, ha
cristalizado en la administracin de las mismas les sea igualmente encomendada. Aunque esta adcripcin
es la ms frecuente en la actualidad, los auditores informticos han observado algunas disfunciones
derivadas de la relativamente escasa experiencia que Tcnica de Sistemas tiene sobre la problemtica
general de los usuarios de las Bases de Datos.
Comienzan a percibirse hechos tendentes a separar el diseo y la construccin de las Bases de Datos, de
la administracin de las mismas, administracin sta que sera realizada por Explotacin. Sin embargo,
esta tendencia es an poco significativa.
El auditor informtico de Bases de Datos deber asegurarse que Explotacin conoce suficientemente las
que son accedidas por los Procedimientos que ella ejecuta. Analizar los sistemas de salvaguarda
existentes, que competen igualmente a Explotacin. Revisar finalmente la integridad y consistencia de
los datos, as como la ausencia de redundancias entre ellos.
f) Investigacin y Desarrollo
El campo informtico sigue evolucionando rapidamente. Multitud de Compaas, de Software
mayoritariamente, aparecen en el mercado.
Slo muy recientemente, las empresas que necesitan de informticas desarrolladas han comprendido que
sus propios efectivos estn desarrollados Aplicaciones y utilidades que, concebidas inicialmente para su
uso interno, pueden ser susceptibles de adquisicin por otras empresas, haciendo la competencia a las
Compaas del ramo.
Como consecuencia, algunas empresas no dedicadas en principio a la venta de productos informticos,
estn potenciando la investigacin de sus equipos de Tcnica de Sistemas y Desarrollo, de forma que sus
productos puedan convertirse en fuentes de ingresos adicionales.
La auditora informtica deber cuidar de que la actividad de Investigacin mas la de desarrollo de las
empresas no vendedoras, no interfiera ni dificulte las tareas fundamentales internas.
En todo caso, el auditor advertir en su Informe de los riesgos que haya observado. No obstante,
resultara muy provechoso comercializar alguna Aplicacin interna, una vez que est terminada y
funcionando a satisfaccin.
Los archivos "accounting", "syslog", "Contabilizadores de errores recuperados o permanentes del Sistema
y de sus perifricos", etc., proporcionan al auditor avezado informacin valiossima e insustituible.
La propia existencia de aplicativos para la obtencin de estadsticas desarrollados por los tcnicos de
Sistemas de la empresa auditada, y su calidad, proporcionan al auditor experto una visin bastante exacta
de la eficiencia y estado de desarrollo de los Sistemas. La correcta elaboracin de esta informacin
conlleva el buen conocimiento de la carga de la instalacin, as como la casi certeza de que existen
Planes de Capacidad, etc.
Vulnerabilidades de un sistema informtico
En un sistema informtico lo que queremos proteger son sus activos, es decir, los recursos que forman
parte del sistema y que podemos agrupar en:
Hardware: elementos fsicos del sistema informtico, tales como procesadores, electrnica y
cableado de red, medios de almacenamiento (cabinas, discos, cintas, DVDs,...).
Datos: comprenden la informacin lgica que procesa el software haciendo uso del hardware.
En general sern informaciones estructuradas en bases de datos o paquetes de informacin que
viajan por la red.
Otros: fungibles, personas, infraestructuras,.. aquellos que se 'usan y gastan' como puede ser la
tinta y papel en las impresoras, los soportes tipo DVD o incluso cintas si las copias se hacen en
ese medio, etc.
De ellos los mas crticos son los datos, el hardware y el software. Es decir, los datos que estn
almacenados en el hardware y que son procesados por las aplicaciones software.
Incluso de todos ellos, el activo mas crtico son los datos. El resto se puede reponer con facilidad y los
datos ... sabemos que dependen de que la empresa tenga una buena poltica de copias de seguridad y
sea capaz de reponerlos en el estado mas prximo al momento en que se produjo la prdida. Esto puede
suponer para la empresa, por ejemplo, la dificultad o imposibilidad de reponer dichos datos con lo que
conllevara de prdida de tiempo y dinero.
Vulnerabilidad: definicin y clasificacin
Definimos Vulnerabilidad como debilidad de cualquier tipo que compromete la seguridad del sistema
informtico.
Las vulnerabilidades de los sistemas informticos las podemos agrupar en funcin de:
Diseo
Errores de programacin.
Se incluyen en este grupo aquellas vulnerabilidades para las cuales no existe una solucin
conocida, pero se sabe como explotarla.
Vulnerabilidades conocidas
Vulnerabilidad de denegacin del servicio.
La denegacin de servicio hace que un servicio o recurso no est disponible para los usuarios. Suele
provocar la prdida de la conectividad de la red por el consumo del ancho de banda de la red de la
vctima o sobrecarga de los recursos informticos del sistema de la vctima.