AUDITORA DE SISTEMAS DE INFORMACIN

Principales reas de la Auditora Informtica

La Auditora Fsica
En esta rea se proporciona evidencia del nivel de la seguridad fsica en el mbito en el que se va a desarrollar la actividad profesional, no limitndose a comprobar que existen los medios fsicos, sino tambin su funcionalidad, racionalidad y seguridad. La seguridad fsica garantiza la integridad de los activos humanos, lgicos y materiales en un centro de procesamiento de informacin. Existen tres momentos para responder ante una falla en esta rea, relacionados con la cronologa de la misma: Antes Obtener y mantener un grado de seguridad adecuado, por medio de un conjunto de acciones que eviten el fallo o disminuyan sus efectos. Es un concepto general aplicable a cualquier actividad en la que personas hagan uso de entornos fsicos. Ubicacin del edificio Ubicacin del centro de procesamiento dentro del edificio Divisin Elementos de construccin Potencia elctrica Sistemas contra incendios Control de accesos Seguridad de los medios Medidas de proteccin Duplicacin de medios

Durante Ejecutar un plan de contingencia adecuado, el cual realice un anlisis de riesgos de sistemas crticos, establezca un periodo crtico de recuperacin (del desastre), realice un anlisis de aplicaciones crticas, establezca prioridades y objetivos de recuperacin, designe un Centro Alternativo de Procesamiento, y asegurar la capacidad de las comunicaciones y de los servicios de back-up. Despus Los Contratos de Seguros vienen a compensar, en mayor o menor medida, las prdidas, gastos o responsabilidades que se pueden derivar para el Centro de Procesamiento de Informacin una vez detectado y corregido el fallo. Entre algunos tipos de seguros estn: Centro de proceso y equipamiento Errores y omisiones Reconstruccin de medios de software Cobertura de fidelidad Gastos extra Transporte de medios Interrupcin del negocio Contratos con proveedores y de Documentos y registros valiosos mantenimiento reas de la Seguridad Fsica La revisin de la construccin y el estado de la infraestructura del edificio en s mismo no es un objeto del que pueda diagnosticar un auditor, sino que tendr que apoyarse de peritos independientes que den respuesta a sus preguntas para lograr la valoracin. Las reas en las que el auditor ha de interesarse personalmente tienen relacin directa con el hecho informtico, como lo son: Organigrama de la empresa (para obtener amplia visin de conjunto del centro de proceso). Auditora interna (para conocer auditoras pasadas, relacionadas con la seguridad fsica). Administracin de la seguridad (normas, procedimientos y planes que haya emitido, distribuido y controlado el departamento).

UNIDAD DE COMPETENCIA I

AUDITORA DE SISTEMAS DE INFORMACIN

Centro de procesamiento e instalaciones (sala del Host, de operadores, de impresoras, oficinas, almacenes, de instalaciones elctricas, de aire acondicionado, de descanso y servicio). Equipos y comunicaciones (Host, terminales, PCs, equipos de almacenamiento masivo de datos, impresoras, medios y sistemas de telecomunicaciones). Computadoras personales (desde el punto de vista de acceso a datos y a la adquisicin de copias no autorizadas). Seguridad fsica del personal (accesos y salidas seguras, medios y rutas de evacuacin, extincin de incendios, sistemas de bloqueo de puertas y ventanas, zonas de descanso y servicios).

Fuentes de la auditora fsica Polticas, normas y planes sobre seguridad Auditoras anteriores Contratos de Seguros, de Proveedores y de Mantenimiento Entrevistas con el personal de seguridad, informtico y de otras actividades (limpieza y mantenimiento) Actas e informes de tcnicos y consultores Plan de contingencia y valoracin de las pruebas Informes sobre accesos y visitas Informes sobre pruebas de evacuacin ante diferentes tipos de amenaza Informes sobre evacuaciones reales Polticas de personal Inventarios de soportes (cintoteca, back-up, procedimientos de archivo, control de copias, etc.) Son objetivo de la Auditora fsica El edificio Las instalaciones El equipamiento y las instalaciones Los datos Las personas Tcnicas Observacin de las instalaciones, sistemas, cumplimiento de normas y procedimientos, no slo como espectador sino como actor. Revisin analtica de documentacin sobre la construccin y preinstalaciones, documentacin sobre la seguridad fsica, polticas y normas de actividad, normas y procedimientos sobre seguridad fsica de los datos, contratos de seguros y mantenimiento, Entrevistas con directivos y personal. Consultas a tcnicos y peritos independientes. Herramientas Cuaderno de campo, audiograbadora, cmara fotogrfica y de video.

La Auditora de la Explotacin
El nivel de competencia que existe entre las empresas les obliga a tomar decisiones rpidas y acertadas, por lo que el funcionamiento adecuado y la continua actualizacin de los SI son muy necesarios. Los recursos de los SI se han de utilizar de forma que

UNIDAD DE COMPETENCIA I

AUDITORA DE SISTEMAS DE INFORMACIN

permitan la eficacia y eficiencia de la empresa, adems de que deben asegurar la confidencialidad de sus datos. Para hacer el seguimiento y comprobar que el SI est actuando como debe, ste habr de disponer de un control interno que prevenga los eventos no deseados, o en su defecto que los detecte y los corrija. Para esta rea de la auditora es posible seguir la gua de clasificacin de los controles que hace el proyecto CobiT (es un marco reconocido internacionalmente, que permite la estandarizacin de criterio relacionado con controles sobre TI). Procedimiento de auditora 1. Contrato o solicitud 2. Planificacin estratgica a. Estudio y evaluacin de riesgos b. Establecimiento de objetivos 3. Planificacin tcnica a. Programa de trabajo 4. Actualizacin del programa de trabajo 5. Pruebas de cumplimiento 6. Pruebas sustantivas 7. Revisin del trabajo 8. Elaboracin de informes 9. Distribucin de informes 10. Archivar los papeles de trabajo INICIO PLANIFICACIN

REALIZAR EL TRABAJO

REVISIONES E INFORMES FIN

Esta auditora se ocupa de evaluar los controles generales y de aplicaciones en la empresa. Los controles generales son aquellos que estn relacionados con todas o con la mayora de las actividades contables informatizadas, que generalmente incluyen controles del desarrollo de las modificaciones y del mantenimiento de programas informticos y controles de la utilizacin y modificacin de los datos que se mantienen en archivos informticos. Los controles de aplicaciones son aquellos relacionados con la captura, entrada y registro de datos en un SI, as como los relacionados con su procesamiento, clculo y salida de la informacin y su distribucin. Clasificacin de los controles Generales: Controles Operativos y de Organizacin (divisin de funciones entre el servicio de informacin y los usuarios) Controles sobre el desarrollo de programas y su documentacin (sobre modificaciones de los programas, procedimientos de documentacin) Controles sobre los Programas y los Equipos (caractersticas par ala deteccin automtica de errores, hacer mantenimientos preventivos peridicos, procedimientos para salir de los errores de equipo hardware-) Controles de acceso Controles sobre los procedimientos y los datos (manuales escritos como soporte a los procedimientos y los sistemas de aplicacin, controles de las conciliaciones entre los datos fuente y los datos) Clasificacin de los controles de las aplicaciones:

UNIDAD DE COMPETENCIA I

AUDITORA DE SISTEMAS DE INFORMACIN

Controles sobre la captura de datos (altas, modificaciones y consultas de movimientos, mantenimiento de archivos) Controles de proceso (entrada de datos repetidos, procesamiento y actualizacin de archivos equivocados, entrada de datos ilgicos, prdida o distorsin de datos durante el proceso) Controles de salida y distribucin (para que el resultado del proceso sea exacto y que los informes y salidas se reciban slo por las personas autorizadas)

CobiT establece una nueva clasificacin, de tres niveles de TI para la gestin de sus recursos: Actividades y tareas Necesarias para alcanzar un resultado cuantificable. Procesos Serie de actividades o tareas unidas. Dominios Los procesos se agrupan de forma natural dando lugar a los dominios, son cuatro para CobiT: 1. planificacin y organizacin 2. adquisicin e implementacin 3. suministro y mantenimiento 4. monitorizacin

La Auditora de la Calidad
La calidad se ha convertido en el medio de subsistir dentro de un mercado competitivo, la cual beneficia al consumidor final. La calidad del software significa la concordancia con los requisitos funcionales y de rendimiento explcitamente establecidos, con los estndares de desarrollo explcitamente documentados y con las caractersticas implcitas que se espera de todo software desarrollado profesionalmente. Caractersticas de la calidad segn ISO. El modelo ISO Extendido (que incluye a uno anterior: ISO 9126) define las caractersticas de la calidad para el SW: 1. Funcionalidad 2. Fiabilidad 3. Usabilidad 4. Eficiencia 5. Mantenibilidad 6. Portabilidad La valoracin de estas caractersticas es til para que el usuario pueda definir los requerimientos del producto utilizando solamente las caractersticas que emplee en la prctica. La auditora de la calidad tiene como objetivo mostrar la situacin real para aportar confianza y destacar las reas que pueden afectar adversamente esa confianza. Hay varias razones para realizarla: Establecer el estado de un proyecto Verificar la capacidad de realizar o continuar un trabajo especfico Verificar qu elementos aplicables del programa o Plan de Aseguramiento de la Calidad han sido desarrollados y documentados Verificar la adherencia de esos elementos con el programa o Plan de Aseguramiento de la Calidad. La auditora de la calidad ser dirigida para asegurar que:

UNIDAD DE COMPETENCIA I

AUDITORA DE SISTEMAS DE INFORMACIN

Los productos de SW codificados reflejarn lo diseado en la documentacin Los requerimientos de la revisin de aceptacin y de pruebas prescritos por la documentacin son adecuados para la aceptacin de productos de software. Los datos de prueba cumplen con la especificacin. Los productos de SW fueron probados sucesivamente y alcanzaron sus especificaciones Los informes de prueba son correctos La documentacin del usuario cumple con los estndares Las actividades han sido llevadas de acuerdo a los requerimientos aplicables, los planes y contrato. El costo y el cronograma se ajustan a los planes establecidos

La Auditora Ofimtica
La Ofimtica se define como los programas o aplicaciones que en conjunto sirven de herramienta para generar, procesar, almacenar, recuperar, comunicar y presentar la informacin en un lugar de trabajo, as como de forma domstica El software de ofimtica comprende una serie de aplicaciones que se distribuyen de forma conjunta para as mismo ser empleadas simultneamente en diversos sistemas. Usualmente estas herramientas de ofimtica incluyen: Aplicaciones de productividad personal Administradores de Bases de Datos Hojas de clculo Procesadores de Textos Presentadores de ideas Grficos Existen dos caractersticas a analizar de los entornos ofimticos: la distribucin de las aplicaciones por los diferentes departamentos de la organizacin en lugar de centralizarse en una nica ubicacin, y el traslado de la responsabilidad sobre ciertos controles de los sistemas de informacin a usuarios finales no dedicados profesionalmente a la informtica, quienes pueden no comprender de un modo adecuado la importancia de stos y la forma de realizarlos. Como consecuencia de esto, se ha generado la siguiente problemtica: adquisiciones poco planeadas, desarrollos ineficaces e ineficientes, falta de conciencia de los usuarios acerca de la seguridad de los sistemas de Informacin, utilizacin de copias ilegales de aplicaciones, procedimientos de copias de seguridad deficientes, escasa formacin del personal, falta de documentacin suficiente, etc. Los controles de auditora bsicos que pueden aplicarse en este entorno son los siguientes: Economa, eficacia y eficiencia 1. Determinar si el inventario ofimtico refleja con exactitud los equipos y aplicaciones existentes en la organizacin 2. Determinar y evaluar el procedimiento de adquisiciones de equipos y aplicaciones 3. Determinar y evaluar la poltica de mantenimiento definida en la organizacin 4. Evaluar la calidad de las aplicaciones del entorno ofimtico desarrollada por el personal de la propia organizacin

UNIDAD DE COMPETENCIA I

AUDITORA DE SISTEMAS DE INFORMACIN

5. Evaluar la correccin del procedimiento existente para la realizacin de los cambios de versiones y aplicaciones 6. Determinar si los usuarios cuentan con la suficiente formacin y la documentacin de apoyo necesaria para desarrollar sus tareas de un modo eficaz y eficiente 7. Determinar si el sistema existente se ajusta a las necesidades reales de la organizacin Seguridad 1. Determinar si existen garantas suficientes para proteger los accesos no autorizados a la informacin reservada de la empresa y la integridad de la misma 2. Determinar si el proceso de generacin de copias de respaldo es fiable y garantiza la recuperacin de informacin en caso de necesidad 3. Determinar si est garantizado el funcionamiento ininterrumpido de aquellas aplicaciones cuya cada podra suponer prdidas de la integridad de la informacin y aplicaciones 4. Determinar el grado de exposicin ante la posibilidad de contagio de virus

La Auditora de la Direccin
De manera general, algunas de las actividades bsicas de la direccin son planificar, organizar, coordinar y controlar. 1. Planificar Trata de prever la utilizacin de las TIs e la empresa. Existen varios tipos de planes informticos, siendo el principal el Plan Estratgico de Sistemas de Informacin; de este plan se derivan otros, tales como el Plan Operativo Anual, de Direccin Tecnolgica, de Arquitectura de la Informacin y de Recuperacin de desastres. El Plan Estratgico de Sistemas de Informacin es el marco bsico de actuacin de los SIs en la empresa, por lo que debe asegurarse el alineamiento de los mismos con los objetivos de la empresa. Existen varias metodologas de realizacin de planes, y el auditor debe evaluar si dichas metodologas se estn utilizando y son de utilidad para la empresa. Otros aspectos a evaluar son: Si durante el proceso de planificacin se toma en cuenta el plan estratgico de la empresa, se establecen mecanismos de sincronizacin entre sus grandes hitos y los proyectos informticos asociados y se tiene en cuenta aspectos de cambios organizacionales, entorno legislativo, evolucin tecnolgica, organizacin informtica, recursos, etc. Si se presta la adecuada consideracin a las nuevas TIs, siempre desde el punto de vista de su contribucin a los fines de la empresa y no como experimentacin tecnolgica. Si las tareas presentes en el Plan tienen la correspondiente y adecuada asignacin de recursos para realizarlas, y si los plazos para realizar dichas tareas son realistas en funcin de la situacin actual de la empresa, de la organizacin informtica, del estado de la TI, etc.

UNIDAD DE COMPETENCIA I

AUDITORA DE SISTEMAS DE INFORMACIN

El Plan operativo Anual se establece al inicio de cada ejercicio y debe estar alineado con el plan estratgico, y debe sealar los SI a desarrollar, los cambios tecnolgicos previstos, los recursos y plazos necesarios, etc. El auditor deber evaluar la existencia del plan y su nivel de calidad, as como su alineamiento con el Plan Estratgico, su grado de atencin a las necesidades del usuario, si prev los recursos necesarios para realizar el plan, si los plazos descritos son realistas, etc. 2. Organizar y coordinar El proceso de organizar sirve para estructurar los recursos, flujos de informacin y controles que permitan alcanzar los objetivos marcados durante la planificacin. El auditor debe verificar diversos puntos correspondientes a organizacin y control, entre los cuales se encuentran los siguientes: Que exista el Comit de Informtica (formado por los directivos de las diferentes reas de la empresa) y que cumpla con sus funciones, que seran la aprobacin del Plan Estratgico, de inversiones de TI, de fijar prioridades en los proyectos informticos, dar seguimiento al departamento de informtica. Adems, revisar que los acuerdos son tomados correctamente y que se tomen en cuenta los puntos de vista de todos los representantes de los usuarios. Verificar la posicin del Departamento de Informtica dentro de la empresa y evaluar su independencia frente a los departamentos usuarios. Comprobar que existan descripciones de funciones y responsabilidades documentadas y actualizadas del Departamento de Informtica. Examinar la descripcin de las funciones para evaluar si existe una adecuada separacin de stas, y observar las actividades desempeadas por el personal del departamento para analizar el grado de cumplimiento de las funciones que estn documentadas para cada puesto. Comprobar que existen estndares de funcionamiento y procedimientos que gobiernen la actividad del Departamento de Informtica, as como la documentacin de descripciones de puestos dentro del mismo. De igual forma, se debe evaluar el proceso por el que los estndares, procedimientos y puestos de trabajo son desarrollados, aprobados, distribuidos y actualizados, y verificar que refleja las actividades realizadas en la prctica. Evaluar que la seleccin del personal se base en criterios objetivos y que tiene en cuenta la formacin, experiencia y niveles de responsabilidades anteriores; que exista una evaluacin peridica del rendimiento de cada empleado en base a estndares establecidos y responsabilidades especficas del puesto; la existencia de procesos para determinar las necesidades de capacitacin del personal; que existen procesos para la promocin del personal tomando en cuenta su desempeo profesional; que existen controles que aseguren que un cambio de puesto o la finalizacin de contratos laborales no afectan a los controles internos ni a la seguridad informtica. Evaluar las caractersticas de la comunicacin entre la Direccin de Informtica y el resto del personal del departamento, cuidando aspectos como: actitud positiva hacia los controles, integridad tica, cumplimiento de la normatividad interna, compromiso con la calidad, etc. Verificar la existencia de un presupuesto econmico, de un proceso para elaborarlo y aprobarlo, que dicho proceso est alineado con las polticas y procedimientos de la empresa y con los planes estratgico y operativo del propio departamento. Estudiar las plizas de seguros y evaluar la cobertura existente, analizando si la empresa est suficientemente cubierta o existen huecos en dicha cobertura.

UNIDAD DE COMPETENCIA I

AUDITORA DE SISTEMAS DE INFORMACIN

3. Controlar Se debe vigilar el desarrollo de los planes estratgico y operativo y de los proyectos que los desarrollan, la ejecucin de los presupuestos, la evolucin de la cartera de peticiones pendientes de usuarios, los planes de capacitacin, la evolucin de cargas en los equipos y otros recursos, etc. El auditor debe analizar los procedimientos de seguimiento y control del departamento, los procesos de presupuestacin, as como revisar los planes, proyectos y presupuestos de aos anteriores y del actual para comprobar que son estudiados, que se analizan las desviaciones y se toman las medidas correctivas necesarias.

La Auditora del Desarrollo

La funcin del desarrollo abarca todas las fases que se deben de seguir desde que aparece la necesidad de disponer de un SI hasta que ste es construido e implantado. Incluye todo el ciclo de vida del SW, exceptuando explotacin, mantenimiento y retiro. La auditora de desarrollo trata de verificar la existencia y aplicacin de procedimientos de control adecuados que permitan garantizar que el desarrollo de SI se ha llevado a cabo siguiendo los principios de ingeniera de SW (entendindose por Ingeniera de SW el establecimiento y uso de principios de ingeniera robustos, orientados a obtener SW econmico que sea fiable, cumpla con los requisitos previamente establecidos y funcione de manera eficiente sobre mquinas reales) El rea de desarrollo y, por lo tanto, tambin su auditora, es importante por las siguientes razones: los avances en TI ha hecho que el principal factor de xito en informticas sea mejorar la calidad del SW; el gasto destinado al SW s cada vez mayor; el SW como producto es muy difcil de validar (a mayor control, mejor calidad y menores costos de mantenimiento); el ndice de fracasos en proyectos de desarrollo es demasiado alto; los SI son una herramienta de trabajo esencial para la administracin y toma de decisiones. La auditora se divide en dos grandes reas: auditora de la organizacin y administracin del rea de desarrollo y auditora de proyectos de desarrollo de SI. ISACA(Information Systems Audit and Control Association) propone una metodologa basada en administracin de riesgos, y determina controles para minimizar stos. Algunos de los controles se mencionan a continuacin Auditora de la organizacin y administracin del rea de desarrollo 1. El rea de desarrollo debe tener cometidos asignados dentro del departamento y una organizacin que permita el cumplimiento de los mismos. a. Se deben establecer en forma clara las funciones del rea de desarrollo, por lo que se debe comprobar que: existe un documento que contiene las funciones que corresponden al rea, aprobado por la direccin de informtica y que se respeta. b. Debe especificarse el organigrama con la relacin de puestos del rea, as como del personal y el puesto que cada uno ocupa. Debe existir un procedimiento para la promocin del personal. Se debe comprobar que: existe un organigrama con la estructura organizacional del rea, la descripcin de cada puesto, requisitos mnimos de formacin y experiencia y la dependencia jerrquica; existe un manual de organizacin que regula las relaciones entre puestos; estn establecidos los procedimientos de promocin del personal a puestos superiores, teniendo siempre en cuenta la experiencia y formacin

UNIDAD DE COMPETENCIA I

AUDITORA DE SISTEMAS DE INFORMACIN

c. El rea debe tener y difundir su propio plan a corto, mediano y largo plazo. Se debe comprobar que: El plan existe, es claro y realista; los recursos actuales y los que se planifica se integrarn posteriormente son suficientes para su cumplimiento; se revisa y actualiza peridicamente en funcin de las nuevas situaciones; se difunde a todos los empleados 2. El personal del rea de desarrollo debe contar con la formacin adecuada y estar motivado para realizar su trabajo a. Debe existir un protocolo de recepcin/abandono para las personas que se incorporan o dejan el rea. Se debe comprobar que: el protocolo existe y se respeta para cada incorporacin/abandono; para la incorporacin, incluye al menos los estndares definidos, manual de organizacin del rea, definicin de puestos, etc.; en los abandonos del personal se garantiza la proteccin del rea. b. El personal debe estar motivado en la realizacin de su trabajo. Se debe comprobar que: existe algn mecanismo que permite a los empleados hacer sugerencias sobre mejoras en la organizacin del rea; no existe gran rotacin de personal y hay un buen ambiente de trabajo; el rendimiento del personal no cae por debajo de los mismos y que el absentismo laboral es similar al del resto de la organizacin 3. La propuesta y aprobacin de nuevos proyectos debe realizarse de forma regulada a. Debe existir un procedimiento para la propuesta de realizacin de nuevos proyectos. Debe comprobarse que: existe un mecanismo para registrar necesidades de desarrollo de nuevos SI, con al menos la descripcin de la necesidad, departamento solicitante, riesgos, tiempo, costo de realizacin, ventajas que aporta, adaptacin a los planes del negocio, etc.; se respeta el mecanismo en todas las propuestas b. Debe existir un procedimiento de aprobacin de nuevos proyectos. Se debe comprobar que: hay un procedimiento para estudiar la justificacin y llevar un estudio de viabilidad de cada nuevo proyecto, incluyendo anlisis costobeneficio; estn designadas las reas que decidirn la realizacin y prioridades de nuevos proyectos. 4. El desarrollo de SI debe hacerse aplicando principios de ingeniera de SW ampliamente aceptados a. Debe tenerse implementada una metodologa de desarrollo de SI soportada por herramientas de ayuda (CASE). Debe comprobarse que: la metodologa cubre todas las fases de desarrollo y se adapta a distintos proyectos; la metodologa y tcnicas se adaptan al entorno de TI de la empresa; el personal est capacitado en esta metodologa y su adaptacin; existe un procedimiento que permite determinar en qu proyectos el uso de la herramienta CASE es ventajoso b. Debe existir un mecanismo de creacin y utilizacin de estndares, as como estndares definidos para las actividades principales. Se debe comprobar que: el mecanismo est documentado y se conoce en el rea; hay un estndar para el anlisis y diseo que incluye las tcnicas y herramientas a usar; hay un estndar para la interfaz de usuario, incluyendo diseo de pantallas, reportes, etc. Auditora de proyectos de desarrollo de TI 1. Aprobacin, planificacin y administracin del proyecto Se debe comprobar que: el proyecto de desarrollo est aprobado, definido y planificado formalmente; se haya designado un director de proyecto mediante un procedimiento establecido; el proyecto se ha catalogado, dimensionado y sus riesgos han sido evaluados; exista un mecanismo para la resolucin de los

UNIDAD DE COMPETENCIA I

AUDITORA DE SISTEMAS DE INFORMACIN

2.

3.

4.

5.

problemas que puedan presentarse a lo largo del proyecto, llevndose un registro de cada uno de ellos y de la solucin; exista un control de cambios a todo lo largo del proyecto; exista un procedimiento para dar seguimiento a los tiempos de cada tarea; cuando el proyecto termine que exista documentacin del proyecto, los recursos personales y materiales se pongan a disposicin de otros proyectos. Auditora de la fase de anlisis Se debe comprobar que: existe un grupo de usuarios que sern los responsables de establecer los requisitos del SI; se entreviste a todos los integrantes del grupo de usuarios y responsables de las reas afectadas por el nuevo SI; se ha realizado un modelo fsico del sistema actual, incluyendo entradas y salidas de formacin; se han catalogado los problemas del sistema actual; los requisitos son concretos y cuantificables; existe un procedimiento formal para registrar cambios al SI de parte de los usuarios; que exista un modelo lgico de procesos y un modelo lgico de datos del nuevo sistema, realizados con las tcnicas adecuadas; existe un diccionario de datos actualizado; se ha descrito con suficiente detalle la forma en la que el SI interactuar con los usuarios; se ha elaborado un plan de pruebas de aceptacin del SI Auditora de la fase de diseo Se debe comprobar que: estn definidos todos los elementos que configuran el entorno tecnolgico y se dispone de los elementos seleccionados; los mdulos se disean para poder ser reutilizados por otras aplicaciones; existe un plan de pruebas para verificar los componentes del sistema por separado y del sistema en conjunto; el modelo fsico de datos est hecho adaptando las especificaciones del SI al entorno tecnolgico Auditora de la fase de construccin Se debe comprobar que: los componentes se desarrollen utilizando tcnicas de programacin correctas; se ha programado, probado y documentado cada uno de los componentes; se han realizado pruebas de integracin; al trmino del proyecto los usuarios est capacitados y disponen de los medios para usar el SI; estn definidos los perfiles de usuarios requeridos para la implantacin y explotacin del nuevo sistema Auditora de la fase de implantacin Se debe comprobar que: el sistema ha sido aceptado formalmente antes de ser puesto en explotacin, habindose realizado las pruebas necesarias y evaluado los resultados; se revise el plan de implantacin para adaptarlo a la situacin final del proyecto; adems del SI se han instalado procedimientos auxiliares, tales como copias o recuperacin, y que estn documentados; se ha firmado el documento final de implantacin por parte del usuario; exista un mecanismo de mantenimiento, que incluya tiempos de respuesta mximos ante mal funcionamiento

La Auditora de Base de Datos

La gran difusin de los Sistemas Administradores de Bases de Datos (DBMS Database Management Systems) y la identificacin de los datos como uno de los recursos fundamentales de las empresas, ha hecho que la auditora y control interno de esta rea cobre mayor inters Algunos de los objetivos y tcnicas de control propuestos por ISACA(Information Systems Audit and Control Association), basados en el ciclo de vida de una BD son los siguientes

UNIDAD DE COMPETENCIA I

10

AUDITORA DE SISTEMAS DE INFORMACIN

1. Estudio previo y plan de trabajo Se debe verificar que: se ha realizado un estudio tecnolgico de viabilidad en el cual se contemplen varias alternativas para alcanzar los objetivos del proyecto, as como anlisis costo-beneficio para cada una de ellas; la alta direccin revisa los estudios y toma la decisin de seguir o no con el proyecto; existe un plan para administrar el proyecto y se sigue; se designa un administrador de la BD. 2. Concepcin de la BD y seleccin del equipo Se debe comprobar que: la metodologa de diseo es aceptable y se utiliza adecuadamente; que existan niveles de seguridad para las diversas clasificaciones de datos; que el equipo se seleccione de acuerdo a un procedimiento riguroso que considere las necesidades de la empresa y los beneficios de los distintos DBMS candidatos, as como el impacto del nuevo SW en el sistema y su seguridad. 3. Diseo y carga Se debe comprobar que: los diseos lgicos y fsicos se realicen correctamente; la definicin de datos incluye asociaciones y restricciones oportunas, especificaciones de almacenamiento y cuestiones relativas a la seguridad; la carga de datos ha sido planificada para evitar prdida de informacin; se realizan pruebas en paralelo y se aplica un control estricto de errores; los datos se validen y corrijan lo ms cerca del punto de origen posible 4. Explotacin y mantenimiento Se debe comprobar que: se establecen procedimientos de explotacin y mantenimiento que aseguran que los datos se tratan de forma congruente y exacta y que el contenido de los sistemas se modifica slo con la autorizacin adecuada; se realiza un proceso de ajuste (tuning) y optimizacin adecuados 5. Revisin post-implantacin Se debe evaluar si: se han conseguido los resultados esperados; se satisfacen las necesidades del usuario; los costos y beneficios coinciden con los previstos; Es requisito para la auditora de un DBMS que la causa y efecto de todos los cambios de la BD sean verificables, por lo que se debe verificar que se utilicen las herramientas proporcionadas por el propio DBMS y las polticas y procedimientos que sobre su utilizacin haya definido el administrador.

La Auditora de Redes
Todos los sistemas de comunicacin, desde el punto de vista de auditora, presentan una problemtica comn: la informacin transita por lugares fsicamente alejados de las personas responsables. Esto presupone un compromiso en seguridad, ya que no existen procedimientos fsicos para garantizar la inviolabilidad de la informacin. En las redes, por causas propias de la tecnologa, pueden producirse bsicamente tres tipos de incidencias: alteracin de bits, ausencia de tramas y alteracin de la secuencia. Los tres mayores riesgos a controlar son la indagacin (un tercero puede leer la informacin), suplantacin (un tercero introduce un mensaje falso que el receptor cree proviene del emisor legtimo) y la modificacin (un tercero altera el contenido de un mensaje) El primer punto de una auditora de comunicaciones es determinar que la funcin de administracin de redes y comunicaciones est claramente definida, y que exista (entre otros): una gerencia de comunicaciones con autoridad para establecer procedimientos y polticas; procedimientos y registros de inventarios y cambios; funciones de vigilancia y uso de la red, ajustes a rendimientos, registro de incidencias

UNIDAD DE COMPETENCIA I

11

AUDITORA DE SISTEMAS DE INFORMACIN

y resolucin de problemas; procedimientos para el seguimiento al costo de las comunicaciones y su adecuada distribucin a las reas adecuadas; monitoreo de uso de la red para realizar mejoras en rendimiento; planes de comunicacin a largo y corto plazo, incluyendo estrategias de comunicaciones de voz y datos; normas para el tipo de equipo que puede ser instalado en la red; procedimientos de autorizacin para conectar nuevos equipos a la red En la auditora de la red fsica debe analizarse hasta qu punto las instalaciones fsicas de los edificios ofrecen garantas y han sido estudiadas las vulnerabilidades existentes. Debe comprobarse que los accesos fsicos desde el exterior han sido registrados y que desde el interior del edificio no se intercepte fsicamente el cableado. En caso de desastres debe poder comprobarse cul es la parte del cableado que puedes seguir funcionando y qu actividad puede soportar. Algunos de los objetivos de control de esta rea son los siguientes, los cuales deben asegurar la existencia de: reas controladas para los equipos de comunicaciones para prevenir accesos no autorizados; proteccin y tendido adecuado de cables y lneas de comunicaciones para evitar accesos fsicos; controles de utilizacin y monitoreo de la red y su trfico; controles especficos en caso de que se utilicen lneas telefnicas con acceso a red de datos para prevenir accesos no autorizados. En el aspecto lgico, es necesario monitorear la red, revisar errores que se producen y tener establecidos procedimientos para detectar y aislar equipos que presenten comportamiento inadecuado. Como objetivos de control, se debe marcar la existencia de: contraseas y otros procedimientos para limitar y detectar cualquier intento no autorizado a la red; facilidades de control de errores para detectar errores de transmisin y establecer las retransmisiones apropiadas; controles para asegurar que las transmisiones van solamente a usuarios autorizados; registro de la actividad de la red para ayudar a reconstruir incidencias y detener accesos no autorizados; tcnicas de cifrado de datos donde existan riesgos de accesos no autorizados a transmisiones confidenciales; pruebas peridicas donde se simulen ataques para descubrir vulnerabilidades, documentando los resultados y corrigiendo las deficiencias encontradas.

La Auditora de Aplicaciones
Las aplicaciones en funcionamiento se auditan para verificar el grado de cumplimiento de los objetivos para los que fueron creadas. Algunas de las herramientas de uso ms comn en la auditora de una aplicacin son: Entrevistas. Se realiza al personal que utiliza el sistema y que puede aportar ms al propsito pretendido. Se debe elaborar un guin previo de temas y apartados a tratar para no dejar por fuera ningn asunto de inters. Durante el desarrollo de la entrevista el auditor tomar las anotaciones imprescindibles Encuestas. Son de utilidad para ayudar a determinar el alcance y objetivos de la auditora as como para materializar los objetivos relacionados con el nivel de satisfaccin de los usuarios. Se debe preparar un cuestionario que pueda ser contestado rpidamente, y que exista un espacio para observaciones. Observacin del trabajo realizado por los usuarios. Es conveniente observar cmo un usuario hace uso de las transacciones ms significativas por su volumen o riesgo, lo que puede ayudar a detectar que aunque existan controles establecidos efectivos, la eficiencia no est en un nivel ptimo debido a vicios o

UNIDAD DE COMPETENCIA I

12

AUDITORA DE SISTEMAS DE INFORMACIN

carencias de los usuarios debidos a falta de formacin, o porque se necesita mejorar el diseo para aumentar agilidad y productividad al usar la aplicacin Pruebas de conformidad. Comprobar que determinados procedimientos, normas o controles internos se cumplen y funcionan de acuerdo a lo previsto y esperado. Se deben inspeccionar resultados producidos (registros, documentos, etc) y observacin directa del funcionamiento de un control ante pruebas especficas de su funcionamiento. Pruebas sustantivas o de validacin. Orientadas a detectar la presencia o ausencia de errores o irregularidades en procesos, actividades, transacciones o controles internos integrados en ellos.

Las etapas de esta auditora son: 1. Recogida de planeacin y documentacin sobre la aplicacin Se realiza un estudio preliminar para obtener un conocimiento bsico de la aplicacin, recogiendo la informacin que permita determinar puntos dbiles y funciones que pudieran representar riesgos. Se debe: conocer la organizacin y procedimientos de los servicios que utilizan la aplicacin; describir el entorno en el que se desarrolla la aplicacin; entender el entorno de SW bsico de la aplicacin, as como su arquitectura y caractersticas lgicas; conocer las condiciones de explotacin y riesgos que pueden presentarse; conocer condiciones de seguridad, etc. 2. Determinacin de los objetivos y alcances de la auditora Se debe conseguir una gran claridad y precisin en la definicin de los objetivos y del trabajo y pruebas que se propone realizar, delimitando el alcance para que no existan dudas de interpretacin. Esto incluye la planificacin de trabajo y tiempo a emplear, las herramientas y mtodos a utilizar, el programa de trabajo detallado, etc. 3. Planificacin de la auditora. Debe cuidarse el momento en el que se va a hacer, no debe ser cuando se acabe de implementar ya que los usuarios no dominan an la aplicacin, pero no debe esperarse demasiado tiempo para no exponerse a riesgos que pueden y deben ser reducidos como resultado de la auditora. Se pueden manejar perodos de 4 a 8 meses despus de la implementacin. 4. Trabajo de campo, informe e implantacin de mejoras. El trabajo de campo consiste en la ejecucin del programa de trabajo establecido. En la redaccin del informe se recogen las caractersticas del trabajo realizado, sus conclusiones y recomendaciones o propuestas de mejora. En la implantacin de mejoras identificadas se tiene el reto de que la empresa auditada implante las recomendaciones que se hicieron en el informe.

La Auditora de Mantenimiento
Varios estudios revelan que la etapa de mantenimiento consume la mayor parte de los recursos empelados en un proceso de SW, por lo que la auditora de esta rea es muy importante. La mantenibilidad es un factor crtico en el estudio de la auditora de mantenimiento, y se define como el factor de calidad que engloba todas aquellas caractersticas del SW destinadas a hacer que el producto sea ms fcilmente mantenible y, en consecuencia, a conseguir una mayor productividad durante la etapa de mantenimiento.

UNIDAD DE COMPETENCIA I

13

AUDITORA DE SISTEMAS DE INFORMACIN

Existen diferentes listas de comprobacin para realizar una auditora. Se pueden identificar cinco enfoques hacia los cuales se pueden orientar las preguntas de dichas listas: Se han tenido en cuenta las implicaciones laterales asociadas al cambio? Se han tenido en cuenta los aspectos documentales en cuanto a evaluar y aprobar la peticin de cambios? Se ha documentado el cambio, una vez realizado y procedindose a dar informacin a todos los implicados en el proceso? En cuanto a las revisiones tcnicas formales, se han realizado las adecuadas? Se ha hecho una revisin de aceptacin final para asegurar que toda la arquitectura de SW fue actualizada y probada y se procedi a los cambios adecuadamente?

La Auditora de la Seguridad
Para muchos la seguridad sigue siendo el rea principal a auditar, hasta el punto de que en algunas entidades se cre inicialmente la funcin de auditora informtica para revisar la seguridad, aunque despus se hayan ido ampliando los objetivos. Cada da es mayor la importancia de la informacin, especialmente relacionada con sistemas basados en el uso de tecnologa de informacin y comunicaciones, por lo que el impacto de las fallas, los accesos no autorizados, la revelacin de la informacin, entre otros problemas, tienen un impacto mucho mayor que hace algunos aos. reas que puede cubrir la auditora de seguridad En la auditora de otras reas pueden tambin surgir revisiones solapadas con la seguridad; as a la hora de revisar el desarrollo se ver si se realiza en un entorno seguro, etc. Los controles directivos. Son los fundamentos de la seguridad: polticas, planes, funciones, objetivos de control, presupuesto, as como si existen sistemas y mtodos de evaluacin peridica de riesgos. El desarrollo de las polticas. Procedimientos, posibles estndares, normas y guas. Amenazas fsicas externas. Inundaciones, incendios, explosiones, corte de lneas o suministros, terremotos, terrorismo, huelgas se considera: la ubicacin del centro de procesos, de los servidores, PCs, computadoras porttiles (incluso fuera de las oficinas); estructura, diseo, construccin y distribucin de edificios; amenazas de fuego, riesgos por agua, por accidentes atmosfricos; contenido en paquetes }, bolsos o carteras que se introducen o salen de los edificios; visitas, clientes, proveedores, contratados; proteccin de los soportes magnticos en cuanto a acceso, almacenamiento y transporte. Control de accesos adecuado. Tanto fsicos como lgicos, que se realicen slo las operaciones permitidas al usuario: lectura, variacin, ejecucin, borrado y copia, y quedando las pistas necesarias para el control y la auditora. Uso de contraseas, cifrado de las mismas, situaciones de bloqueo. Proteccin de datos. Origen del dato, proceso, salida de los datos. Comunicaciones y redes. Topologa y tipo de comunicaciones, posible uso de cifrado, protecciones ante virus. Tipos de transacciones. Proteccin de conversaciones de voz en caso necesario, proteccin de transmisiones por fax para contenidos clasificados. Internet e Intranet, correo electrnico, control sobre pginas web, as como el comercio electrnico. El entorno de produccin. Cumplimiento de contratos, outsourcing.

UNIDAD DE COMPETENCIA I

14

AUDITORA DE SISTEMAS DE INFORMACIN

El desarrollo de aplicaciones en un entorno seguro, y que se incorporen controles en los productos desarrollados y que stos resulten auditables. Con el uso de licencias (de los programas utilizados). La continuidad de las operaciones. Planes de contingencia o de Continuidad.

No se trata de reas no relacionadas, sino que casi todas tienen puntos de enlace comunes: comunicaciones con control de accesos, cifrado con comunicaciones, etc.

Evaluacin de riesgos
Se trata de identificar riesgos, cuantificar su probabilidad e impacto y analizar medidas que los eliminen o que disminuyan la probabilidad de que ocurran los hechos o mitiguen el impacto. Para evaluarlos hay que considerar el tipo de informacin almacenada, procesada y transmitida, la criticidad de las operaciones, la tecnologa usada, el marco legal aplicable, el sector de la entidad, la entidad misma y el momento. Los riesgos pueden disminuirse (generalmente no pueden eliminarse), transferirse o asumirse.
Fuente:

PIATTINI, Mario y Emilio del Peso. Auditora Informtica. Un enfoque prctico. Editorial RA-MA.

UNIDAD DE COMPETENCIA I

15