www.monografias.com
Auditoria de Sistemas 1. Introducción 2. El problema de investigación 3. Bases teóricas 4. Auditoría de Sistemas en el contexto del centro de comunicaciones 5. Conclusión 6. Bibliografia
INTR!"CCIN Los Sistemas Informáticos se han constituido en las herramientas más poderosas para materializar uno de los conceptos más vitales necesarios para cual!uier organizaci"n empresarial# los Sistemas de Informaci"n de la empresa. La Informática ho# está su$sumida en la gesti"n integral de la empresa# por eso las normas estándares propiamente informáticos de$en estar# por lo tanto# sometidos a los generales de la mism misma. a. %n cons consec ecue uenc ncia ia## las las orga organi niza zacio cione ness infor informá mátitica cass form forman an part parte e de lo !ue !ue se ha denominado la gesti"n de la empresa. &a$e aclarar !ue la Informática no gestiona propiamente la empresa# auda a la toma de decisiones# pero no decide por s' misma. (or ende# de$ido a su importancia en el funcionamiento de una empresa# e)iste la auditoria Informática. %l t*rmino de +uditoria se ha empleado incorrectamente con frecuencia a !ue se ha considerado como una evaluaci"n cuo ,nico fin es detectar errores se-alar fallas. + causa de esto# se ha tomado la frase /iene +uditoria como sin"nimo de !ue# en dicha entidad# antes de realizarse la auditoria# a se ha$'an detectado fallas. %l concepto de auditoria es mucho más !ue esto. La pala$ra auditoria proviene del lat'n auditorius# de esta proviene la pala$ra auditor# !ue se refiere a todo a!uel !ue tiene la virtud de o'r. (or otra parte# tam$i*n se define como0 evisor de &uentas colegiado. %n un principio esta definici"n definici"n carece de la e)plicaci"n del o$2etivo o$2etivo fundamental fundamental !ue persigue persigue todo auditor0 auditor0 evaluar la eficiencia eficacia. La auditoria no es una actividad meramente mecánica !ue impli!ue la aplicaci"n de ciertos procedimientos cuos resultados# una vez llevado a ca$o son de carácter induda$le# de esta manera es definido el termino auditor seg,n las ormas de auditoria del Instituto me)icano de contadores. La auditoria es un e)amen# !ue no implica la pree)istencia de fallas en la entidad auditada !ue persigue el fin de evaluar me2orar la eficacia eficiencia de una secci"n o de un organismo. %l auditor informático ha de velar por la correcta utilizaci"n de los amplios recursos !ue la empresa pone en 2uego para disponer de un eficiente eficaz sistema de informaci"n. &laro está# !ue para la realizaci"n de una auditoria informática eficaz# se de$e entender a la empresa en su más amplio sentido# a !ue una universidad# un ministerio o un hospital son tan empresas como una sociedad an"nima o empresa (,$lica# al igual !ue en este caso# un &entro de &omunicaciones# no importa al sector al cual pertenezca el ente !ue va a ser auditado sea pu$lico o privado# am$os utilizan la informática para gestionar sus negocios de forma rápida eficiente# con el fin de o$tener $eneficios econ"micos reducci"n de costes. (or eso# al igual !ue los demás "rganos de la empresa alances &uentas# /arifas# Sueldos# etc.7# los Sistemas Informáticos están sometidos al control correspondiente# o al menos de$er'a estarlo. CA#IT"$ I% E$ #RB$E&A !E IN'ESTI(ACI)N Auditoria de Sistemas *+*+, #$ANTEA&IENT !E$ #RB$E&A
%l avance de la informática# los sistemas# las telecomunicaciones# otras aplicaciones de tecnolog'a# han permitido a la sociedad moderna a trav*s de entes p,$licos privados desarrollarse rápidamente# en todos los ám$itos sentidos# en especial hará *nfasis en el desarrollo de los negocios# el cual cua l esta 'ntimamente relacionado con la tecnolog'a de informaci"n# a su permitido la evoluci"n en la forma de llevar los procesos. 8icha tecnolog'a# ha permitido !ue los sistemas informáticos est*n sometidos al control correspondiente. La importancia de llevar un control de esta herramienta se puede deducir de varios aspectos. 9e a!u' algunos0 Las computadoras los centros de proceso de datos se convirtieron en $lancos apeteci$les no solo para el espiona2e# sino para la delincuencia el terrorismo delitos informáticos otros7. Las computadoras creadas para procesar difundir resultados o informaci"n ela$orada pueden producir resultados o informaci"n err"nea si dichos datos son# a su vez# err"neos. %ste concepto o$vio es a veces olvidado po r las mismas empresas !ue terminan perdiendo de vista la naturaleza cali dad de los datos de entrada a sus sistemas informáticos# con la posi$ilidad de !ue se provo!ue un efecto cascada afecte a aplicaciones independientes. :n sistema informático mal dise-ado puede convertirse en una herramienta mu peligrosa para la empresa0 como las ma!uinas o$edecen cie gamente a las "rdenes reci$idas la modelizaci"n de la empresa está determinada por las computadoras !ue materializan los sistemas de informaci"n# la gesti"n l a organizaci"n de la empresa no puede depender de un software hardware mal d ise-ados. %l desarrollo de este informe será enfocado a un &entro de &omunicaciones# el cual se divide en dos am$ientes# el área de navegaci"n internet7 el área de telefon'a# La auditoria de sistemas# permite mostrar las de$ilidades las fortalezas de esta empresa# con respecto a los controles !ue se est*n empleando# a los sistemas procedimientos de la informática# los e!uipos de c"mputo !ue se emplean# su utilizaci"n# eficiencia seguridad. (ara ello se realiza una i nspecci"n pormenorizada de los sistemas de informaci"n# desde sus entradas# procedimientos# comunicaci"n# controles# archivos# seguridad# personal o$tenci"n de la informaci"n# ca$e recalcar !ue# la auditoria inicia su actividad cuando los sistemas están operativos el principal o$2etivo es el de mantener tal como esta la situaci"n para comenzar el levantamiento de informaci"n. (osteriormente la auditoria generara un informe# para !ue las de$il idades !ue son detectadas# sean corregidas se esta$lecen nuevos m*todos de prevenci"n con el fin de me2orar los procesos# aumentar la confia$ilidad en lo s sistemas reducir los riesgos. *+-+, b.etivos del Informe *+-+*+, b.etivo (eneral 8eterminar las posi$les vulnera$ilidades del sistema plataforma tecnol"gicas utilizadas en el centro de comunicaciones# con el fin de hacer las recomendaciones !ue dieran lugar. *+-+-+, b.etivos Específicos Incrementar la satisfacci"n de los usuarios de los sistemas computarizados. +segurar una maor integridad# confidencialidad confia$ilidad de la informaci"n informaci"n mediante la recomendaci"n de seguridades controles. &onocer la situaci"n actual del área de navegaci"n del área de telefon'a del &entro de &omunicaciones# as' como tam$i*n# las actividades !ue se desarrollan los esfuerzos !ue se realizan para lograr los o$2etivos propuestos en dicha empresa. educir riesgos aumentar los controles. Seguridad# utilidad# confianza# privacidad disponi$ilidad en el am$iente informático. &apacitaci"n educaci"n so$re controles en los sistemas de informaci"n. •
•
•
•
• •
•
• • •
BASES TERICAS Auditoria La auditoria nace como un "rgano de control de algunas instituciones estatales privadas. Su funci"n inicial es estrictamente econ"mico;financiera. La funci"n auditora de$e ser a$solutamente independiente< no tiene carácter e2ecutivo# ni son vinculantes sus conclusiones. =ueda a cargo de la empresa tomar las decisiones pertinentes. La
auditoria contiene elementos de análisis# de verificaci"n de e)posici"n de de$ilidades disfunciones. +un!ue pueden aparecer sugerencias planes de acci"n para eliminar las disfunciones de$ilidades antedichas< estas sugerencias plasmadas en el Informe final reci$en el nom$re de ecomendaciones. Las funciones de análisis revisi"n !ue el auditor informático realiza# puede chocar con la psicolog'a del auditado# a !ue es un informático tiene la necesidad de realizar sus tareas con racionalidad eficiencia. La reticencia del auditado es comprensi$le # en ocasiones# fundada. %l nivel t*cnico del auditor es a veces insuficiente# dada la gran comple2idad de los Sistemas# unidos a los plazos demasiado $reves de los !ue suelen disponer para realizar su tarea. +demás del che!ueo de los Sistemas# el auditor somete al auditado a una serie de cuestionario. 8ichos cuestionarios# llamados &hec> List# son guardados celo samente por las empresas auditoras# a !ue son activos importantes de su actividad. Las &hec> List tienen !ue ser comprendidas por el auditor al pie de la letra# a !ue si son mal aplicadas mal recitadas se pueden llegar a o$tener resultados distintos a l os esperados por la empresa auditora. La &hec> List puede llegar a e)plicar c"mo ocurren los hechos pero no por !u* ocurren. %l cuestionario de$e estar su$ordinado a la regla# a la norma# al m*todo. S"lo una metodolog'a precisa puede desentra-ar las causas por las cuales se realizan actividades te"ricamente inadecuadas o se omiten otras correctas. %l auditor s"lo puede emitir un 2uicio glo$al o parcial $asado en hechos situaciones incontroverti$les# careciendo de poder para modificar la situaci"n analizada por *l mismo. Auditoria Interna / Auditoria Externa La auditoria interna es la realizada con recursos materiales personas !ue pertenecen a la empresa auditada. Los empleados !ue realizan esta tarea son remunerados econ"micamente. La auditoria interna e)iste por e)presa decisi"n de la %mpresa# o sea# !ue puede optar por su disoluci"n en cual!uier momento. (or otro lado# la auditoria e)terna es realizada por personas afines a la empresa auditada< es siempre remunerada. Se presupone una maor o$2etividad !ue en la +uditoria Interna# de$ido al maor distanciamiento entre auditores auditados. La auditoria informática interna cuenta con algunas venta2as adicionales mu importantes respecto de la auditoria e)terna# las cuales no son tan percepti$les como en las auditorias convencionales. La auditoria interna tiene la venta2a de !ue puede actuar peri"dicamente realizando evisiones glo$ales# como parte de su (lan +nual de su actividad normal. Los auditados conocen estos planes se ha$it,an a las +uditorias# especialmente cuando las consecuencias de las ecomendaciones ha$idas $enefician su tra$a2o. %n una empresa# los responsa$les de Informática escuchan# orientan e informan so$re las posi$ilidades t*cnicas los costes de tal Sistema. &on voz# pero a menudo sin voto# Informática trata de satisfacer lo más adecuadamente posi$le a!uellas necesidades. La empresa necesita controlar su Informática *sta necesita !ue su propia gesti"n est* sometida a los mismos (rocedimientos estándares !ue el resto de a!uella. La con2unci"n de am$as necesidades cristaliza en la figura del auditor interno informático. %n cuanto a empresas se refiere# solamente las más grandes p ueden poseer una auditoria propia permanente# mientras !ue el resto acuden a las auditorias e )ternas. (uede ser !ue alg,n profesional informático sea trasladado desde su puesto de tra$a2o a la auditoria interna de la empresa cuando *sta e)iste. ?inalmente# la propia Informática re!uiere de su propio grupo de control interno# con implantaci"n f'sica en su estructura# puesto !ue si se u$icase dentro de la estructura Informática a no ser'a independiente. 9o# a e)isten varias organizaciones informáticas dentro de la misma empresa# con diverso grado d e autonom'a# !ue son coordinadas por "rganos corporativos de Sistemas de Informaci"n de las %mpresas. :na empresa o instituci"n !ue posee auditoria interna puede de$e en ocasiones contratar servicios de auditoria e)terna. Las razones para hacerlo suelen ser0 ecesidad de auditar una materia de gran especializaci"n# para la cual los servicios propios no están suficientemente capacitados. &ontrastar alg,n Informe interno con el !ue resulte del e)terno# en a!uello s supuestos de emisi"n interna de graves recomendaciones !ue chocan con la opini"n generalizada de la propia empresa. •
•
Servir como mecanismo protector de posi$les auditorias informáticas e)ternas decretadas por la misma empresa. +un!ue la auditoria interna sea independiente del 8epartamento de Sistemas# sigue siendo la misma empresa# por lo tanto# es necesario !ue se le realicen auditorias e)ternas como para tener una visi"n desde afuera de la empresa. La auditoria informática# tanto e)terna como interna# de$e ser una actividad e)enta de cual!uier contenido o matiz pol'tico a2eno a la propia estrategia pol'tica general de la empresa. La funci"n auditora puede actuar de oficio# por iniciativa del propio "rgano# o a instancias de parte# esto es# por encargo de la direcci"n o cliente. Alcance de la Auditoria Inform0tica %l alcance ha de definir con precisi"n el entorno los l'mites en !ue va a desarrollarse la auditoria informática# se complementa con los o$2etivos de *sta. %l alcance ha de figurar e)presamente en el Informe ?inal# de modo !ue !uede perfectamente determinado no solamente hasta !ue puntos se ha llegado# sino cuales materias fronterizas han sido omitidas. Características de la Auditoria Inform0tica La informaci"n de la empresa para la empresa# siempre importante# se ha convertido en un +ctivo eal de la misma# como sus stoc>s o materias primas si las ha. (or ende# han de realizarse inversiones informáticas# materia de la !ue se ocupa la +uditoria de Inversi"n Informática. 8el mismo modo# los Sistemas Informáticos han de protegerse de modo glo$al particular0 a ello se de$e la e)istencia de la auditoria de seguridad informática en general# o a la auditoria de seguridad de alguna de sus áreas# como pudieran ser desarrollo o t*cnica de sistemas. &uando se producen cam$ios estructurales en la Informática# se reorganiza de alguna forma su funci"n0 se está en el campo de la auditoria de @rganizaci"n Informática. %stos tres tipos de auditorias englo$an a las actividades auditoras !ue se realizan en una auditoria parcial. 8e otra manera0 cuando se realiza una auditoria del área de 8esarrollo de (roectos de la Informática de una empresa# es por!ue en ese 8esarrollo e)isten# además de ineficiencias# de$ilidades de organizaci"n# o de inversiones# o de seguridad# o alguna mezcla de ellas. S'ntomas de ecesidad de una auditoria informática0 Las empresas acuden a las auditorias e)ternas cuando e )isten s'ntomas $ien percepti$les de de$ilidad. %stos s'ntomas pueden agruparse en clases0 S'ntomas de descoordinaci"n desorganizaci"n0 ; o coinciden los o$2etivos de la Informática de la &ompa-'a de la propia &ompa-'a. ; Los estándares de productividad se desv'an sensi$lemente de l os promedios conseguidos ha$itualmente. (uede ocurrir con alg,n cam$io masivo de personal# o en una reestructuraci"n fallida de alguna área o en la modificaci"n de alguna orma importante S'ntomas de mala imagen e insatisfacci"n de los usuarios0 ; o se atienden las peticiones de cam$ios de los usuarios. ; o se reparan las aver'as de 9ardware ni se resuelven incidencias en plazos razona$les. %l usuario perci$e !ue está a$andonado desatendido pe rmanentemente. ; o se cumplen en todos los casos los plazos de entrega de resultados peri"dicos. (e!ue-as desviaciones pueden causar importantes desa2ustes en la actividad del usuario# en especial en los resultados de +plicaciones cr'ticas sensi$les. S'ntomas de de$ilidades econ"mico;financiero0 ; Incremento desmesurado de costes. ; ecesidad de 2ustificaci"n de Inversiones Informáticas la empresa no e stá a$solutamente convencida de tal necesidad decide contrastar opiniones7. ; 8esviaciones (resupuestarias significativas. ; &ostes plazos de nuevos proectos de$en auditarse simultáneamente a 8esarrollo de (roectos al "rgano !ue realiz" la petici"n7. S'ntomas de Inseguridad0 %valuaci"n de nivel de riesgos ; Seguridad L"gica ; Seguridad ?'sica ; &onfidencialidad •
•
•
•
•
•
Los datos son propiedad inicialmente de l a organizaci"n !ue los genera. Los datos de personal son especialmente confidenciales. ; &ontinuidad del Servicio. %s un concepto a,n más importante !ue la Seguridad. %sta$lece l as estrategias de continuidad entre fallos mediante (lanes de &ontingencia /otales Locales ; &entro de (roceso de 8atos fuera de control. Si tal situaci"n llegara a perci$irse# ser'a prácticamente in,til la auditoria. %sa es la raz"n por la cual# en este caso# el s'ntoma de$e ser sustituido por el m'nimo indicio. (lanes de &ontingencia0 Si se produce la inoperancia de sistemas en la empresa principal# se utilizar'a el $ac>up para seguir operando en las oficinas paralelas. Los $ac>ups se pueden acumular durante dos meses# o el tiempo !ue estipule la empresa# despu*s se van reciclando. •
Tipos / clases de auditorias %l departamento de Informática posee una actividad proectada al e)terior# al usuario# aun!ue el e)terior siga siendo la misma empresa. 9e a !u'# la auditoria Informática de :suario. Se hace esta distinci"n para contraponerla a la informática interna# en donde se hace la informática cotidiana real. %n consecuencia# e)iste una auditoria Informática de actividades internas. %l control del funcionamiento del departamento de informática con e l e)terior# con el usuario se realiza por medio de la 8irecci"n. Su figura es importante# en tanto en cuanto es capaz de interpretar las necesidades de la &ompa-'a. :na informática eficiente eficaz re!uiere el apoo continuado de su 8irecci"n frente al e)terior. evisar estas interrelaciones constitue el o$2eto de la auditoria Informática de 8irecci"n. %stas tres auditorias# mas la auditoria de Seguridad# son las cuatro áreas Aenerales de la auditoria Informática más importantes. 8entro de las áreas generales# se esta$lecen la s siguientes divisiones de +uditoria Informática0 de %)plotaci"n# de Sistemas# de &omunicaciones de 8 esarrollo de (roectos. %stas son las Breas %specificas de la +uditoria Informática más importantes. 1reas 1reas (enerales Específicas Interna 8irecci"n :suario Seguridad %)plotaci"n 8esarrollo Sistemas &omunicaciones Seguridad &ada área espec'fica puede ser auditada desde lo s siguientes criterios generales0 8esde su propio funcionamiento interno. 8esde el apoo !ue reci$e de la 8irecci"n # en sentido ascendente# del grado de cumplimiento de las directrices de *sta. 8esde la perspectiva de los usuarios# destinatarios reales de la informática. 8esde el punto de vista de la seguridad !ue ofrece la Informática en general o la rama auditada. %stas com$inaciones pueden ser ampliadas reducidas seg,n las caracter'sticas de la empresa auditada. b.etivo fundamental de la auditoria inform0tica peratividad La operatividad es una funci"n de m'nimos consistente en !ue la organizaci"n las ma!uinas funcionen# si!uiera m'nimamente. o es admisi$le detener la ma!uinaria i nformática para descu$rir sus fallos comenzar de nuevo. La auditoria de$e iniciar su actividad cuando los Sistemas están • •
• •
operativos# es el principal o$2etivo el de mantener tal situaci"n. /al o$2etivo de$e conseguirse tanto a nivel glo$al como parcial. La operatividad de los Sistemas ha de constituir entonces la principal preocupaci"n del auditor informático. (ara conseguirla ha !ue acudir a la realizaci"n de &ontroles /*cnicos Aenerales de @peratividad &ontroles /*cnicos %spec'ficos de @peratividad# previos a cual!uier actividad de a!uel. Los &ontroles /*cnicos Aenerales son los !ue se realizan para verificar la compati$ilidad de funcionamiento simultáneo del Sistema @perativo el Software de $ase con todos los su$sistemas e)istentes# as' como la compati$ilidad del 9ardware del Software instalados. %stos controles son importantes en las instalaciones !ue cuentan con varios competidores# de$ido a !ue la profusi"n de entornos de tra$a2o mu diferenciados o$liga a la contrataci"n de diversos productos de Software $ásico# con el consiguiente riesgo de a$onar más de una vez el mismo producto o desaprovechar parte del Software a$onado. (uede ocurrir tam$i*n con los productos de Software $ásico desarrollados por el personal de Sistemas Interno# so$re todo cuando los diversos e!uipos están u$icados en &entros de (roceso de 8atos geográficamente ale2ados. Lo negativo de esta situaci"n es !ue puede producir la inoperatividad del con2unto. &ada &entro de (roceso de 8atos tal vez sea operativo tra$a2ando independientemente# pero no será posi$le la intercone)i"n e intercomunicaci"n de todos los &entros de (roceso de 8a tos si no e)isten productos comunes compati$les. Los &ontroles /*cnicos %spec'ficos# de modo menos acusado# son igualmente necesarios para lograr la @peratividad de los S istemas. :n e2emplo de lo !ue se puede encontrar mal son parámetros de asignaci"n automática de espacio en disco !ue dificulten o impidan su utilizaci"n posterior por una Secci"n distinta de la !ue lo gener". /am$i*n# los periodos de retenci"n de ficheros comunes a varias +plicaciones pueden estar definidos con distintos plazos en cada una de ellas# de modo !ue la p*rdida de informaci"n es un hecho !ue podrá producirse con facilidad# !uedando inoperativa la e)plotaci"n de alguna de las +plicaciones mencionadas. •
•
•
Revisión de Controles de la (estión Inform0tica :na vez conseguida la @peratividad de los Sistemas# el segundo o$2etivo de la auditoria es la verificaci"n de la o$servancia de las normas te"ricamente e)istentes en el departamento de Informática su coherencia con las del resto de la empresa. (ara ello# ha$rán de revisarse sucesivamente en este orden0 1. Las ormas Aenerales de la Instalaci"n Informática. Se realizará una revisi"n inicial sin estudiar a fondo las contradicciones !ue pudieran e)istir# pero registrando las áreas !ue carezcan de normativa# so$re todo verificando !ue esta ormativa Aeneral Informática no está en contradicci"n con alguna orma Aeneral no informática de la empresa. C. Los (rocedimientos Aenerales Informáticos. Se verificará su e)istencia# al menos en los sectores más importantes. (or e2emplo# la recepci"n definitiva de las má!uinas de$er'a estar firmada por los responsa$les de %)plotaci"n. /ampoco el alta de una nueva +plicaci"n podr'a producirse si no e)istieran los (rocedimientos de ac>up ecuperaci"n correspondientes. 3. Los (rocedimientos %spec'ficos Informáticos. Igualmente# se revisara su e)istencia en las áreas fundamentales. +s'# %)plotaci"n no de$er'a e)plotar una +plicaci"n sin ha$er e)igido a 8esarrollo la pertinente documentaci"n. 8el mismo modo# de$erá compro$arse !ue los (rocedimientos %spec'ficos no se opongan a los ( rocedimientos Aenerales. %n todos los casos anteriores# a su vez# de$erá verificarse !ue no e)iste contradicci"n alguna con la ormativa los (rocedimientos Aenerales de la propia empresa# a los !ue la Informática de$e estar sometida. Auditoria Inform0tica de Explotación La %)plotaci"n Informática se ocupa de producir resultados informáticos de todo tipo0 l istados impresos# ficheros soportados magn*ticamente para otros informáticos# ordenes automatizadas para lanzar o modificar procesos industriales# etc. La e)plotaci"n informática se puede considerar
como una fa$rica con ciertas peculiaridades !ue la distinguen de las reales. (ara realizar la %)plotaci"n Informática se dispone de una materia prima# los 8atos# !ue es necesario transformar# !ue se someten previamente a controles de in tegridad calidad. La transformaci"n se realiza por medio del proceso informático# el cual está go$ernado por programas. @$tenido el producto final# los resultados son sometidos a varios controles de calidad # finalmente# son distri$uidos al cliente# al usuario. +uditar %)plotaci"n consiste en auditar las secciones !ue la componen sus interrelaciones. La %)plotaci"n Informática se divide en tres grandes áreas0 (lanificaci"n# (roducci"n Soporte /*cnico# en la !ue cada cual tiene varios grupos. &ontrol de %ntrada de 8atos0 Se analizará la captura de la informaci"n en soporte compati$le con los Sistemas# el cumplimiento de plazos calendarios de tratamientos entrega de datos< la correcta transmisi"n de datos entre entornos diferentes. Se verificará !ue los controles de integridad calidad de datos se realizan de acuerdo a orma. (lanificaci"n ecepci"n de +plicaciones0 Se auditarán las normas de entrega de +plicaciones por parte de 8 esarrollo# verificando su cumplimiento su calidad de interlocutor ,nico. 8e$erán realizarse muestreos selectivos de la 8ocumentaci"n de las +plicaciones e)plotadas. Se in!uirirá so$re la anticipaci"n de contactos con 8esarrollo para la planificaci"n a medio largo plazo. &entro de &ontrol Seguimiento de /ra$a2os0 Se analizará c"mo se prepara# se lanza se sigue la producci"n diaria. ásicamente# la e)plotaci"n Informática e2ecuta procesos por cadenas o lotes sucesivos atch7# o en tiempo real /iempo ealD7. Eientras !ue las +plicaciones de /eleproceso están permanentemente activas l a funci"n de %)plotaci"n se limita a vigilar recuperar incidencias# el tra$a2o atch a$sor$e una $uena parte de los efectivos de %)plotaci"n. %n muchos &entros de (roceso de 8atos# *ste "rgano reci$e el nom$re de &entro de &ontrol de atch. %ste grupo determina el *)ito de la e)plotaci"n# en cuanto !ue es uno de los factores más importantes en el mantenimiento de la producci"n. atch /iempo eal0 Las +plicaciones !ue son atch son +plicaciones !ue cargan mucha informaci"n durante el d'a durante la noche se corre un proceso enorme !ue lo !ue hace es relacionar toda la informaci"n# calcular cosas o$tener como salida# por e2emplo# reportes. @ sea# recolecta informaci"n durante el d'a# pero todav'a no procesa nada. %s solamente un tema de 8ata %ntr !ue recolecta informaci"n# corre el proceso atch por lotes7# calcula todo lo necesario para arrancar al d'a siguiente. Las +plicaciones !ue son /iempo eal u @nline# son las !ue# luego de ha$er ingresado la informaci"n correspondiente# inmediatamente procesan devuelven un resultado. Son Sistemas !ue tienen !ue responder en /iempo eal. @peraci"n Salas de @rdenadores0 Se intentarán analizar las relaciones personales la coherencia de cargos salarios# as' como la e!uidad en la asignaci"n de turnos de tra$a2o. Se verificará la e)istencia d e un responsa$le de Sala en cada turno de tra$a2o. Se analizará el grado de automatizaci"n de comandos# se verificara la e)istencia grado de uso de los Eanuales de @peraci"n. Se analizará no solo la e)istencia de planes de formaci"n# sino el cumplimiento de los mismos el tiempo transcurrido para cada @perador desde el ,ltimo &urso reci$ido. Se estudiarán los monta2es diarios por horas de cintas o cartuchos# as' como los tiempos transcurridos entre la petici"n de monta2e por pa rte del Sistema hasta el monta2e real. Se verificarán las l'neas de papel impresas diarias por horas# as' como la manipulaci"n de papel !ue comportan. &entro de &ontrol de ed &entro de 8iagnosis 9elp 8es>70 %l &entro de &ontrol de ed suele u$icarse en el área de producci"n de %)plotaci"n. Sus funciones se refieren e)clusivamente al ám$ito de las &omunicaciones# estando mu relacionado con la organizaci"n de Software de &omunicaciones de /*cnicas de Sistemas. 8e$e analizarse la fluidez de esa relaci"n el grado de coordinaci"n entre am$os. Se verificará la e)istencia de un punto focal ,nico# desde el cual sean percepti$les todas las l'neas asociadas al Sistema. %l &entro de 8iagnosis 9elp 8es>7 es el ente en donde se atienden las llamadas de los usuarios;clientes !ue han sufrido aver'as o incidencias# tanto de Software como de 9ardware. %l &entro de
8iagnosis está especialmente indicado para informáticos grandes co n usuarios dispersos en un amplio territorio. %s uno de los elementos !ue más contri$uen a configurar la imagen de la Informática de la empresa. 8e$e ser auditada desde esta perspectiva# desde la sensi$ilidad del usuario so$re el servicio !ue se le dispone. o $asta con compro$ar la eficiencia t*cnica del centro# es necesario analizarlo simultáneamente en el ám$ito de :suario. +uditoria Informática de 8esarrollo de (roectos o +plicaciones0 La funci"n de 8esarrollo es una evoluci"n del llamado +nálisis (rogramaci"n de Sistemas +plicaciones. + su vez# englo$a muchas áreas# tantas como sectores informatiza$les tiene la empresa. Eu escuetamente# una +plicaci"n recorre las siguien tes fases0 (re;re!uisitos del :suario ,nico o plural7 del entorno +nálisis funcional 8ise-o +nálisis orgánico (reprogramaci"n (rogramaci"n7 (rue$as %ntrega a %)plotaci"n alta para el (roceso. %stas fases de$en estar sometidas a un e)igente control interno# caso contrario# además del disparo de los costes# podrá producirse la insatisfacci"n del usuario. ?inalmente# la auditoria de$erá compro$ar la seguridad de los programas en el sentido de garantizar !ue los e2ecutados por la ma!uina sean e)actamente los previstos no otros. :na auditoria de +plicaciones pasa indefecti$lemente por la o$servaci"n e l análisis de cuatro consideraciones0 1. evisi"n de las metodolog'as utilizadas0 Se analizaran *stas# de modo !ue se asegure la modularidad de las posi$les futuras ampliaciones de la +plicaci"n el fácil mantenimiento de las mismas. C. &ontrol Interno de las +plicaciones0 se de$erán revisar las mismas fases !ue presuntamente han de$ido seguir el área correspondiente de 8esarrollo0 %studio de Fialidad de la +plicaci"n0 Importante para +plicaciones largas# comple2as caras. 8efinici"n L"gica de la +plicaci"n0 Se analizará !ue se han o$servado los postulados l"gicos de actuaci"n# en funci"n de la metodolog'a elegida la finalidad !ue persigue el proecto. 8esarrollo /*cnico de la +plicaci"n0 Se verificará !ue *ste es ordenado correcto. Las herramientas t*cnicas utilizadas en los diversos programas de$erán ser compati$les. 8ise-o de (rogramas0 8e$erán poseer la má)ima sencillez# modularidad econom'a de recursos. E*todos de (rue$as0 Se realizarán de acuerdo a las ormas de la Instalaci"n. Se utilizarán 2uegos de ensao de datos# sin !ue sea permisi$le el uso de datos reales. 8ocumentaci"n0 &umplirá la ormativa esta$lecida en la Instalaci"n# tanto la de 8esarrollo como la de entrega de +plicaciones a %)plotaci"n. %!uipo de (rogramaci"n0 8e$en fi2arse las tareas de análisis puro# de programaci"n las intermedias. %n +plicaciones comple2as se producir'an variaciones en la composici"n del grupo# pero estos de$erán estar previstos. 3. Satisfacci"n de usuarios0 :na +plicaci"n t*cnicamente eficiente $ien desarrollada# de$erá considerarse fracasada si no sirve a los intereses del usuario !ue la solicit". La a!uiescencia del usuario proporciona grandes venta2as posteriores# a !ue evitará reprogramaciones disminuirá el mantenimiento de la +plicaci"n. 4. &ontrol de (rocesos %2ecuciones de (rogramas &r'ticos0 %l auditor no de$e descartar la posi$ilidad de !ue se est* e2ecutando un m"dulo !ue no se corresponde con el programa fuente !ue desarroll"# codific" pro$" el área de 8esarrollo de +plicaciones. Se ha de compro$ar la correspondencia $iun'voca e)clusiva entre el programa codificado su compilaci"n. Si los programas fuente los programa m"dulo no coincidieran podr'a provocar# desde errores de $ulto !ue producir'an graves altos costes de mantenimiento# • • • • • •
•
•
•
•
•
•
•
hasta fraudes# pasando por acciones de sa$ota2e# espiona2e industrial;informativo# etc. (or ende# ha normas mu r'gidas en cuanto a las Li$rer'as de programas< a!uellos programas fuente !ue haan sido dados por $ueno p or 8esarrollo# son entregados a %)plotaci"n con el fin de !ue *ste0 &opie el programa fuente en la Li$rer'a de ?uentes de %)plotaci"n# a la !ue nadie más tiene acceso &ompile monte ese programa# depositándolo en la Li$rer'a de E"dulos de %)plotaci"n# a la !ue nadie más tiene acceso. &opie los programas fuente !ue les sean solicitados para modificarlos# arreglarlos# etc. en el lugar !ue se le indi!ue. &ual!uier cam$io e)igirá pasar nuevamente por el punto 1. &omo este sistema para auditar dar el alta a una nueva +plicaci"n es $astante ardua comple2a# ho algunas empresas lo usarán# otras no7 se utiliza un sistema llamado :.+./ :ser +cceptance /est7. %ste consiste en !ue el futuro usuario de esta +plicaci"n use la +plicaci"n como si la estuviera usando en (roducci"n para !ue detecte o se denoten por s' solos los errores de la misma. %stos defectos !ue se encuentran se van corrigiendo a medida !ue se va haciendo el :.+./. :na vez !ue se consigue el :.+./.# el usuario tiene !ue dar el Sign @ff %sto está $ien7. /odo este testeo# auditor'a lo tiene !ue controlar# tiene !ue evaluar !ue el testeo sea correcto# !ue e)ista un plan de testeo# !ue est* i nvolucrado tanto el cliente como el desarrollador !ue estos defectos se corri2an. +uditor'a tiene !ue corro$orar !ue el :.+./. prue$a todo !ue el Sign @ff del usuario sea un Sign @ff por todo. %s aconse2a$le !ue las %mpresas cuenten con un 8epartamento =+ =ualit +ssurance G +seguramiento de la &alidad7 !ue tendr'a la funci"n de controlar !ue el producto !ue llegue al usuario sea el correcto en cuanto a funcionamiento prestaciones# antes del :.+./. +uditoria Informática de Sistemas0 Se ocupa de analizar la actividad !ue se conoce como /*cnica de Sistemas en todas sus facetas. 9o# la importancia creciente de las telecomunicaciones ha propiciado !ue las &omunicaciones# L'neas edes de las instalaciones informáticas# se auditen por separado# aun!ue formen parte del entorno general de Sistemas. Sistemas @perativos0 %nglo$a los Su$sistemas de /eleproceso# %ntradaHSalida# etc. 8e$e verificarse en primer lugar !ue los Sistemas están actualizados con las ,ltimas versiones del fa$ricante# indagando las causas de las omisiones si las hu$iera. %l análisis de las versiones de los Sistemas @perativos permite descu$rir las posi$les incompati$ilidades entre otros productos de Software ásico ad!uiridos por la instalaci"n determinadas versiones de a!uell as. 8e$en revisarse los parámetros varia$les de las Li$rer'as más importantes de los Sistemas# por si d ifieren de los valores ha$ituales aconse2ados por el constructor. Software ásico0 %s fundamental para el auditor conocer los p roductos de software $ásico !ue han sido facturados aparte de la propia computadora. %sto# por razones econ"micas por razones de compro$aci"n de !ue la computadora podr'a funcionar sin el producto ad!uirido por el cliente. %n cuanto al Software desarrollado por el personal informático de la empresa# el auditor de$e verificar !ue *ste no agreda ni condiciona al Sistema. Igualmente# de$e considerar el esfuerzo realizado en t*rminos de costes# por si hu$iera alternativas más econ"micas. Software de /eleproceso /iempo eal70 o se inclue en Software ásico por su especialidad e i mportancia. Las consideraciones anteriores son válidas para *ste tam$i*n. /unning0 %s el con2unto de t*cnicas de o$servaci"n de medidas encaminadas a la evaluaci"n del comportamiento de los Su$sistemas del Sistema en su con2unto. Las acciones de tunning de$en diferenciarse de los controles ha$ituales !ue realiza el personal de /*cnica de Sistemas. %l tunning posee una naturaleza más revisora# esta$leci*ndose previamente planes programas de actuaci"n seg,n los s'ntomas o$servados. Se pueden realizar0 &uando e)iste sospecha de deterioro del comportamiento parcial o general del Sistema •
•
•
•
8e modo sistemático peri"dico# por e2emplo cada 6 meses. %n este caso sus acciones son repetitivas están planificados organizados de antemano. %l auditor de$erá conocer el n,mero de tunning realizados en el ,ltimo a-o# as' como sus resultados. 8e$erá analizar los modelos de carga utili zados los niveles e 'ndices de confianza de las o$servaciones. @ptimizaci"n de los Sistemas Su$sistemas0 /*cnica de Sistemas de$e realizar acciones permanentes de optimizaci"n como consecuencia de la realizaci"n de tunnings preprogramados o espec'ficos. %l auditor verificará !ue las acciones de optimizaci"n fueron efectivas no comprometieron la @peratividad de los S istemas ni el plan cr'tico de producci"n diaria de %)plotaci"n. +dministraci"n de ase de 8atos0 %l dise-o de las ases de 8atos# sean relaciones o 2erár!uicas# se ha convertido en una actividad mu comple2a sofisticada# por lo general desarrollada en el ám$ito de /*cnica de Sistemas# de acuerdo con las áreas de 8esarrollo usuarios de la empresa. +l conocer el dise-o ar!uitectura de *stas por parte de Sistemas# se les encomienda tam$i*n su administraci"n. Los auditores de Sistemas han o$servado algunas disfunciones derivadas de la relativamente escasa e)periencia !ue /*cnica de Sistemas tiene so$re la pro$lemática general de los usuarios de ases de 8atos. La administraci"n tendr'a !ue estar a cargo de % )plotaci"n. %l auditor de ase de 8atos de$er'a asegurarse !ue %)plotaci"n conoce suficientemente las !ue son accedidas por los (rocedimientos !ue ella e2ecuta. +nalizará los Sistemas de salvaguarda e)istentes# !ue competen igualmente a %)plotaci"n. evisará finalmente la integridad consistencia de los datos# as' como la ausencia de redundancias entre ellos. Investigaci"n 8esarrollo0 &omo empresas !ue utilizan necesitan de informáticas desarrolladas# sa$en !ue sus propios efectivos están desarrollando +plicaciones utilidades !ue# conce$idas inicialmente para su uso interno# pueden ser suscepti$les de ad!uisici"n por otras empresas# haciendo competencia a las &ompa-'as del ramo. La auditoria informática de$erá cuidar de !ue la actividad de Investigaci"n 8esarrollo no interfiera ni dificulte las tareas fundamentales internas. •
Auditoria Inform0tica de Comunicaciones / Redes (ara el informático para el auditor informático# el entramado conceptual !ue constituen las redes nodales# l'neas# concentradores# multiple)ores# redes locales# etc. no son sino el soporte f'sico; l"gico del tiempo real. %l auditor tropieza con la dificultad t*cnica del entorno# pues ha de analizar situaciones hechos ale2ados entre s'# está condicionado a la participaci"n del monopolio telef"nico !ue presta el soporte. &omo en otros casos# la auditoria de este sector re!uiere un e!uipo de especialistas# e)pertos simultáneamente en comunicaciones en redes locales no ha !ue olvidarse !ue en entornos geográficos reducidos# algunas empresas optan por el uso interno de redes locales# dise-adas ca$leadas con recursos propios7. %l auditor de comunicaciones de$erá in!uirir so$re los 'ndices de utilizaci"n de las l'neas contratadas con informaci"n a$undante so$re tiempos de desuso. 8e$erá proveerse de la topolog'a de la red de comunicaciones# actualizada# a !ue la desactualizaci"n de esta documentaci"n significar'a una grave de$ilidad. La ine)istencia de datos so$re cuantas l'neas e)isten# c"mo son donde están instaladas# supondr'a !ue se $ordea la Inoperatividad Informática. Sin em$argo# las de$ilidades más frecuentes o i mportantes se encuentran en las disfunciones organizativas. La contrataci"n e instalaci"n de l'neas va asociada a la instalaci"n de los (uestos de /ra$a2o correspondientes pantallas# servidores de redes locales# computadoras con tar2etas de comunicaciones# impresoras# etc.7. /odas estas actividades de$en estar mu coordinadas de ser posi$le# dependientes de una sola o rganizaci"n. +uditoria de la Seguridad informática0 La computadora es un instrumento !ue estructura gran cantidad de informaci"n# la cual puede ser confidencial para individuos# empresas o instituciones# puede ser mal utilizada o divulgada a personas !ue hagan mal uso de esta. /am$i*n puede ocurrir ro$os# fraudes o sa$ota2es !ue provo!uen la destrucci"n total o parcial de la actividad computacional. %sta informaci"n puede ser de suma importancia# el no tenerla en el momento preciso puede provocar retrasos sumamente costosos.
%n la actualidad principalmente en las computadoras personales# se ha dado otro factor !ue ha !ue considerar0 el llamado virus de las computadoras# el cual# aun!ue tiene diferentes intenciones# se encuentra principalmente para pa!uetes !ue son copiados sin autorizaci"n piratas7 $orra toda la informaci"n !ue se tiene en un disco. +l auditar los sistemas se de$e tener cuidado !ue no se tengan copias piratas o $ien !ue# al conectarnos en red con otras computadoras# no e)ista la posi$ilidad de transmisi"n del virus. %l uso inadecuado de la computadora comienza desde la utilizaci"n de tiempo de má!uina para usos a2enos de la organizaci"n# la copia de programas para fines de comercializaci"n sin reportar los derechos de autor hasta el acceso por v'a telef"nica a $ases de datos a fin de modificar la informaci"n con p rop"sitos fraudulentos. La seguridad en la informática a$arca los conceptos de seguridad f'sica seguridad l"gica. La seguridad f'sica se refiere a la protecci"n del 9ardware de los soportes de datos# as' como a la de los edificios e instalaciones !ue los al$ergan. &ontempla las situaciones de incendios# sa$ota2es# ro$os# catástrofes naturales# etc. La seguridad l"gica se refiere a la seguridad de uso del software# a la protecci"n de los datos# procesos programas# as' como la del ordenado autorizado acceso de los usuarios a la informaci"n. :n m*todo eficaz para proteger sistemas de computaci"n es el software de control de acceso. 8icho simplemente# los pa!uetes de control de acceso protegen contra el acceso no autorizado# pues piden del usuario una contrase-a antes de permitirle el acceso a informaci"n confidencial. 8ichos pa!uetes han sido populares desde hace muchos a-os en el mundo de las computadoras grandes# los principales proveedores ponen a disposici"n de clientes algunos de estos pa!uetes. %2emplo0 %)iste una +plicaci"n de Seguridad !ue se lla ma S%@S# para :ni)# !ue lo !ue hace es auditar el nivel de Seguridad en todos los servidores# como ser0 accesos a archivos# accesos a directorios# !ue usuario lo hizo# si ten'a o no ten'a permiso# si no ten'a permiso por!ue fall"# entrada de usuarios a cada uno de los servidores# fecha hora# accesos con password e!uivocada# cam$ios de password# etc. La +plicaci"n lo puede graficar# tirar en n,meros# puede hacer reportes# etc. La seguridad informática se la puede di vidir como área general como área espec'fica seguridad de %)plotaci"n# seguridad de las +plicaciones# etc.7. +s'# se podrán efectuar auditorias de la Seguridad Alo$al de una Instalaci"n Informática Seguridad Aeneral7 auditorias d e la Seguridad de un área informática determinada Seguridad %specifica7. &on el incremento de agresiones a instalaciones informáticas en los ,ltimos a-os# se han ido originando acciones para me2orar la Seguridad Informática a nivel f'sico. Los accesos cone)iones inde$idos a trav*s de las edes de &omunicaciones# han acelerado el desarrollo de productos de Seguridad l"gica la utilizaci"n de sofisticados medios criptograficos. %l sistema integral de seguridad de$e comprender0 %lementos administrativos 8efinici"n de una pol'tica de seguridad @rganizaci"n divisi"n de responsa$ilidades Seguridad f'sica contra catástrofes incendio# terremotos# etc.7 (rácticas de seguridad del personal %lementos t*cnicos procedimientos Sistemas de seguridad de e!uipos de sistemas# incluendo todos los elementos# tanto redes como terminales. +plicaci"n de los sistemas de seguridad# incluendo datos archivos %l papel de los auditores# tanto internos como e)ternos (laneaci"n de programas de desastre su prue$a. La decisi"n de a$ordar una auditoria Informática de Seguridad Alo$al en una empresa# se fundamenta en el estudio cuidadoso de los riesgos potenciales a los !ue está sometida. Se ela$oran matrices de riesgo# en donde se consideran los factores de las +menazas a las !ue está sometida una instalaci"n los Impactos !ue a!uellas puedan causar cuando se presentan. Las matrices de riesgo se representan en cuadros de do$le entrada +menaza;Impacto# en donde se eval,an las pro$a$ilidades de ocurrencia de los elementos de la matriz. 9erramientas /*cnicas para la +uditoria Informática0 &uestionarios0 • • • • • • •
• • •
Las auditorias informáticas se materializan reca$ando informaci"n documentaci"n de todo tipo. Los informes finales de los auditores dependen de sus capacidades para analizar las situaciones de de$ilidad o fortaleza de los diferentes entornos. %l tra$a2o de campo del auditor con siste en lograr toda la informaci"n necesaria para la emisi"n de un 2uicio glo$al o$2etivo# siempre amparado en hechos demostra$les# llamados tam$i*n evidencias. (ara esto# suele ser lo ha$itual comenzar solicitando la cumplimentaci"n de cuestionarios preimpresos !ue se env'an a las personas concretas !ue el auditor cree adecuadas# sin !ue sea o$ligatorio !ue dichas personas sean las responsa$les oficiales de las diversas áreas a auditar. %stos cuestionarios no pueden ni de$en ser repetidos para instalaciones distintas# sino diferentes mu espec'ficos para cada situaci"n# mu cuidados en su fondo su forma. So$re esta $ase# se estudia analiza la documentaci"n reci$ida# de modo !ue tal análisis determine a su vez la informaci"n !ue de$erá ela$orar el propio auditor. %l cruzamiento de am$os tipos de informaci"n es una de las $ases fundamentales de la auditoria. &a$e aclarar# !ue esta primera fase puede omitirse cuando los auditores haan ad!uirido por otro medios la informaci"n !ue a!uellos preimpresos hu$ieran proporcionado. %ntrevistas0 %l auditor comienza a continuaci"n las relaciones personales con el auditado. Lo hace de tres formas0 1. Eediante la petici"n de documentaci"n concreta so$re alguna materia de su responsa$ilidad. C. Eediante entrevistas en las !ue no se sigue un plan predeterminado ni un m*todo estricto de sometimiento a un cuestionario. 3. (or medio de entrevistas en las !ue el auditor sigue un m*todo preesta$lecido de antemano $usca unas finalidades concretas. La entrevista es una de las actividades personales más importante del auditor< en ellas# *ste recoge más informaci"n# me2or matizada# !ue la proporcionada por medios propios puramente t*cnicos o por las respuestas escritas a cuestionarios. +parte de algunas cuestiones menos importantes# la entrevista entre auditor auditado se $asa fundamentalmente en el concepto de interrogatorio< es lo !ue hace un auditor# interroga se interroga a s' mismo. %l auditor informático e)perto entrevista al auditado siguiendo un cuidadoso sistema previamente esta$lecido# consistente en !ue $a2o la forma de una conversaci"n correcta lo menos tensa posi$le# el auditado conteste sencillamente con pulcritud a una serie de preguntas variadas# tam$i*n sencillas. Sin em$argo# esta sencillez es solo aparente. /ras ella de$e e)istir una preparaci"n mu ela$orada sistematizada# !ue es d iferente para cada caso particular &hec>list0 %l auditor profesional e)perto es a!u*l !ue reela$ora muchas veces sus cuestionarios en funci"n de los escenarios auditados. /iene claro lo !ue necesita sa$er# por !u*. Sus cuestionarios son vitales para el tra$a2o de análisis# cruzamiento s'ntesis posterior# lo cual no !uiere decir !ue haa de someter al auditado a unas preguntas estereotipadas !ue no conducen a nada. Eu por el contrario# el auditor conversará hará preguntas normales# !ue en realidad servirán para la cumplimentaci"n sistemática de sus &uestionarios# de sus &hec>lists. 9a opiniones !ue descalifican el uso de las &hec>lists# a !ue consideran !ue leerle una pila de preguntas recitadas de memoria o le'das en voz alta descalifica al auditor informático. (ero esto no es usar &hec>lists# es una evidente falta de profesionalismo. %l profesionalismo pasa por un procesamiento interno de informaci"n a fin de o$tener respuestas coherentes !ue permitan una correcta descripci"n de puntos d*$iles fuertes. %l profesionalismo p asa por poseer preguntas mu estudiadas !ue han de formularse fle)i$lemente. %l con2unto de estas preguntas reci$e el nom$re de &hec>list. Salvo e)cepciones# las &hec>lists de$en ser contestadas oralmente# a !ue superan en ri!ueza generalizaci"n a cual!uier otra forma. Seg,n la claridad de las preguntas el talante del auditor# el auditado responderá desde posiciones mu distintas con disposici"n mu varia$le. %l auditado# ha$itualmente informático de profesi"n# perci$e con cierta facilidad el perfil t*cnico los conocimientos del auditor# precisamente a trav*s de las preguntas !ue *ste le formula. %sta percepci"n configura el principio de autoridad prestigio !ue el auditor de$e poseer.
(or ello# aun siendo importante tener ela$oradas listas de preguntas mu sistematizadas# coherentes clasificadas por materias# todav'a lo es más el modo el orden de su formulaci"n. Las empresas e)ternas de +uditor'a Informática guardan sus &hec>lists# pero de poco sirven si el auditor no las utiliza adecuada oportunamente. o de$e olvidarse !ue la funci"n a uditora se e2erce so$re $ases de autoridad# prestigio *tica. %l auditor de$erá aplicar el &hec>list de modo !ue el auditado responda clara escuetamente. Se de$erá interrumpir lo menos posi$le a *ste# solamente en los casos en !ue las respuestas se aparten sustancialmente de la pregunta. %n algunas ocasiones# se h ará necesario invitar a a!u*l a !ue e)ponga con maor amplitud un tema concreto# en cual!uier caso# se de$erá evitar a$solutamente la presi"n so$re el mismo. +lgunas de las preguntas de las &hec>lists utilizadas para cada sector# de$en ser repetidas. %n efecto# $a2o apariencia distinta# el auditor formulará preguntas e!uivalentes a las mismas o a distintas personas# en las mismas fechas# o en fechas di ferentes. 8e este modo# se podrán descu$rir con maor facilidad los puntos contradictorios< el auditor de$erá analizar los matices de las respuestas reela$orar preguntas complementarias cuando haan e)istido contradicciones# hasta conseguir la homogeneidad. %l entrevistado no de$e perci$ir un e)cesivo formalismo en las preguntas. %l auditor# por su parte# tomará las notas imprescindi$les en presencia del auditado# nunca escri$irá cruces ni marcará cuestionarios en su presencia. Los cuestionarios o &hec>lists responden fundamentalmente a dos tipos de filosof'a de calificaci"n o evaluaci"n0 a. &hec>list de rango &ontiene preguntas !ue el auditor de$e puntuar dentro de un rango preesta$lecido por e2emplo# de 1 a 5# siendo 1 la respuesta más negativa el 5 el valor más positivo7 %2emplo de &hec>list de rango0 Se supone !ue se está realizando una auditor'a so$re la seguridad f'sica de una instalaci"n # dentro de ella# se analiza el control de los accesos de personas cosas al &entro de &álculo. (odr'an formularse las preguntas !ue figuran a continuaci"n# en donde l as respuestas tiene los siguientes significados0 10 Eu deficiente. C0 8eficiente. 30 Ee2ora$le. 40 +cepta$le. 50 &orrecto. Se figuran posi$les respuestas de los auditados. Las preguntas de$en sucederse sin !ue parezcan encorsetadas ni clasificadas previamente. asta con !ue el auditor l leve un pe!ue-o gui"n. La complementaci"n del &hec>list no de$e realizarse en presencia del auditado. $. &hec>list inaria %s la constituida por preguntas con respuesta ,nica e)cluente0 Si o o. +ritm*ticamente# e!uivalen a 1uno7 o Jcero7# respectivamente. Los &hec>lists de rango son adecuados si el e!uipo auditor no es mu grande mantiene criterios uniformes e!uivalentes en las valoraciones. (ermiten una maor precisi"n en la evaluaci"n !ue en los chec>list $inarios. Sin em$argo# la $ondad del m*todo depende e)cesivamente de la formaci"n competencia del e!uipo auditor. Los &hec>lists inarios siguen una ela$oraci"n inicial mucho más ardua comple2a. 8e$en ser de gran precisi"n# como corresponde a la suma precisi"n de la respuesta. :na vez construidas# tienen la venta2a de e)igir menos uniformidad del e!uipo auditor el inconveniente gen*rico del si o no frente a la maor ri!ueza del intervalo. o e)isten &hec>lists estándar para todas cada una de las instalaciones informáticas a auditar. &ada una de ellas posee peculiaridades !ue hacen necesarios los reto!ues de adaptaci"n correspondientes en las preguntas a realizar. /razas Ho 9uellas0 &on frecuencia# el auditor informático de$e verificar !ue los programas# tanto de los Sistemas como de usuario# realizan e)actamente las funciones previstas# no otras. (ara ello se apoa en productos Software mu potentes modulares !ue# entre otras funciones# rastrean los caminos !ue siguen los datos a trav*s del programa.
Eu especialmente# estas /razas se utilizan para compro$ar la e2ecuci"n de las validaciones de datos previstas. Las mencionadas trazas no de$en modificar en a$soluto el Sistema. Si la herramienta auditora produce incrementos aprecia$les de carga# se convendrá de antemano las fechas horas más adecuadas para su empleo. (or lo !ue se refiere al análisis del Sistema# los auditores informáticos emplean productos !ue comprue$an los valores asignados por /*cnica de Si stemas a cada uno de los parámetros varia$les de las Li$rer'as más importantes del mismo. %stos parámetros varia$les de$en estar dentro de un intervalo marcado por el f a$ricante. + modo de e2emplo# algunas instalaciones descompensan el n,mero de iniciadores de tra$a2os de determinados entornos o toman criterios especialmente restrictivos o permisivos en la asignaci"n de unidades de servicio seg,n cuales tipos carga. %stas actuaciones# en principio ,tiles# pueden resultar contraproducentes si se traspasan los l'mites. o o$stante la utilidad de las /razas# ha de repetirse lo e)puesto en la descripci"n de la auditoria informática de Sistemas0 el auditor informático emplea preferentemente la amplia informaci"n !ue proporciona el propio Sistema0 +s'# los ficheros de +ccounting o de conta$ilidad# en donde se encuentra la producci"n completa de a!u*l# los Log historial7 de dicho Sistema# en donde se recogen las modificaciones de datos se pormenoriza la actividad general. 8el mismo modo# el Sistema genera automáticamente e)acta informaci"n so$re el tratamiento de errores de ma!uina central# perif*ricos# etc. La auditoria financiero;conta$le convencional emplea trazas con mucha frecuencia. Son programas encaminados a verificar lo correcto de los cál culos de n"minas# primas# etc.K. Software de Interrogaci"n0 9asta hace a algunos a-os se han utilizado productos software llamados gen*ricamente pa!uetes de auditoria# capaces de generar programas para auditores escasamente cualificados desde el punto de vista informático. 8ichos productos evolucionaron hacia la o$tenci"n de muestreos estad'sticos !ue permitieran la o$tenci"n de consecuencias e hip"tesis de la situaci"n real de una instalaci"n. %n la actualidad# los productos Software especiales pa ra la auditor'a informática se orientan principalmente hacia lengua2es !ue permiten la interrogaci"n de ficheros $ases de datos de la empresa auditada. %stos productos son utilizados solamente por los auditores e)ternos# por cuanto los internos disponen del software nativo propio de la instalaci"n. 8el mismo modo# la proliferaci"n de las redes locales de la filosof'a &liente;Servidor# han llevado a las firmas de software a desarrollar interfaces de transporte de datos entre computadoras personales mainframe# de modo !ue el auditor informático copia en su propia (& la informaci"n más relevante para su tra$a2o. &a$e recordar# !ue en la actualidad casi todos los usuarios finales poseen datos e informaci"n parcial generada por la organizaci"n informática de la &ompa-'a. %fectivamente# conectados como terminales al 9ost# almacenan los datos proporcionados por este# !ue son tratados posteriormente en modo (&. %l auditor se ve o$ligado a reca$ar informaci"n de los mencionados usuarios finales# lo cual puede realizar con suma facilidad con los polivalentes productos descritos. &on todo# las opiniones más autorizadas indican !ue el tra$a2o de campo del auditor informático de$e realizarse principalmente con los productos del cliente. ?inalmente# ha de indicarse la conveniencia de !ue el auditor confeccione personalmente determinadas partes del Informe. (ara ello# resulta casi imprescindi$le una cierta soltura en el mane2o de (rocesadores de /e)to# pa!uetes de Aráficos# 9o2as de &álculo# etc.
&etodología de Traba.o de Auditoria Inform0tica %l m*todo de tra$a2o del auditor pasa por las siguientes etapas0 1. +lcance @$2etivos de la +uditoria Informática. C. %studio inicial del entorno audita$le. 3. 8eterminaci"n de los recursos necesarios para realizar la auditoria. 4. %la$oraci"n del plan de los (rogramas de /ra$a2o. 5. +ctividades propiamente dichas de la auditoria. 6. &onfecci"n redacci"n del Informe ?inal. . &arta de introducci"n o presentaci"n del informe final. *+ Alcance / b.etivos de la Auditoria Inform0tica%
%l alcance de la auditoria e)presa los l'mites de la misma. 8e$e e)istir un acuerdo mu preciso entre auditores clientes so$re las funciones# las materias las organizaciones a auditar. + los efectos de acotar el tra$a2o# resulta mu $eneficioso para am$as partes e)presar las e)cepciones de alcance de la auditoria# es decir cuales materias# funciones u organizaciones no van a ser auditadas. /anto los alcances como las e)cepciones d e$en figurar al comienzo del Informe ?inal. Las personas !ue realizan la auditoria han de conocer con la maor e )actitud posi$le los o$2etivos a los !ue su tarea de$e llegar. 8e$en comprender los deseos pretensiones del cliente# de forma !ue las metas fi2adas puedan ser cumplidas. :na vez definidos los o$2etivos o$2etivos espec'ficos7# *stos se a-adirán a los o$2etivos generales comunes de a toda auditoria Informática0 La operatividad de los Sistemas los &ontroles Aenerales de Aesti"n Informática. -+ Estudio Inicial del entorno auditable% (ara realizar dicho estudio ha de e)aminarse las funciones actividades generales de l a informática. (ara su realizaci"n el auditor de$e conocer lo siguiente0 @rganizaci"n (ara el e!uipo auditor# el conocimiento de !ui*n ordena# !ui*n dise-a !ui*n e2ecuta es fundamental. (ara realizar esto en auditor de$erá fi2arse en0 17 @rganigrama0 %l organigrama e)presa la estructura oficial de la organizaci"n a auditar. Si se descu$riera !ue e)iste un organigrama fáctico diferente al oficial# se pondrá de manifiesto tal circunstancia. C7 8epartamentos0 Se entiende como departamento a los "rganos !ue siguen inmediatamente a la 8irecci"n. %l e!uipo auditor descri$irá $revemente las funciones de cada uno de ellos. 37 elaciones Merár!uicas funcionales entre "rganos de la @rganizaci"n0 %l e!uipo auditor verificará si se cumplen las relaciones funcionales Merár!uicas previstas por el organigrama# o por el contrario detectará# por e2emplo# si alg,n empleado tiene dos 2efes. Las de Merar!u'a implican la correspondiente su$ordinaci"n. Las funcionales por el contrario# indican relaciones no estrictamente su$ordina$les. 47 ?lu2os de Informaci"n0 +demás de las corrientes verticales intraNdepartamentales# la estructura organizativa cual!uiera !ue sea# produce corrientes de informaci"n horizontales o$licuas e )traNdepartamentales. Los flu2os de informaci"n entre los grupos de una organizaci"n son necesarios para su eficiente gesti"n# siempre cuando tales corrientes no distorsionen el propio organigrama. %n ocasiones# las organizaciones crean espontáneamente canales alternativos de informaci"n# sin los cuales las funciones no podr'an e2ercerse con eficacia< estos canales alternativos se producen por!ue ha pe!ue-os o grandes fallos en la estructura en el organigrama !ue lo s representa. @tras veces# la aparici"n de flu2os de informaci"n no previstos o$edece a afinidades personales o simple comodidad. %stos flu2os de informaci"n son indesea$les producen graves pertur$aciones en la organizaci"n. 5. ,mero de (uestos de tra$a2o %l e!uipo auditor compro$ará !ue los n om$res de los (uesto de los (uestos de /ra$a2o de la organizaci"n corresponden a las funciones reales distintas. %s frecuente !ue $a2o nom$res diferentes se realicen funciones id *nticas# lo cual indica la e)istencia de funciones operativas redundantes. %sta situaci"n pone de manifiesto deficiencias estructurales< los auditores darán a conocer tal circunstancia e)presarán el n,mero de puestos de tra$a2o verdaderamente diferentes. 6. ,mero de personas por (uesto de /ra$a2o %s un parámetro !ue los auditores informáticos de$en considerar. La inadecuaci"n del personal determina !ue el n,mero de personas !ue realizan las mismas funciones rara vez coincida con la estructura oficial de la organizaci"n. %ntorno @peracional %l e!uipo de auditoria informática de$e poseer una adecuada referencia del entorno en el !ue va a desenvolverse.
%ste conocimiento previo se logra determinando# fundamentalmente# los siguientes e)tremos0 a. Situaci"n geográfica de los Sistemas0 Se determinará la u$icaci"n geográfica de los distintos &entros de (roceso de 8atos en la empresa. + continuaci"n# se verificará la e)istencia de responsa$les en cada unos de ellos# as' como el uso de los mismos estándares de tra$a2o. $; +r!uitectura configuraci"n de 9ardware Software0 &uando e)isten varios e!uipos# es fundamental la configuraci"n e legida para cada uno de ellos# a !ue los mismos de$en constituir un sistema compati$le e intercomunicado. La configuraci"n de los sistemas esta mu ligada a las pol'ticas de seguridad l"gica de las compa-'as. Los auditores# en su estudio inicial# de$en tener en su poder la distri$uci"n e intercone)i"n de los e!uipos. c. Inventario de 9ardware Software0 %l auditor reca$ará informaci"n escrita# en donde figuren todos los elementos f'sicos l"gicos de la instalaci"n. %n cuanto a 9ardware figurarán las &(:s# unidades de control local remotas# perif*ricos de todo tipo# etc. %l inventario de software de$e contener todos los productos l"gicos del Sistema# desde el software $ásico hasta los programas de utilidad ad!uiridos o desarrollados internamente. Suele ser ha$itual clasificarlos en factura$les no factura$les. d. &omunicaci"n edes de &omunicaci"n0 %n el estudio inicial los auditores dispondrán del n,mero# situaci"n caracter'sticas principales de las l'neas# as' como de los accesos a la red p,$lica de comunicaciones. Igualmente# poseerán informaci"n de las edes Locales de la %mpresa. Aplicaciones bases de datos / fic2eros %l estudio inicial !ue han de realizar los auditores se cierra culmina con una idea general de los procesos informáticos realizados en la empresa auditada. (ara ello de$erán conocer lo siguiente0 +. Folumen# antigOedad comple2idad de las +plicaciones . Eetodolog'a del 8ise-o Se clasificará glo$almente la e)istencia total o parcial de metodolog'a en el desarrollo de las aplicaciones. Si se han utilizados varias a lo largo del tiempo se pondrá de manifiesto. &. 8ocumentaci"n La e)istencia de una adecuada documentaci"n de las aplicaciones proporciona $eneficios tangi$les e inmediatos mu importantes. La documentaci"n de programas disminue gravemente el mantenimiento de los mismos. 8# &antidad comple2idad de ases de 8atos ?icheros. %l auditor reca$ará informaci"n de tama-o caracter'sticas de las ases de 8atos# clasificándolas en relaci"n 2erar!u'as. 9allará un promedio de n,mero de accesos a ellas por hora o d'as. %sta operaci"n se repetirá con los ficheros# as' como la frecuencia de actualizaciones de l os mismos. %stos datos proporcionan una visi"n acepta$le de las caracter'sticas de la carga informática. 3. 8eterminaci"n de los recursos necesarios para realizar l a auditoria Eediante los resultados del estudio inicial realizado se procede a determinar los recursos humanos materiales !ue han de emplearse en la auditoria. Recursos materiales %s mu importante su determinaci"n# por cuanto la maor'a de ellos son proporcionados por el cliente. Las herramientas software propias del e!uipo van a utilizarse igualmente en el sistema auditado# por lo !ue han de convenirse en lo posi$le las fechas horas de uso entre el auditor cliente. Los recursos materiales del auditor son de dos tipos0 +# ecursos materiales Software (rogramas propios de la auditoria0 Son mu potentes ?le)i$les. 9a$itualmente se a-aden a las e2ecuciones de los procesos del cliente para verificarlos. Eonitores0 Se utilizan en funci"n del grado de desarrollo o$servado en la actividad de /*cnica de Sistemas del auditado de la cantidad calidad de los datos a e)istentes.
. ecursos materiales 9ardware Los recursos hardware !ue el auditor necesita son proporcionados por el cliente. Los procesos de control de$en efectuarse necesariamente en las &omputadoras del auditado. (ara lo cuál ha$rá de convenir# tiempo de ma!uina# espacio de disco# impresoras ocupadas# etc. ecursos 9umanos La cantidad de recursos depende del volumen audita$le. Las caracter'sticas perfiles del personal seleccionado depende de la materia audita$le. %s igualmente rese-a$le !ue la auditor'a en general suele ser e2ercida por profesionales universitarios por otras personas de pro$ada e)periencia multidisciplinaria. *-+ #erfiles #rofesionales de los auditores inform0ticos #rofesión Actividades / conocimientos deseables Informático Aeneralista
&on e)periencia amplia en ramas distintas. 8esea$le !ue su la$or se haa desarrollado en %)plotaci"n en 8esarrollo de (roectos. &onocedor de Sistemas.
%)perto en 8esarrollo de (roectos
+mplia e)periencia como responsa$le de proectos. %)perto analista. &onocedor de las metodolog'as de 8esarrollo más importantes.
/*cnico de Sistemas
%)perto en Sistemas @perativos Software ásico. &onocedor de los productos e!uivalentes en el mercado. +mplios conocimientos de %)plotaci"n.
%)perto en ases de 8atos +dministraci"n de las mismas. %)perto en Software de &omunicaci"n
&on e)periencia en el mantenimiento de ases de 8atos. &onocimiento de productos compati$les e!uivalentes. uenos conocimientos de e)plotaci"n +lta especializaci"n dentro de la t*cnica de sistemas. &onocimientos profundos de redes. Eu e)perto en Su$sistemas de teleproceso.
%)perto en %)plotaci"n Aesti"n de esponsa$le de alg,n &entro de &álculo. +mplia &(8PS e)periencia en +utomatizaci"n de tra$a2os. %)perto en relaciones humanas. uenos conocimientos de los sistemas. /*cnico de @rganizaci"n
%)perto o rganizador coordinador. %specialista e n el análisis de flu2os de informaci"n.
/*cnico de evaluaci"n de &ostes
%conomista con conocimiento de Informática. Aesti"n de costes.
4. %la$oraci"n del (lan de los programas de tra$a2o :na vez asignados los recursos# el responsa$le de la auditor'a sus cola$oradores esta$lecen un plan de tra$a2o. 8ecidido *ste# se p rocede a la programaci"n del mismo. %l plan se ela$ora teniendo en cuenta# entre otros criterios# los siguientes0 a7 Si la evisi"n de$e realizarse por áreas generales o áreas e spec'ficas. %n el primer caso# la ela$oraci"n es más comple2a costosa. $7 Si la auditoria es glo$al# de toda la Informática# o parcial. %l volumen determina no solamente el n,mero de auditores necesarios# sino las especialidades necesarias del personal.
%n el plan no se consideran calendarios# por!ue se mane2an recursos gen*ricos no espec'ficos. %n el (lan se esta$lecen los recursos esfuerzos glo$ales !ue van a ser necesarios. %n el (lan se esta$lecen las prioridades de materias audita$les# de acuerdo siempre con las prioridades del cliente. %l (lan esta$lece disponi$ilidad futura de los recursos durante la revisi"n. %l (lan estructura las tareas a realizar por cada integrante del grupo. %n el (lan se e)presan todas las audas !ue el auditor ha de reci$ir del auditado. :na vez ela$orado el (lan# se procede a la (rogramaci"n de actividades. %sta ha de ser lo suficientemente como para permitir modificaciones a lo largo del proecto. 5. +ctividades propiamente dichas de la +uditoria +uditoria por temas generales o por áreas espec'ficas0 La auditoria Informática general se realiza por áreas generales o por áreas espec'ficas. Si se e)amina por grandes temas# resulta evidente la maor calidad el empleo de más tiempo total maores recursos. &uando la auditoria se realiza por áreas espec'ficas# se a$arcan de una vez todas l as peculiaridades !ue afectan a la misma# de forma !ue el resultado se o$tiene más rápidamente con menor calidad. /*cnicas de /ra$a2o0 ; +nálisis de la informaci"n reca$ada del auditado. ; +nálisis de la informaci"n propia. ; &ruzamiento de las informaciones anteriores. ; %ntrevistas. ; Simulaci"n. ; Euestreos. 9erramientas0 ; &uestionario general inicial. ; &uestionario &hec>list. ; %stándares. ; Eonitores. ; Simuladores Aeneradores de datos7. ; (a!uetes de auditoria Aeneradores de (rogramas7. ; Eatrices de riesgo. 6. &onfecci"n redacci"n del Informe ?inal La funci"n de la auditoria se materializa e)clusivamente por escrito. (or lo tanto la ela$oraci"n final es el e)ponente de su calidad. esulta evidente la necesidad de redactar $orradores e i nformes parciales previos al informe final# los !ue son elementos de contraste entre opini"n entre auditor auditado !ue pueden descu$rir fallos de apreciaci"n en el auditor. %structura del informe final0 %l informe comienza con la fecha de comienzo de la auditoria la fecha de redacci"n del mismo. Se incluen los nom$res del e!uipo auditor los nom$res de todas las personas entrevistadas# con indicaci"n de la 2efatura# responsa$ilidad puesto de tra$a2o !ue ostente. 8efinici"n de o$2etivos alcance de la auditoria. %numeraci"n de temas considerados0 +ntes de tratarlos con profundidad# se enumerarán lo más e)haustivamente posi$le todos los temas o$2eto de la auditoria. &uerpo e)positivo0 (ara cada tema# se seguirá el siguiente orden a sa$er0 •
•
•
• • •
a. Situaci"n actual. &uando se trate de una revisi"n peri"dica# en la !ue se analiza no solamente una situaci"n sino además su evoluci"n en el tiempo# se e)pondrá la situaci"n prevista la situaci"n real.
$. /endencias. Se tratarán de hallar parámetros !ue permitan esta$lecer tendencias futuras. c. (untos d*$iles amenazas. d. ecomendaciones planes de acci"n. &onstituen 2unto con la e)posici"n de puntos d*$iles# el verdadero o$2etivo de la auditor'a informática. e. edacci"n posterior de la &arta de Introducci"n o (resentaci"n.
&odelo conceptual de la exposición del informe final ; %l informe de$e incluir solamente hechos importantes. La inclusi"n de hechos poco relevantes o accesorios desv'a la atenci"n del l ector. ; %l Informe de$e consolidar los hechos !ue se descri$en en el mismo. %l t*rmino de hechos consolidados ad!uiere un especial significado de verificaci"n o$2etiva de estar documentalmente pro$ados soportados. La consolidaci"n de los hechos de$e satisfacer# al menos los siguientes criterios0 %l hecho de$e poder ser sometido a cam$ios. Las venta2as del cam$io de$en superar los inconvenientes derivados de mantener la situaci"n. o de$en e)istir alternativas via$les !ue superen al cam$io propuesto. La recomendaci"n del auditor so$re el hecho de$e mantener o me2orar las normas estándares e)istentes en la instalaci"n. La aparici"n de un hecho en un informe de auditoria implica necesariamente la e)istencia de una de$ilidad !ue ha de ser corregida. ?lu2o del hecho o de$ilidad0 1 G 9echo encontrado. ; 9a de ser relevante para el auditor pera el cliente. ; 9a de ser e)acto# además convincente. ; o de$en e)istir hechos repetidos. C G &onsecuencias del hecho ; Las consecuencias de$en redactarse de modo !ue sean directamente deduci$les del hecho. 3 G epercusi"n del hecho ; Se redactará las influencias directas !ue el hecho pueda tener so$re otros aspectos informáticos u otros ám$itos de la empresa. 4 G &onclusi"n del hecho ; o de$en redactarse conclusiones más !ue en los casos en !ue la e)posici"n haa sido mu e)tensa o comple2a. 5 G ecomendaci"n del auditor informático ; 8e$erá entenderse por s' sola# por simple lectura. ; 8e$erá estar suficientemente soportada en el propio te)to. ; 8e$erá ser concreta e)acta en el tiempo# para !ue pueda ser verificada su implementaci"n. ; La recomendaci"n se redactará de forma !ue vaa dirigida e)presamente a la persona o personas !ue puedan implementarla. . &arta de introducci"n o presentaci"n del informe final0 La carta de introducci"n tiene especial importancia por!ue en ella ha de resumirse la auditoria realizada. Se destina e)clusivamente al responsa$le má)imo de la empresa# o a la persona concreta !ue encargo o contrato la auditoria. +s' como pueden e)istir tantas copias del informe ?inal como solicite el cliente# la auditor'a no hará copias de la citada carta de Introducci"n. La carta de introducci"n poseerá los siguientes atri$utos0 /endrá como má)imo 4 folios. Incluirá fecha# naturaleza# o$2etivos alcance. &uantificará la importancia de las áreas anali zadas. (roporcionará una conclusi"n general# concretando las áreas de gran de$ilidad. • •
• •
• • • •
• •
(resentará las de$ilidades en orden de importancia gravedad. %n la carta de Introducci"n no se escri$irán nunca recomendaciones.
!efinición de la metodología CR&R &E son las siglas de &omputer resource management review# su traducci"n más adecuada# %valuaci"n de la gesti"n de recursos informáticos. %n cual!uier caso# esta terminolog'a !uiere destacar la posi$ilidad de realizar una evaluaci"n de eficiencia de utilizaci"n de los recursos por medio del management. :na revisi"n de esta naturaleza no tiene en s' misma el grado de profundidad de una auditoria informática glo$al# pero proporciona soluciones más rápidas a p ro$lemas concretos notorios. Supuestos de aplicaci"n0 %n funci"n de la definici"n dada# la metodolog'a a$reviada &E es aplica$le más a deficiencias organizativas gerenciales !ue a pro$lemas de tipo t*cnico# pero no cu$re cual!uier área de un &entro de (rocesos de 8atos. %l m*todo &E puede aplicarse cuando se producen algunas de las situaciones !ue se citan0 Se detecta una mala respuesta a las p eticiones necesidades de los usuarios. Los resultados del &entro de (rocesos de 8atos no están a disposici"n de los usuarios en el momento oportuno. Se genera con alguna frecuencia informaci"n err"nea por fallos de datos o proceso. %)isten so$recargas frecuentes de capacidad de proceso. %)isten costes e)cesivos de proceso en el &entro de (roceso de 8atos. %fectivamente# son *stas no otras las situaciones !ue el auditor informático encuentra con maor frecuencia. +un!ue pueden e)istir factores t*cnicos !ue causen las de$ilidades descritas# ha !ue convenir en la maor incidencia de fallos de gesti"n. Breas de aplicaci"n0 Las áreas en !ue el m*todo &E puede ser aplicado se corresponden con las su2etas a las condiciones de aplicaci"n se-aladas en puntos anteriores0 Aesti"n de 8atos. &ontrol de @peraciones. &ontrol utilizaci"n de recursos materiales h umanos. Interfaces relaciones con usuarios. (lanificaci"n. @rganizaci"n administraci"n. &iertamente# el &E no es adecuado para evaluar la procedencia de ad!uisici"n de nuevos e!uipos &apacit (lanning7 o para revisar mu a fondo los caminos cr'ticos o las holguras de un (roecto comple2o. @$2etivos0 &E tiene como o$2etivo fundamental evaluar el grado de $ondad o ineficiencia de los procedimientos m*todos de gesti"n !ue se o$servan en un &entro de (roceso de 8atos. Las ecomendaciones !ue se emitan como resultado de la aplicaci"n del &E# tendrán como finalidad algunas de las !ue se relacionan0 Identificar fi2as responsa$ilidades. Ee2orar la fle)i$ilidad de realizaci"n de actividades. +umentar la productividad. 8isminuir costes Ee2orar los m*todos procedimientos de 8irecci"n. +lcance Se fi2arán los l'mites !ue a$arcará el &E# antes de comenzar el tra$a2o. Se esta$lecen tres clases0 1. educido. %l resultado consiste en se-alar las áreas de actuaci"n con potencialidad inmediata de o$tenci"n de $eneficios. C. Eedio. %n este caso# el &E a esta$lece conclusiones ecomendaciones# tal como se hace en la auditoria informática ordinaria. • •
• • •
• • • • • •
• • • • •
3. +mplio. %l &E inclue (lanes de +cci"n# aportando t*cnicas de implementaci"n de las ecomendaciones# a la par !ue desarrolla las conclusiones.
A"!ITRIA !E SISTE&AS EN E$ CNTE3T !E$ CENTR !E C&"NICACINES eferente a la empresa en donde se aplicara la auditoria# de$emos mencionar algunas caracter'sticas de la empresa0 1. %s una empresa 2oven# la venta2a de este punto es !ue los sistemas se están dise-ando adecuándose a sus necesidades# no e)isten tra$as por sistemas antiguos o sistemas comple2os. C. La empresa cuenta con dos en d os am$ientes# el área de navegaci"n internet7 el área de telefon'a. 3. La empresa esta utilizando un software de facturaci"n o sistema de control# para am$as áreas# lo cual les permite llevar de una manera ordenada los controles administrativos. La empresa comete a simple viste grandes errores# !uizás por ser nueva# !uizás por no tener la accesoria adecuada# ello dan pie a algunas recomendaciones0 ; 8e$e respaldarse la informaci"n del sistema de facturaci"n. ; 8e$en crearse diferentes niveles de usuarios administrador# operadores7. ; +d!uirir las licencias de todo el software con los cuales funcionan# para evitar inconvenientes permanecer dentro de los márgenes de la le. %n otro orden de ideas# en lo referente al servicio !ue prestan al usuario# respecto a cual!uiera de los dos am$ientes# el servicio puede ser catalogado como acepta$le# a !ue son procesos mu simples# los cuales son controlados por el software de facturaci"n# a sea en el área de llamadas o de navegaci"n# el programa tarifa el tiempo e imprime un reporte factura7 con lo cual no e)iste ning,n pro$lema en estas áreas. (ara incrementar la satisfacci"n del usuario podr'a ha$il itarse una opci"n de prepago tanto en llamadas como en navegaci"n de forma tal !ue las personas puedan controlar el monto !ue van a gastar. Importante es# !ue los datos de la facturaci"n solo sean mane2ados por personas calificadas# es decir# no por empleados# sino por el gerente o 2efe de área# para ello se propone !ue de$en crearse niveles de usuarios. &on las recomendaciones dadas anteriormente# se garantiza el me2or servicio por parte de la empresa so$retodo# la seguridad de los datos# el control de los datos la reducci"n del entorno !ue los puede mane2ar# logrando privacidad confia$ilidad de estos. CNC$"SIN 9acemos *nfasis en la importancia de la auditoria como herramienta gerencial para la toma de decisiones para poder verificar los puntos d*$iles de las organizaciones con el fin de tomar medidas precauciones a tiempo. (rincipalmente# la conclusi"n a la !ue hemos podido llegar# es !ue toda empresa# p,$lica o privada# !ue posean sistemas de informaci"n medianamente comple2os# de$en de someterse a un control estricto de evaluaci"n de eficacia eficiencia. 9o en d'a# un alto porcenta2e de las empresas tienen toda su informaci"n estructurada en sistemas informáticos# de a!u'# la vital importancia !ue los sistemas de informaci"n funcionen correctamente. La empresa ho# de$e precisa informatizarse. %l *)ito de una empresa depende de la eficiencia de sus sistemas de informaci"n. :na empresa puede tener un staff de gente de primera# pero tiene un sistema informático propenso a errores# lento# vulnera$le e inesta$le< si no ha un $alance entre estas dos cosas# la empresa nunca saldrá a adelante. %n cuanto al tra$a2o de la auditoria en s'# podemos remarcar !ue se precisa de gran conocimiento de Informática# seriedad# capacidad# minuciosidad responsa$ilidad< la auditoria de Sistemas de$e hacerse por gente altamente capacitada# una auditoria mal hecha puede acarrear consecuencias drásticas para la empresa auditada# principalmente econ"micas. BIB$I(RA4IA +uditoria de Sistemas. Q@ LI%K 8isponi$le en0 http0HHwww.geocities.comHlsialerHotasInteresantes.htm
A$NS RI'AS5 (N6A$ Auditoria Inform0tica+ 8'az de Santos. Eadrid 1RR. 1 págs. 7"AN RI'AS5 ANTNI !E / #8RE6 #ASC"A$5 A"RRA $a Auditoria en el desarrollo de #ro/ectos Inform0ticos+ 8'az de Santos. Eadrid 1RR. 1 págs. &I$$S5 !A'I! &anual de Auditoria de la calidad+ Aesti"n CJJJ. arcelona 1RR. C4C págs. #IATTINI 'E$T9"IS5 &ARI / TRS Auditing Information S/stems+ Idea Aroup (u$lishing. 9ershe# London CJJJ. C46 págs. #IATTINI 'E$T9"IS5 &ARI / !E$ #ES NA'ARR E&I$I :Editores; Auditoria Inform0tica% "n enfo 2rhg1Tgmail.com
