www.FreeLibros.

me

AUDITORIA INFORMTICA
(Jn enfoque prctico
2 EDICIN A M P L I A D A Y R EVI SADA

M a rio G. Pia ttin i Em ilio del P e s o A li'a o m e g a ^ ^ R a - M a

www.FreeLibros.me

Auditora Inform tica

Un enfoque prctico
2.a edicin ampliada y revisada Coordinadores Mario Gerardo Piattini Velthuis
Universidad de Casilla-La Mancha

Emilio del Peso Navarro

IEE Informticos Europeos Experto

www.FreeLibros.me
Auditoria Inbumiliea I ncn!<yx ptittKo. 2 oJhio f linlj > io iw Ii Mano Geraido f*t.ituni Velthuit > Umilio Jet Peto Navarro ISBN K4-7X97-M4-X. J ki .W i rifinal puMieada RAMA Idilon.il, MADRID. F.pjAa Donhui icw vj J oi O RA-MA tidiloiial MARCAS COMERCIALES: RAMA ha ment*y> alo largode o k libro dMinguu la mite. re*iUadade Ri l4lTiIW>CKliptivO*. tiyuien3><el olilo de m.owwul.i' Hoc uiiIi/j < 1 labtKaMe. in mlencia de mlnivpr U auro y ilo <hcnelii io del propinarlo de Ij n tn u

0 * 1 AI.FAOMKGA GRUFO F.DITOR, S.A. 4 C.V. Pnifoeat I I.IV.Col. Del Valle. 0M00 Mitico. D.F Micmhiu de U C k u u Naootul de li ladutliia F-dilori.il Mentana Repuro No. JJIT InieiiKi lifipy/aw.airomecxonu> F-mail n M n l WiKumtia^iwLni ISBN: 970-15-07)1.! IV rw Iw retcrvado. t>u iN j o piopxdjd imelivluildciu auloi >lo dcrelande fuN* a io en lenirua opjV'Ij h.m tido legalmente tramferidot al edito* PioftiNda tu teptodactKta pii ivil o (ot*l pea cualfaaer m nk in permito poi eterno dei profittino de lo derc<ho del eopyitfht NOTA IMPORTANTE L (ormaeKjn contcnxla en etla obr a tiene a Iin etclutivameMe didfcllco y. poi lo unto, no e-vU pievi no tu afrovethamicMo j mvel pnrfettoaal indatirul liv .*iAHmci tcvnii.it y piorijnu laeluidot. lua udo elafaradi eon (un euidado p * el juioi > reproducidoi bojo etinciat norma de eonirol AI.I AOMWiA CRI PO EDITOR. S A. ile C.V. ieri juriduaineaee repoowblc poi ctrotet u orninone; daftot y ivi)kk< >|ue e pudician allibali al n o de Li infomacidn comprendida en ette libro, ni p U uiliracita imkbidi <uc pu*ei j dirtele

Imprrxi: Geme Suoi EdUoriiI Bojcci. D C . Coloratola

www.FreeLibros.me

PR E F A C IO

Dtele los inicio de la humanidad las distintas cultura), han dado una importancia enorme a los lemas de contabilidad, y por u n to tambin han necestalo d e medios que permitieran verificar vas registros, es decir, de la auditora. De hect se piensa que la a vencin de la escritura surgi com o respuesta a la necesidad d t auditar. Flesher <1993): por lo que la d e auditor seria una de las profesiones ms antigua*. Pero es realm ente a partir d e finales de 1800 cuando la audiDra financiera se extiende por el Reino U nido y Norteamrica, y se sientan las base* de las prcticas que conocemos en la actualidad. A partir de 1950. la informtica ve conviene en una herramienta muy importante ca las labores de auditoria financiera. >a que permite llevar a cabo Je form a rpida y precita, operaciones que manualmente consumiran demasiados recjrsos Empieza la denominada a u d ito ra con el c o m p u tad o r", que no puede consi Jerar\e verdadera auditora informtica, sino que utiliza el computador como herramienta del auditor financiero. Sin embargo, al convertirse los sistemas de informacin de la im presa cada ve; ais dependientes de los computadores, surge la necesidad de verificar que los tatem as informticos funcionan correctamente, em pezndote a finales de los aAos sesenta a descubrirse varios casos de fraude cometidos con ayuda del computador <pie hacen inviable seguir conformndose con la auditoria "a lre d e d o r el co m p u tad o r Surge asi la necesidad de una nueva especialidad dentro d e la auditcra. cuyo objetivo es precisamente verificar el funcionamiento correcto, eficaz y eficiente d e la informtica, en definitiva, la a u d ito ra del co m p u tad o r . En la actualidad nadie duda que la informacin se ha convertido en uno de los activos principales d e las empresa*, que representa su principal ventaja estratgica

www.FreeLibros.me
XL AUXTtlAIM<)MATICVU\t>MHJI I HtSCIKO Las empresas invienen enormes can tid a d de dinero y tiempo en la creacin de sistema* do informacin que les o r e /ta n la mayor productividad y calidad posibles Es por eso que los temas relativos a la auditoria informtica cobran cada v e / m is relevancia tanto a nivel internacional com o nacional. De esa importancia creciente de la informacin nace la necesidad de que esc bien jurdico sea protegido por el derecho y aparezca regulado en el ordenamiento jurdico. La entrada en vigor de la Ix y Orgnica 15/1999 d e 13 d e diciembre de Proteccin de Datos de Carcter Personal; la Ley Orgnica I(VI9 9 5 de 23 de noviembre que aprueba el nuevo Cdigo Penal, y por ltimo el Texto Refundido de la Ley de Ij P ropiedad Intelectual aprobado por el Real Decreto Legislativo 1/19% de 12 de abril as como una serie de normas especficas del sector establecen un marco jurdico de k que se viene denominando Nuevas Tecnologas d e la Informacin. El establecimiento de ese marco jurdico incide de forma impon ante en la Auditoria Informtica. Pues si antes comprobbamos que era imposible realizar una Auditoria de Cuentas si no se auditaba lo que comentan esas "cajas negras que son los sistemas de informacin y que contienen todos los datos ecoomicos d e las organizaciones, ahora vemos que difcilmente se puede realizar una Auditoria Informtica si no tenemos en cuenta el marco jurdico en que se sitan esos sistemas informticos. Colaboran en el libro veintiocho autores, entre los que se encuentran profesores de universidad y profesionales d e reconocido prestigio en el mundo d e la auditora informtica, reuniendo algunos de ellos las dos cualidades, lo que aporta un gran valor afodtdo a la obra al ofrecer perspectivas y experiencias muy variadas sobre prcticamente todos los aspectos relacionados con la auditora informtica. Los objetivos que nos hemos propuesto en esta obra son los siguientes: Presentar de form a clara y precisa los conceptos fundamentales bre control interno y auditora informtica. O frecer un tratamiento sistemtico de las tcnicas y mtodos del auditor informtico. Dar a conocer los aspectos organizativos, jurdicos y deontolgcos asociados a b auditoria informtica. Exponer en profundidad las principales reas de la auditora informtica: fsica, seguridad, desarrollo, mantenimiento, explotacin, ofimtica. calidad, redes, direccin, etc. Suministrar una visin global de la auditoria informtica en diversos sectores: banca, sector areo, pblico. PYMES. etc.

www.FreeLibros.me
HKI>MK> XLI Proporcionar pautas y experiencias que ayuden al profesional informtico en las tareas de auditoria.

En esta segunda edicin del libro se han actualizado y corregido vahos captulos, incorporando otros nuevos, con el fin de ofrecer una panormica actual y completa de este campo.

CONTENIDO
La obra est dividida en tres partes claram ente diferenciadas:

Parte I: Introduccin
En esta primera parte, que con va d e siete captulos, se exxm en diversos ooceptos fundamentales de la auditoria informtica. En el primer cap iu lo se describe la utilizacin de la informtica com o herramienta del auditor financelo. mientras que ca el segundo captulo ya empieza la auditoria informtica propiamente dicha, analizndose su relacin con el control interno, dedicndose el c ap iu lo siguiente a exponer las principales metodologas de control interno, seguridad y auditoria formca. El captulo 4 trata de uno de los aspectos fundamentales de la auditoria y de cuya calidad depende realm ente el xito d e la misma: el informe de auditora O tro aspecto esencial e s la organizacin del departamento de auditoria inform tica que te analiza en el captulo siguiente. Esta porte finaliza con dos captulos que se dedican a explorar sendos aspectos a los que no se les suele dedicar la extensin necesaria en los libros exigentes: el marco jurdico y la deontologa del auditor informtico, pero que nosotros estimamos imprescindibles en la formacin de cualquier profesional que trabaje e i esta rea.

Parte II: Principales reas de la auditora informtica

Los captulos que configuran esta porte central del libro se dedicin a analizar las Avenas reas a las que se aplica la auditora informtica. As. se empieza en el captulo 8 con la auditoria fsica, mientras que el captulo siguiente se dedica a la aaditora de la ofimtica. que cada da tiene un mayor peso en las empresas c s&titciones; y el captulo 10 a la auditora de la direccin. Los captulos I I al 13 se dedican a exponer las consideraciotes de auditoria informtica sobre tres reas bastante relacionadas: explotacie. desarrollo y mantenimiento; que se complementan con el contenido d e los dos cajitulos siguientes que abordan las bases de dalos y la tcnica de sistemas respectivament:.

www.FreeLibros.me
Xl.ll AI'OtTUm IMOWMATK'A: UN ENTOQC'fc WtCTKO Dos aspectos que cada da cobran m is importancia dentro de la aplicacin d e las Tecnologas de la Informacin a las empresas, la calidad y la seguridad, son objeto de los captulos I6>- 17. El capitulo 18 se dedica por completo a analizar la auditoria de redes, uno de los componente* ms importantes en un sistema de informacin, que est experimentando un cam bio espectacular en la ltima dcada. El captulo siguiente se dedica a exponer los principales demento* que deben examinante a la hora de auditar las aplicaciones inform tica', mim tras que el captulo 2(1 profundiza en estos aspectos para las auditorias de los sistemas E1S/DSS y las aplicaciones de sim ulacin. Esta parte finaliza con un captulo dedicado a la auditora de los entornos informticos desde el punto de vista jurdico, totalmente actualizado para esta segunda edicin.

Parte III: Auditora informtica en diversos sectores

N o queramos dejar fuera de esta obra algunas consideraciones sobre la aplicacin de la auditoria informtica a diversos sectores econmicos que sirviera para aglutinar de forma prctica los conceptos expuestos en ln parte anterior. Siguiendo esta filosofa, dedicamos el capitulo 22 a la auditoria informtica en sector bancario. mientras que el captulo 23 analiza la auditoria informtica en sector transportes, especficamente el areo. Los captulos 24 y 25 tratan sobre auditora informtica en dos sectores muy importantes m nuestro pas: Administracin Pblica y las PYMES. el el la la

Parte IV: Otras cuestiones relacionadas con la auditora informtica

En esta segunda edicin del libro se han incorporado dos nuevos captulos que complementan a los anteriores tratando im portantes cuestiones relacionadas con la auditora informtica. El captulo 26 aborda la relacin entre el peritaje y la auditora informtica, mientras que el captulo 27 analiza el contrato d e auditoria. El libro finaliza con una amplia bibliografa que ha servido d e referencia y que. en parte, tambin se ofrece como lecturas recomendadas en cada uno de lo* captulos. Tambin hemos incluido en cada captulo unas preguntas de repaso que pueden indicar al lector el grado de asimilacin que ha alcanzado sobre la materia. Por ltim o se incluyen los acrnimos utilizados en el texto.

www.FreeLibros.me
ORIENTACIN A LO S LEC TO R ES
Aunque un conocimiento en profundidad de l u tcnica* y hcTamiemas de la auditoria informtica puede estar reservado a lo profesionales de la materia, nuestro propsito al editar esta obra ha sido dirigirnos a una audiencia muchc m is amplia que comprende: Participantes en seminarios o c u n o s monogrficos informtica, bien sean de introduccin o m is avanzados. sobre auditoria

Profesionales informticos y economistas que estn trabajando en el rea de auditoria, ya sea financiera o informtica, y que deseen a m p lia y perfeccionar sus conocimientos. Directivos que sean responsables de la gestin del departamento de sistemas de informacin, su desarrollo o explotacin. Profesionales del Derecho que se encuentren trabajarxfo en el campo informtico. Estudiantes universitarios de la asignatura Auditoria hform tica. que afortunadamente se va incorporando actualmente en los planes d e estudio de un mayor nm ero de universidades. Consultores informticos y usuarios avanzados que tengan iiters en adquirir algunos conocimientos sobre auditoria informtica.

Debido a la diversidad de la audiencia, el estudio de esta obra puede realizarse de maneras muy distinta*, dependiendo de la finalidad y conocrmmlos previos del lector, ya sea auditor o auditado. Cada porte y cada captulo pueden consultarse de manera autnma sin tener que Kguir el orden que se ha establecido.

AGRADECIMIENTOS
Querramos expresar nuestro agradecimiento, en primer lugar, a los autores que colaboran en esta obra y que son sus verdaderos artfices. Si* conocimientos, experiencias y autoridad en el cam po d e la auditora informtica constituyen, sin lugar a dudas, una garanta de la calidad d e su contenido. Queremos agradecer a Rafael Rodrguez de Cora, antiguo presidente d e la OAI (Organizacin d e Auditoria Informtica), el haber aceptado escribir el prlogo a la primera edicin de esta obra, y a Marina TosiniVo presidenta actual d e la OAI por el prlogo a esta segunda edicin, pues al igual que el resto de los rompaAeros de la

www.FreeLibros.me
XIJV A X TO U INFORMTICA UXK>FOQfEPRCTICO__________________________ OAI. ha sido durante varios aflos una fuente constante de aprendizaje y de intercambio de nicas, manteniendo encendida la llama de la auditora informtica en nuestro pas. Asimismo agradecemos a Miguel Recio G ayo su inestimable ayuda en la revisin de la obra. Desde estas pginas queremos tambin agradecer a los lectores de la primera edicin del libro por mis sugerencias y felicitaciones, ya que ellos han hecho posible la realizacin de esta segunda edicin. Mario Piattini quiere dejar testim onio de su reconocimiento a los distintos profesores que tuvo, ya hace varios aflos. en el M ster de Auditora Informtica dirigido por Carlos Manuel Fernndez, organizado por la empresa CENE1. Ellos despertaron su inters por un rea cada da ms relevante dentro de la Informtica. Emilio del Peso quiere expresar particularmente su agradecimiento a todos aquellos que han confiado en l siendo el que menos sabe en esta materia: a su familia que siempre, de una forma u otra, colabora en todo aquello que hace, y especialmente a sus hijas Nuria y Mara del Mar. que han colaborado en la transcripcin y correccin de esta obra. Por ltimo, nos resta dar las gracias a Ana M. Reyes por sus valiosas sugerencias que. com o en otras muchas ocasiones, han contribuido a mejorar considerablemente este libro, as como a la empresa Albadalejo. S .L , que se encarg de la composicin del mismo, y a la editorial Ra-Ma. especialmente a los Luis Ramrez, por su apoyo y confianza. M ario Piainni Emilio d e l Peto MaJri. OttefcrtXDO

www.FreeLibros.me

P R L O G O A LA PR IM E R A KDICIN

T engo el gran placer de presentar Auditoria Informtica: Un tn p q u r prctico, de lo Editores Emilio del Peso y M ario Piattini. M e parece un libro extraordinariamente oportuno p a n la situacin en que vivim os, desde el punto de v isu tecnolgico, d e los negocios, y de la auditoria y seguridad informtica, ya que aporta un enfoque egrado y completo. Estamos inmersos en un profundo cam bio de todo tipo que nos l evar al prximo agio XXI. La empresa y organizaciones dependen de los rdenes econmicos, industriales, y sociales en los que se encuentran inmersas por lo que. si las tendencias tecnolgicas y los entornos econmicos e industrales cambian. Jeben ad ap ta rse rpidam ente a las nuevas circunstancias para sobrevivir. Una de lis tendencia actuales ms significativas es la que se dirige desde una Sociedad lid u s tria l hacia la llamada Sociedad de Inform acin. Este cambio es muy rpido, est afectando al mundo entero, y su comprensin es fundamental para las organizaciones d e lodo tipo, particularmente en el contexto de ktt Sistemas y Tecnologas de Informacin. Aunque lo avances tecnolgicos d e los lUtimo veinte aflos han sido constantes y espectaculares, en los ltimos cinco artos se Ki producido una verdadera revolucin tecnolgica d e gran calado im pacto para la propia industria informtica, as com o de consecuencias importantes pora el resto de los sectores. Cada ve* un mayor nmero de organizaciones considera que la informacin y la tecnologa asociada a ella representan sus activos m is imprtame. De igual m odo que se exige para lo otros activos de la empresa, los requerimientos de calidad, controles, seguridad c informacin, son indispensables. La gerencia debe estaUecer un sistema de control interno adecuado. Tal sistema debe soportar debidamente lo procesos del negocio.

www.FreeLibros.me
XXX AfOtTOlA INFORMTICA UN BflOQUIl WtACTKO m m Hacindose eco de estas tendencias. U propia Organizacin ISACA (Information System s Audit and Control Avsociation). a travs de su Fundacin, public en diciembre de 1995 el C oN T (Control Objectives for Information and Relates! Technology). com o consecuencia de cuatro aAos de intensa investigacin y del trabajo d e un gran equipo de expertos internacionales. E l marco del CobiT e s la definicin de estndares y conducta profesional para la gestin y el control de los Sistemas de Informacin, en todos sus aspectos, y unificando diferentes estind arev mtodos de evaluacin y controles anteriores. Adicionalm ente, esta metodologa apoda un factor diferencial enormemente importante: la orientacin hacia el negocio. Est disertado no slo para ser utilizado por usuarios y auditores, sino tambin como una extensa gua para gestionar los procesos de negocios. Sin embargo, en trminos generales, podemos decir que a pesar de los grandes adelantos tecnolgicos, la situacin actual d e los Sistemas de Informacin en las Empresas y Organizaciones espaolas se caracteriza frecuentemente por una falla de asim ilacin de las nuevas tecnologas, por una mfrautilizacin de los equipos informticos, por un descontento generalizado de los usuarios, por una obsolescencia de las aplicaciones informticas actuales, por una falta de planificacin de los Sistemas de Informacin, y por soluciones planteadas parcialmente que. al no estar integradas, producen islotes de mecanizacin y d e procesos manuales difciles de controlar y caros de mantener. En definitiva, por una falta de estndares y metodologas, y por una falta d e formacin y cultura generalizada, sobre todo en los aspectos de control y de segundad informtica. I-a Auditora Informtica ha aportado soluciones, en el pasado, para estos problemas; pero se ha realizado frecuentemente, hasta ahora, slo en grandes empresas y. en la mayora de los casos, com o un complemento a la Auditora Financiera. Por diversas razones y por el mayor im pacto que estn adquiriendo las Tecnologas de Informacin en la empresa, esta disciplina est siendo cada vez ms importante y su aplicacin puede llevarse a cabo tambin en la PYME. La Auditora Informtica plantea unos mtodos y procedimientos de control d e los Sistemas de Informacin que son vlidos para cualquier tamaAo d e empresa. Aqu e s donde creo que este libro de Auditoria Informtica: Un enfoque prctico es de una gran utilidad al presentar un compendio exhaustivo d e los temas d e ms actualidad por los autores ms cualificado del sector. Puede servir de base, por un lado, para llevar a cabo la cultura y formacin sobre Auditora Informtica, a la que me refera anteriormente, desde un punto de vista tcnico: por otro lado, toca otros temas de inters actual y prctico, desde el punto de vista del negocio y de la empresa, relativos a la organizacin, a la deontologa. al marco jurdico, a la responsabilidad del empresario, y a la aplicacin prctica de la Auditora Informtica en diversos sectores empresariales.

www.FreeLibros.me
pkO mxvo a i a pwvij (a

uxciQs xxxi

Es de destacar, y de agradecer, el subttulo de Un enfoque prctico. La mayora de Us publicaciones de Auditora Informtica se han escrito en otra idiom as o han sido traducidas en Sudamrica. y eran manejadas y utilizadas por especialistas, pero no han calado suficientemente en el pblico en general". Mucha d e ellas se han orientado hacia especialistas de Auditora Informtica para realizar >u trabajo, lo que est tambin ampliamente descrito e n l. pero entiendo que este libro adems, tal como est planteado, supone ese acercamiento de la Auditora a los rmpresarios. a los usuarios y a esc pblico en general. La competencia global ya est aqu. Las empresas y organizaciones se deben reestructurar hacia operaciones cada vez m is competitivas y. c o n o consecuencia, deben aprovechar los avances de las tecnologas de los Sistemas de Informacin para mejorar su situacin competitiva. Hoy da hablamos de reingeniera de negocios y d e procesos, d : calidad total, de procesos distribuidos, de organizaciones planas, de EIS/D SS. etc., o m o cambios que generan un im pacto en la manera en que operan las organizaciones privadas y pblicas. Estos cambios estn teniendo y continuarn teniendo implicaciones profundas para la gestin y para las estructuras de control en las crganizaciones del mundo entero. Entre las implicaciones de las tecnologas de informacin sobre la gestin empresarial no quiero desaprovechar la oportunidad para comentar el gran impacto, en I empresas y organizaciones, que tendr el efecto del cam bio al euro y del problema del ao 2000 en las aplicaciones actuales. Esto ser un ejemplo dramtico d e que la previsin, el control, la seguridad, y la reduccin de costes, im plicados en los Sistemas de Informacin mecanizados. pueden convertirse en una estrategia fundamental de las organizaciones. La automatizacin de Us funciones y procesos de la organizacin, por su propia naturaleza, genera una mayor dependencia de mecanismos d e control en los computadores y redes desde el purco de vista del hardware y del software. En este marco, de cam bio acelerado, si los responsables van a estar a la altura de las circunstancias, es necesario que se pongan al da en cuanto a tecnologa y entorno de la Auditora Informtica. Este libro, compilado por Emilio d tl Peso y Mario Piattini. puede ser fundamental para ello. Desde las Organizaciones como la O AI. que nos dedicamos a difundir y a promooonar esta actividad, deseamos fervientemente que el libro tenga la divulgacin que se merece y que efectivamente llegue a crear una "escuela" e s p i la , que se echa de menos en nuestro enlom o, para mcntalizar a la Sociedad de la inportancia de ex disciplina. por Rafael hoJrigue; de Cora PrruJoUf * U Oipoiuote de Kuitcti Inforatfuc* de b 1 SACA

www.FreeLibros.me

PR L O G O A LA SEG UN D A LU IC I N

L/i importante es m irar nuevamente ir nie m io en cuenta la i obras ya existentes. teniendo en cuenta sus leyes, su.t cdigos semnticos e mterrelackmet. Equipo Crnica Al releer este libro. A uditoria Inform tica: u n enfo q u e prctico, entend que ihi a re stillar una labor m u) ardua poder aiVadir algn concepto de in t e r i a los Kledot ya en las pginas siguientes Por esta ra/n. me be permitido un primer atrevimiento: esbozar algunas reflexiones propias sobre la Auditora de Sistemas de Informacin. asi como com ntanos obre el K 'ntcnido de esta obra. h i segundo atrevimiento es. en esta presentacin, hablar de "Auditora de Stocmas de Informacin" en v e / de "auditora informtica". La primera denominacin m i sustituyendo de alguna manera a la segunda. I j expresin Auditora de Sistemas de Informacin, que se esl consolidando en todo el mundo, corresponde a la realidad y previsin actual del avance de la tecnologas. Actualmente el acento est en la informacin. siendo el elemento tcnico un componente variado, diverso y cambiante, al servicio de la informacin. Este cam bio tambin ha sido adoptado hace varios aos por la Information Systems Audit and Control Associai ion (ISA CA h reflejndolo en d nombre para la asociacin. Volviendo la vista atrs, y tratando de explicarme, tambin a m misma, qu alente tiene ser un profesional de la Auditora de Sistemas d e Informacin, descubro que la principal atraccin est en su aspecto "creativo". De ahf la eleccin, como prlogo, de una frase de un equipo de creadores que resume para m una concepcin aplicable a la actividad de la que hablamos: aprensler de las obras de otros, con una

www.FreeLibros.me
XXXIV AlTOIINFORMATICA I M NKXE t PK S( IK O mirada nueva y actualizada, icncr en cuerna los fundamentos h<*cos para el desarrollo de la profesin, establecer un lenguaje comn de comunicacin e integrad* de todas las disciplinas o actividades que estn relacionadas, y al mismo tiempo, investigar en nuevas direcciones. lista, es tal vez la ra/ n m is importante que me ha hecho permanecer en esta profesin. l a opcin para esta permanencia engloba otro factor: la creciente consciencia del com etido social que puede desempear esta profesin. I j tecnologa c a cada dia ms presente en nuestras vidas, desde la domstica y privada kasta la profesional, y frente a este imparable impulso tecnolgico, la sociedad necesita tener una opinin objetiva c independiente sobre el margen de confianza que pued* tener en los sistemas de informacin. Por lo tanto, sigo convencida de lo acertado d e la decision cuando acept en el aik> 1977 cons'cftirmc en un auditor informtico. Para mf. en ese momento en EspaAa era una profesin incipiente, aunque, en otros pases tuviese ya mayora de edad. Desde aquel entonces la Auditora de Sistemas d e Informacin ha experimentado en EspaAa. una notable expansin, hasta el punto de convertirse en un elemento clave con relacin a fiabilidad d e los servicios, usos y prestaciones d e los sistemas informticos y nuevas tecnologas. Publicaciones com o la presente son de vital importancia para la difusin de la actividad y utilidad de la Auditora d e Sistemas d e Informacin, y adems permiten, especialmente para aquellos que se inician en esta actividad, apeyarse en el camino ya recorrido por otros profesionales como punto de referencia. La actividad profesional se basa en unas "buenas prcticas'' consensuadas por los profesionales a travs de sus asociaciones profesionales. Los auditores de sistemas de informacin deben ser los verdaderos protagonistas d e establecer los fundamentos del ejercicio de su profesin de una forma coherente, meditada y atendiendo a kit avance* de la tecnologa, as como a las necesidades d e la sociedad a la cual se deben. ste e s uno de los objetivos de la Organizacin de Auditora liiorm tica. capitulo de la ISACA. que en Espaa, d e form a pionera, fue fundada <n el arto 1987. Una asociacin de este tipo, con la participacin activa de sus integrantes, debera intentar mejorar, desarrollar, c onsolidar y armonizar la profesin, logrando el afianzamiento de las metodologas de Auditora de Sistemas d e Informacin. Se trata de establecer unas bases slidas que tienen q u : ver. principalmente, con el objetivo de la Auditora de Sistemas de Informacin, el conocimiento d e los elementos auditados y la capacidad para detectar riesgos. La Auditora de Sistemas de Informacin, u l como se entiende en el mbito internacional, en los colectivos de profesionales, no tiene como propsito esencial saber si un de te-minado control, tanto predeterminado como adecuado, se ha implantado sim plemente, sino saber qu control o controles existen con la misma finalidad, qu objetivo y fin tim en, cmo se realizan

www.FreeLibros.me
o AMA_______________________________________ WtlXXX A LA SECUNDA UXCKX XXXV y la eficacia tienen cu cuanto al cumplimiento. y qu nesg as existen an para los sistemas de informacin, o bien qu perjuicios pueden causar indirectamente. A partir de aqu, dada la diversidad de la tecnologa y sus usm e implantacin, se puede decir que no existe una verdad absoluta y taxativa sobre qu se considera buenos mecanismos de control, y a que sto* son siempre el producto de una situacin determinada, as como de su especificidad- Por eso los auditores de Sistemas de Informacin, a travs de sus experiencias, colaboran para mejorar, consolidar y armonizar lis prcticas de esta profesin. La mejora se obtendr con una actitud innovadora y creativa de los profesionales que las comparten y contrastan para tratar de consolidar y armonizar un referente comn tanto pora los integrantes del colectivo como para I usuarios de sus servicios. En los ltimos tiempos, la legislacin relacionada con las tecnologas de la informacin y con el tratamiento de datos personales, alude a las auditoras sin darles un apellido determinado, ni una definicin c o n creta Se entiende, d ado el elemento auditado y los resultados que se le pide a esa auditora, que debera tratarse de una Auditora de Sistemas de informacin. Tam poco esta actividad estf definida en los diccionarios, incluyendo el de la Lengua E spaola l-a ms cerca-ia e s la auditora contable, o la de auditor, que no cooperan al esclarecimiento d e la p ofesin. sino que al contrario, e s posible que confundan an ms. Sin embargo, se desprende de todas ellas, a mi entender, la idea de la independencia u objetividad del auditor, as como la necesidad de un trabajo profesional claramente definido. A m odo de ilustracin sobre kxs principios de la actividac. se incluyen dos manifestaciones de la ISACA: Los objetivos de la Auditora d e Sistemas de Informacin deben brinda a la Direccin de una seguridad razonablr que los controles se cumplen, fundamentar los riesgos resultantes donde existan debilidades significativas de control y aconsejar a La Direccin sobre accione* correctivas : as como "la realizacin de una Auditora d e Sistemas de Informacin implica la evaluacin y emisin de una opinin objetiva e independiente, y de recomendaciones sobre la fiabilidad de un sistema d e informacin". La Auditora de Sistemas de Informacin, dada su relacin intrnseca con las tecnologas de la informacin, con las entidades y organizaciones que utilizan estas tecnologas, y con Ion usuarios en general, mantiene necesariameate mtenclaciones con otras disciplinas o actividades profesionales, con las que comparten proyectos aunque, con distintas metas, reas de actuacin y responsabilidades. De hecho, la profesin se ha nutn d o y se nutre de e x p erto provenientes de distintas disciplinas afines. Los requisitos esenciales para realzar este tipo de actividad son: conocimientos slidos d e auditora, as com o conocmiento* tcnicos y entrenamiento permanente en las nuevas tecnologas. Esta situacin, dados los avances

www.FreeLibros.me
XXXVI M DIIOHIMSHlMSIVIK'.t I S I M i y i l*A. TII < d e la tecnologa. est llevando a lo auditores de sistem d e informacin a especializarte en determinadas reas o entorno tecnolgico. La realidad seAala que lo equipos de Auditora de Sistemas de Informacin de las entidades d e dimensin importante estn formados por profesionales multidisciplinares. El presente libro A uditoria Inform tica: u n tn fo q tc prctico, incluye acertadamente este aspecto de las inte relacio n es, desde la utilizacin de la informtica o herramientas tecnolgicas, en concreto con respecto a lo auditores financieros, al impacto de la creciente legislacin coc relacin a la utilizacin de las tecnologas. Oportunamente, se analizan aquello elemento comunc para distintos tipos de auditora, como son lo* principios de un informe de auditora, y los aspectos ticos que debe observar un auditor, Es de agradecer la clarificacin obre jn sistema de control memo y la realizacin de una Auditora de Sistemas de Informicin. El ejercicio de ambos actividades tiene puntos en comn, incluso en situackoe* determinadas se utilizan la mismas herramientas tcnicas. Sin embargo, existen diferencias especficas que se indican en los captulos correspondientes. El control interno de los sistemas de informacin es una responsabilidad primaria de us responsables. Adems aporta aspectos prcticos tanto de la organizacin de la funcin de Aucitora de Sistemas de Informacin, como de la realizacin de peritajes informiieo*. Coincidiendo con las definiciones de la ISACA referidas en esta presentacin, la Auditora de Sistema de Informacin abarca la revisin y eviluacin de todos los aspectos (o alguna seccin/rea) de los sistemas automatizado d e procesamiento de informacin, incluyendo procedim ientos relacionados no automticos, y las interrelacioncs entre ellos. De ah que. eficazmente, se hayan previsto tratamientos separados de distintas reas objeto de la Auditora de Sistemas de Informacin, desde la seguridad fsica y ofimtica. hasta lo aspectos de tipo legal, la calidad, y b seguridad, considerando tam biln los aspectos de gestin le los sistemas de informacin, la adecuacin de la actividad a entornos medios, lat reas de desarrollo, sistemas concretos y tecnologas especficas. Es importante destacar que este enfoque prctico abarca isimsmo el ejercicio de esta actividad en determinados sectores de actividad, que pueden imprim ir en la realizacin del trabajo del auditor una cierta particularzacin. ya que lo riesgos de los sistemas de informacin, en muchos casos, varan y dependen de la actividad empresarial. Los profesionales que han hecho posible este libro, esti haciendo un aporte cualitativo a este "cam ino que se hace al andar", contribuyendo i que la Auditora de Sistemas de Informacin se entienda en cuantos a sus objetivos, y que al mismo tiempo cum pla con u funcin ocia! de dar confianza en los sistemas de informacin a sus responsables y a la sociedad en general que recibe sus servicio. Quiero personalm ente agradecer a M ario Piattini y Emilio del Peso, por haberme honrado con la peticin de hacer esta presentacin. C o n o parte del colectivo

www.FreeLibros.me
i_____________________________________ HHfrjUOO A l-A SKA'KDAMUCKVM XXXVII profesional de auditores de sistemas d e informacin. agradezco um w n el esfuerzo dedicado pora llevar a buen trm ino estas publicaciones, y mi difuvn y. asimismo hago extensivo mi reconocimiento a los distintos autores por mi contribucin. Marina T o u rito Ccrtified Information Systems Auditor Presidenta de la Organizacin de Auditoria Informtica

www.FreeLibros.me

CO N T EN ID O

A u l o m ___________________________________________________________ XXI Prlogo a la p rim e ra e dicin....... ..... .................................................................................... - .. Prlogo a la se cunda edicin........................... .....................................- .............. X X X III P r c fa d o ......... - ........................................................................................ .................. XX XIX

PARTE I. INTRODUCCIN.................. ....................................

C A P T U L O I. I.A IN FO RM T IC A C O M O H E RRA M IEN TA DEL AU DITO R FIN A N C IE R O (M onto Hernndez Garca) ........... ................ 1.1 1.2 1.3 1.4 1.5 1.6 1.7

I
3

1.8 1.9

-------------- ........ 3 Definicin del en lo m o ------ -----Auditora. C o n c e p to ........ . -----------------------------------------------------4 Clases de auditora____________________________________ ________ 4 Procedim ientos................. _.................................... ............................... . 5 Variacin del o b je to .........................................~......... ................................. 1 Consultara. C o n c ep to ......... ........................................................................ 9 Ventajas de la Informtica como herramienta d e la Aoditcra financiera__ __________ ___________ --------------------------------- _ 12 1.7.1 Grado de inform an /a cid o __________ _____ ____________ 12 1.7.2 Mejora de U i tcnica habituales.......................... -------- 12 I .7 J E volucin-------------------------------------------------------------------19 1.7.4 Grado de utilizacin------- -------------- ............... - .................. 20 C onclusiones_____ ________________________ ____________________ 22 Cuestiones de re p o so ______ ____ _____ _____________ ______ 22 25 25

CA P T U L O 2. C O N T R O L IN T E R N O Y A U D IT O RA IN FO RM T IC A (Gloria Snchez Val riberas)..................... ......................... 2.1 Introd uccin__________________________________________________

www.FreeLibros.me
CA PTU LO 5. O R G A N IZ A C I N DF.I. D E PA R T A M E N T O DE AUDITO RA IN F O R M T IC A (Rafael Ruano D iez) -------------------------5.1 5.2 5.3 A ntecedentes........................ --------- ...................------- ....... . C ta e s y tipos de Auditoria Inform tica-------------............. ----- -----Funcin de Auditora Inform tica ............................ ....................... 5.3.1 D efinicin........... ............................................. ...................-----5.3.2 Perfiles profesionales de la funcin de Auditora Informtica 5.3.3 Funciones a desarrollar por la funcin de Auditora Inform tica...-------- -----..........------------------- .......--------- -----Organizacin de la funcin d e Auditora Inform tica............... ....... Cuestiones de repaso............ ................................ - .............. 107 107 109 110 110 111 112 115 117

5.4 5.5

CA PTU LO 6. E L M A R C O JU R D IC O D E I-A A UDITORA INFO R M TIC A (Emilio d t l Peso Navarro) ------------------------------ ------6.1 6.2 6.3 6.4 6.5 6.6 6.7 6.8 6l 9 6.10 6.11 6.12

119

-................. 119 Introduccin.......... ............. La proteccin de datos de carcter personal....--------- ..................------121 La proteccin jurdica d e los programas de com putador------------------124 Las bates de datos y la m ultim edia............................ .............. ....... .......... 128 Los delitos inform ticos. _______ ------------------------------------------................------------Los contratos informtico*............. .......... ....... ............................. - 136 E l intercarabto electrnico d e dato_______ ___ .......................... 141 La transferencia electrnica d e fondo-------------- ------------------- 142 La contratacin electrnica.------------- ------------ -------------------- 144 K1 documento electrnico-----------------------------------------------------------147 Lecturas recom endadas--------------------------------------------------- ----------148 Cuestiones de repaso............ ......... ....... - ............. ....... 149 151

C A PT U IX ) 7. D E O N T O L O G A D E L A U D IT O R IN F O R M T IC O Y C D IG O S T IC O S (Jorge Pez M a M ) ............ ...................... ...................... 7.1 7.2

Introduccin__________________________________________________ 151 Principio* deontolgicos aplicables a los auditores informticos............ 156 7.2.1 Principio de beneficio del auditado.............................................. 156 7.2.2 Principio de calidad.................. ................ .............. ............. 158 7.2.3 Principio de capacidad---------- -------------------- --------------158 7.2.4 Principio de cautela..............____________________________________ . ............. 7.2-5 Principio de comportamiento profesional-------------- - ......... 160 7.2.6 Principio de concentracin en el traba jo ........ .................. 160 7.2.7 Principio de confianza.................................................................. . 161 7.2.8 Principio de criterio pro p io ...... --------- -------- ------- 162 7.2.9 Principio de discrecin...........................................- ...................... 162 7.2.10 Principio de econom a.................................... ............................... 163 7.2.11 Principio de formacin continuada ...................... ....... ... 163

vi Ai pnowU isKrttvtncA: t y enfoque pkactkx 2.2

www.FreeLibros.me

2.3

2.4 2.5 2.6

Las funciones le control interno > auditora informticos .............. 27 2.2.1 Control Interno Informtico .................................................. 27 2.2.2 Auditora Informtica ............ . . . . . . . ----------------------------.......... 28 2.2.3 Control interno y auditora informticos: cam pos anl>gos.... 29 Sistema de Control Interno Informtico ..................... ........................- 30 2.3.1 Definicin y tipos de controles internos...................................... 30 2.3.2 Implantacin de un stem a Se controles internos inform ticos__________________________________________ 32 C onclusiones--------------------------- --------- --------------- ------------ -------42 Lecturas recomendada*--------------------------------------------------------------43 Cuestiones de repaso----. . . . --------------- --------- .............- .......-------43

C A P T U L O 3. M E T O D O L O G A S DE C O N T R O L INTER NO . SEG U R ID AD Y A U DITO RA INFO R M TIC A (J os M ara Gonzlez Zubieta)......... .................................................................................. ................ 3.1 3.2 Introduccin a las metodologas......... ........ .............. ................................... Metodologas de evaluacin Je rin a ti * ------------------ ----------------------3.2.1 Conceptos fundamentales............... ............- ---------------------3.2.2 Tipos de metodologas --------- ------------3.2.3 M etodologas ms com unes----- --------------- . . . . -----------------l-as metodologa* de Auditora Inform tica. . ----------------------- ---------El plan auditor informtico ----------------------------- ---------------- -----Control interno informtico. Sus mtodos y procedimientos. I j s herramientas de control_ _ . . . . . . . . . . . . . . . . . . . . . . . . . . . . ------- . . . . . . . . . . . . 3.5.1 La funcin Je co n tro l. . . . . . . ......... ....... ........................... 3.5.2 Metodologas d e clasificacin de la informacin y de obtencin le los procedim ientos le co n tro l.......................... 3.5.3 Las herramientas <k c ontrol........... ...................................... ...... Conclusione*___ ---------------------------------------- . . . . . . . . . . . . . ----Ejemplo de metodologa le auditora de una aplicacin........ . . . Lecturas recom endadas---- ---------------------------------------------- 91 Cuestiones le r e p a s o . . . . . . . . .------- ------------ .......................--------45 49 49 51 52 63 65 67 67 70 75 82 82 91

3.3 3.4

3.5

3.6 3.7 3.8 3.9

C A P T U L O 4. E L IN F O R M E DE AUDITO RA (J o s/ de la Pea Snchez) .............. ............ . . . ------------------------------ ... . . . . . . . 93 4.1 4.2 4.3 4.4 4.5 4.6 4.7 48 4 .9

Introduccin. . . . . . . . --------------------. . . . . . ---------------------93 Las n o m o s --------- ----------- ------ . . . . . --------------- ------- --------------95 La evidencia ___ . . . . . . . ------------ ----------------------. . . . . . --------97 I.as irregularidades------------------------- . . . . . . . --------------- ------- -98 l-a documentacin . . . . . . . . -------- ----------------------------------------...----------El informe----- -------------------------------------------- --------------------------99 Conclusiones____ ____ . . . . . . . . . . . . . . . . . . . . . . . ------------ 104 Lecturas recom endadas. . . . ------------------------. . . . . . . . . ---------------------105 Cuestiones de repaso------------------------------- ------ ------ . . . . . . . . . . . . . . . 106

X AUOfTOUlAINFORMATICA: US EXFOQtT. PKCTKT)_____________________________cm>

www.FreeLibros.me

7.3 7.4 7.5

7 .1 1 2 Principio de fortalecirroeoto y respeto de U pro/esio..... ........ 164 7.2.13 Principio de independencia_ _ ........_____________ _ I6S 7.2.14 Principio de informacin suficiente----- ------- .... ________ 166 7 2 .15 Principio de integridad m o n i --------------------------------------- ------------- 167 7.2.16 Principio de legalidad-------------------------------------- --------167 7.2.17 Pnncipio de libre com petencia------- ----- --------------------------168 7.2.18 Principio de no discriminacin---------- ----- ------------ ........ 168 7.2.19 Principio de no injerencia. ----------------- ------------------------169 7.2.20 Principio de precisin.-___ ______________ __ ____ ....... 169 7 2-21 Principio de publicidad adecuada.________________________ 169 7.2.22 Principio de responsabilidad _ --------------------------------- -------170 7.2.23 Principio de secreto profesional-------------- -------------------- _ _ 170 172 7.2.24 Principio de servicio pblico---------- --------------- --------------. . . 7.2.25 Principio de veracidad ____ . ----------------------------------173 C onclusiones__________________________________________________ 174 Lecturas recom endadas............ ...................................................... ..... 177 Cuestiones de repaso.... .................. ................................ ............177

P A R T E n . P R I N C I P A L E S R E A S D E I .A A U D I T O R A I N F O R M T I C A ................. .................................................................... ..............1 7 9 C A P T U L O 8. LA A U D IT O RA FSIC A (Gabriel Desmonte Basilio) ....... 8.1 8.2 Introduccin__ _______ _ ________________ _________ ___________ ___ I-a segundad fsica......... ................................................................. .......... 8.2.1 A nte*______________________________________ _____ _______ 8.2.2 D urante________ _________________________________________ 8.2.3 D espus______________________________________________ __ 8.3 reas de la seguridad fsic a............................................................................ 8.4 Definicin de Auditora F sica____ _____ ___ ____________ ....... 8.5 Fuentes de la Auditora Fsica---------- ---------------------- --------------- -----8.6 Objetivos de la Auditora Fsica .......... ................................................. ... 8.7 Tcnicas y herramientas del a uditor................................ ..... ............. 8.8 Responsabilidades de los a uditores........... .........._........ ......... ...... 8 .9 Fases de la Auditora Ffca_______________________________ - ____ 8.10 Desarrollo de las fases de la Auditora Fsica......... ................................... . 8.11 Lecturas recom endadas_____ ____________________________________ _ 8.12 Cuestiooe de repaso..._______________________ ............_________ C A P T U L O 9. A U D IT O RA DE LA O FIM T IC A (Manuel G m ez V az) ............................. ......... ..... 9.1 9.2 Introduccin......._______________ .......... Controles d e auditora.............................. ... 9.2.1 Kconoma. eficacia y eficiencia.. 181 181 182 182 183 184 185 187 188 189 189 190 191 192 195 195

...........

197 197 198 199

www.FreeLibros.me
COXTtNIDO XI 9.2-2 Seguridad---- -------------------- ---------------------- ------------- ------9.2.3 Norm ativa vigente.............................. ............................................ C onclusiones-__ -------------------------------------------------------------------Lecturas recom endadas----- ----------------- ----------------- - ............ Cuestiones de repaso ________ __________________________________ 204 207 208 209 210

9.3 9.4 9.5

CA PTU LO 10. A U D IT O RA D E LA D IR E C C I N (Juan M iguel Ramos Escobosa >............................................ ......... ...............

211

10.1 Introduccin------------------- -----------------...................-----------------------211 102 Planificar_____________________________________________________ 212 10.2.1 Plan estratgico d e Sistemas de Informacin.......... . 212 214 10.2.2 O tros planes relacionado*..... ------------------------------------- 10.3 Organizar y coord inar..-.-.------- ------------ ...... ................ 215 10.3.1 Com it de Inform tica............-------------------- ------------------2 15 10.3.2 Posicin del Departamento de Informtica en la em presa........ 217 10.3.3 Descripcin de funciones y responsabilidades del Departamento d e Informtica. Segregacin de funciones....... 2 18 10.3.4 Estndares de funcionamiento y procedimientos Descripcin de los puestos de trab a jo --------------------------- ------- -------- ....... 220 10.3.5 Gestin de recunsos humano: seleccin, evaluacin del 221 desempeo, formacin, promocin,finalizacin-------------- 10.3.6 C om urocacio_____ ________...........----------- ------------ . . . 223 10.3.7 G estin econm ica------------------------------ -------- ---------- 223 10.3.8 Segaros.-------------------------------- -------------- ---------- --------225 10.4 C ontro lar______________ ~ --------------------------------------------------------226 10.4.1 Control y seguim iento----------------------------------------------------226 10.4.2 Cumplimiento de la normativa legal----------------------------------- ------------- 227 10.5 Resum en---------------------------------------------------------------------------------227 10.6 Lecturas recomendadas 228 10.7 Cuestiones de repaso --------------------------------------------- ---228 CA PTU LO I I . A U DITO RA DE I.A E X PL O T A C I N (Eloy Pea Ram os) ---------------------------...---------11. 1 11.2 11J 11.4 Introduccin.........................-------------------------- --------- ------Sistemas de Informacin ---------------- Carta de encargo....------------------------------------------------------- ---------Planificacin---------------------------------- --------- --------------------------------11.4.1 Planificacin estratgica.-------------------------------------------------11.4.2 Planificacin Administrativa................................... ........ 11.4.3 Planificacin T cn ica..-.-...----------- ---------------------------------11.5 Realizacin del trabajo (procedimientos)..... ----- 11.5.1 Objetivo general________________________ ----------- -----11.5.2 Objetivos especficos________________________

31 231 232 234 234 234 246 246 247 247 247

xa aud uo r M im o r m Attc a . x knhxjce PRAcnco

www.FreeLibros.me

11.6 Inform es........................................................................... .................. 11.6.1 Tipos de informes________ _ ........................ .............. 11.6.2 Recomendaciones............................................................. 11.6.3 Normas para elaborar los inform es....... ....................... 11.7 La documentacin de la auditora y su organizacin.................. 11.7.1 Papeles de trabajo............................................................. 11.7.2 A rchivos........................................................ ................... 11.8 C onclusiones....................................................................... 11.9 Lecturas recom endadas..... ........................ ..................................... 11.10 Cuestiones de repaso____ ....--------------------------------------------C A P T U L O 12. A U D IT O RA D E L D ESA RR O LIX ) (Jo s^ A ntonio R odtro RotU ro) ................................ - ..........

..........

12.1 Introduccin.................................... .............. ......................... .......... 12.2 Importancia de la auditora del desarrollo................................... 12.3 Planteamiento y metodologa ----------------- --------------------........ 12.4 Auditora de la organizacin y gestin del rea de desarrollo.,. 12.5 Auditora de proyectos de desarrollo de S .l.................................. 12.5.1 12.5.2 12.5.3 Auditora de la fase de diseAo... 12.5.4 Auditora de la fase de construccin... 12.5.5 Auditora de la fase de implantacin... 12.6 Conclusiones . 12.7 Lecturas recomendadas ... 12.8 Cuestiones de repaso.., C A P T U L O 13. A U D IT O R A D E L M A N T EN IM IEN T O (Juan Carlos Granja Alvarez) ................ ........... .................. ...... ............ .......... Introduccin a la Auditora Informtica del mantenimiento del vftw arc. Listas de comprobacin en Auditora Informtica del M antenimiento.. M odeli/acin en la etapa de m antenim iento................. ..... _________ Modelo de estimacin en el mantenim iento.................. ....................- .... 13.4.1 Elementos de la mantenibilidad.............. .................................. 13.4.2 Mtricas de mantenibilidad.......................................................... 13.4.3 Funciones de mantenibilidad........................................................ 13.4.4 Mtodo de im plem entacin.......................................................... 13.5 Caso de estudio......... ........................................................................13.1 13.2 13.3 13.4

13.8 Cuestiones de re

www.FreeLibros.me
CA PTU LO 14. A U D IT O RA D E BA SES D E DATOS (Mario G. Piaitini Velthuii) ..................................................

14.1 Introduccin..........___________................ ------------------------------ ...................-------------311 14.2 Metodologa* pora U auditora de b u n d e dalos........ ............... ....... 14.2.1 Metodologa tradicional........................ ............................................................312 14.2.2 Metodologa de evaluacin de riesgos--------------- -------------3 12 14.3 Objetivos de control en el ciclo de vida d e una h a de datos ............. 314 14J . 1 Estudio previo y plan de trabajo.................................................. 314 14.3.2 Concepcin de la base de datos y seleccin del equipo ... 318 319 14.3.3 Diselo y carga..----------- ------------- .................................... 14.3.4 Explotacin y m a n ten im ien to------------------- .......... . 320 14.3.5 Revisin post-implantacin.......................................................... 321 322 14.3.6 O tros procesos auxiliares .............------------- ...................... 14.4 Auditora y control interno en un entorno de bases d e d alo s................... 322 14 .4 .1 Sistema de Gestin de Bases d e Dalos (SG BD )....................... 323 324 14.4.2 Software de auditoria .......................... ..................................... 14.4.3 Sistema de monilori/.acin y ajuste (luni/tg) .......................... 324 14.4.4 Sistema Operativo (S O ).. .- .---------- ..........---------------324 14.4.5 Monitor de Transacciones-...............................- ..... - ................... 324 14.4.6 Protocolos y Sistemas Distribuidos............................................. 325 325 14.4.7 Paquete de seguridad......................... .................................... ...... 14.4.8 Diccionarios de d ato s...................... ............................................. 326 14.4.9 Herramientas CASE (Computer A ided Syuem /Software Engineering). IPSE (IntegrateJ Project Support Environmenis) 326 14.4.10 Lenguajes de Cuarta Generacin (L4G) independientes......... 326 14.4.1 1 Facilidades de u n a r io ------------ -------------------327 14.4.12 Herramienta* de 'm inera de dalos*........................................... 328 14.4.13 Aplicaciones__---------------------------- ------------------ ------------328 14.5 Tcnicas para el control de bases de dalos en un enlom o com plejo....... 329 14.5.1 Matrices de control-------- ----------------------- ----------------------329 14.5.2 Anlisis de los caminos de acceso-----------------------------------330 14.6 C onclusiones_________________________________________________ 330 14.7 Lecturas recomendadas -----332 14.8 Cuestiones de r e p a s o --------------------------------------------------- ---------332 C A PT U L O 15. A U D IT O RA DE T C N IC A DE SIS TE M A S (Julio A. Novoa B erm ejo) ------------------------......------------............................ 15.1 mbito de tcnica de sistem as ....... ....... ....................................... 15.2 Definicin de la funcin... .. .---------------- ...............--------- ..... 15.3 El nivel d e servicio------------------------------------ --------------------------- ---15.4 Los procedim ientos-----------------....-----------------------.............-------------15.4.1 Instalacin y puesta en servicio............ ...................................... 15.4.2 Mantenimiento y soporte........................... ................. ............

335 335 337 337 339 339 340

XIV AUOtTOKlA INFORMTICA- UN ESTOQUEHtACTKO___________________________ o m w 15.4.3 Requisitos pora oros com ponentes... ............................ 15.4.4 Resolucin de incidencias........... ................. ............... 15.4.5 Seguridad y con tro l-------------------------------- --------------------342 15.4.6 Informacin sobre b actividad...................................................... 153 Los c ontroles... ......................................... .................. ........................................ 15.6 Auditora de la fuocia............................................................................ 15.7 Consideraciones sobre la tecnologa y su e v o lu cin--------------- --------15.8 A lgunas referencias............... ------- ....................... ............. ............. 15.9 Lecturas recom endadas---- ------------------------------------- ------------ ------15.10 Cuestiones de repaso___ ...-------------- ----- - . -------------- ....---------------C A P T U L O 16. A U D IT O RA DF. IJV C A LIDA D ( Jo U I ms IM etro Man re a ) ............. ............................................................... . 340 341 343 343 351 356 358 359 359

www.FreeLibros.me

361

16.1 Prem bulo......... .................. ................... ............. ................ --------------------- 361 362 16.2 Definiciones previas......................................... ............................................. 16.3 Introduccin.......... ............................ .................... ------ 363 16.3.1 Revisin ___ ..................____ .................. ..... ...............................364 16.3.2 Elemento software............. ........................................ ......................... 364 16.3.3 A uditora---------------------------------------------------------------------364 16.3.4 Concepto de evaluacin segn la EHA........................................ 365 365 16.3.5 Concepto de Auditora segn la EEA......................... ................ 16.4 Caractersticas de la calidad segn ISO 9 1 2 6................................ ............ 365 16.4.1 C aractersticas ............................................................- ............................... 365 16.4.2 M odelo ISO E xtendido ------- -------- ------- --------------------------367 16.5 Objetivos de las A uditoras de C alidad........................................ ............. 370 16.6 Procesas de C alidad..-................. ................................................................. 371 16.7 El proceso de Auditora del Softw are............- ............................................ 375 16.8 Auditara de Sistemas de Calidad de Softw are.......................................... 381 16.9 Proceso de aseguram iento d e la calidad descrito por ISO 12207...... 381 16.9.1 Im pkm entacin del pro ceso ----------------.............---------------383 16.9.2 Aseguramiento del producto ......................................................... 384 16.9.3 Aseguramiento del proceso..........- ......- ............... ................... .. 384 16.9.4 Aseguramiento d e la calidad de los sistem as................ ............ 385 16.10 Proceso de Auditora descrito por ISO 12 2 0 7.............................. ...... 385 16.10.1 Implcmcniacin del pro ceso .................................................. 385 16.10.2 A uditora-------------------------------- ------------------ ............. .. 386 16.11 C onclusiones----------------------------------------------------------------------------386 16.12 Lecturas recom endadas................................................................................. 387 16.13 Cuestiones de repaso....... .......................................................... ...... 387

C A P T U L O 17. A U DITO RA D E LA SEGURIDAD (Miguel ngel Ram os G onzlez) ......... ....... ........................................................ .............. 17.1 Introduccin .......................... ...... ................ ............. .......-----389

www.FreeLibros.me
cow w fapo xv 17 2 Areas que puede cubnr la auditoria d i la segundad.. ....------------ I 7 J Evaluacin de riesgos----------------------------------------------------------- ----174 Fase* de la auditora de seguridad_______________....._________ _____ 17.5 Auditora de la segundad (to c a - ...-----------------------------------------------17.6 Auditoria de la segundad lgica.................................................. ................ 17.7 Auditoria de la segundad y el desarrollo d e aplicaciones......................... 17.8 Auditoria de la segundad en el rea de produccin--- -----------........... 17.9 Auditoria de la segundad d e lo s d alo s---------------------------- ----------17.10 Auditoria de la segundad en comumcaciones y rede-----------407 17.11 Auditoria de la continuidad de las o p e ra cio n e s-------- ........----------- . 17.12 Fuentes de la auditoria___________________ ---------------------17.13 El perfil d d aud itor-...- -------------------------------------------- ------------17.14 Tcnicas, mtodos y herramientas----- ------ ---------------- ------------------17.15 Consideraciones respecto al in f a m e --------------------------- 414 17 .16 Contratacin de auditora externa............................................ ................. 17.17 Relacin de Auditoria con Administracin de Seguridad.......................... 17.18 C onclu siones____________ _______________________ _____________ 17.19 Lecturas rec om endadas____ ................------ ------------------------------17.20 Cuestiones de r e p a s o -----------------------------------------------------------------CA PTULO 18. A U DITO RA DE RED ES (Jos Ignacio B o ito Prtz-H oU m da) .................................................................. 18.1 18.2 18.3 18.4 18.5 18.6 18.7 18.8 18.9 393 395 399 400 02 -*04 404 -*05 409 4 11 411 413 4 16 4 17 419 421 422

423

Terminologa de redes. Modelo OS1 --------------------- - 423 Vulnerabilidades en redes.................................................. ..........----------426 Protocolos de alto nivel-------------------------------------------------------------------- --------Redes abiertas (T CP/IP)----------------------- --------------------------------------430 Auditando la gerencia de com unicaciones------------------------------ ......... 434 437 Auditando la red fsic a ---------------------------------...................---------- Auditando la red lgica ...............----- . . . --------------440 Lecturas recom endadas--------------------------------------------------------------443 Cuestiones de repaso______ _ ----------------- - -------------------------444

CA PTU LO 19. A U D IT O RA D E A PL IC A C IO N E S (Jos M ario M adurga O u ty t) ------ ------------ ...-------- -------- -------------- - .

445

19.1 Introducc in ------ _...----------- --------------------------- ----------------- 445 19 2 Problemtica de la auditoria de una aplicacin inform tica.................. 446 19.3 Herramientas de uso ms com n en la auditoria de una apbcacsn......... 450 19.3.1 Entrevistas__________________________________________ 450 19.3.2 E ncuestas_____________________________________________ 451 19.3.3 Observacin deltrabajo realizado por los usuarios.................... 452 19.3.4 Pruebas de conform idad.............................. .......................... ....... 452 19.3.5 Pruebas substantivas o de validacin---------------------------------------------- -----19.3.6 Uso del com putador .........------------ .................................. 454

XVI AUPITOKA ISKXIMATK'Aj UN EifOQUf. HtACTlCO___________________________ ci*M 19.4 Etapas de la auditora de una aplicacin informtica................................. 19.4.1 Recogida de informacin y documentacin sobre la 19.4.2 Determinacin de los objetivos y alcance de la a u d ito ra........ 19.4.3 Planificacin de U auditoria...................... ......................... ......... 19.4.4 Trabajo de campo, informe e implantacin de mejoras............ 19.5 Conclusiones .................... ........................................................ - .................... 19.6 Lectura* recomendadas ................................... ............................................ 19.7 Cuestiones de r e p a s o ......................... ....................-------------- -------------456

www.FreeLibros.me

458 461 462 463 464 464

C A P T U L O 20. A U D IT O R A IN FO RM A T IC A D E EIS/D SS Y A P L IC A C IO N E S D E SIM U L A C I N (M anuel Palao Garca-Suelto) 20.1 20.2

467

20.3

20.4 20.5 20.6

Propsito y e n fo q u e ............................ ...... .......................... ....................... 467 Desarrollo de la* definiciones operativa* de los conceptos c la v e _ _ __ 468 20.2.1 Auditora Informtica........ - ----- ------------ ----------------- ---468 20.2.2 SID [/.?KSAD(DSS|-------------------------- -------- ------------------469 20.2.3 Aplicaciones de S im u laci n -------------- ----------------------------472 Singularidades de la AI de los SID(75|. SADJDSSJ y Simulacin-----474 20.3.1 A l de los SID] 7 5 ] ......- .............. ................................... .............. 475 20.3.2 A l de k SAD[Ztt$] y Simulacin ............................................. 480 Conclusiones _________________________________________________ 481 Lecturas rec om endadas ................. ................................................... ---------Cuestiones de re p a s o _ _ ..............................................------- ------481

C A P T U L O 21. A U D IT O R A JU R D IC A DE E N T O R N O S IN F O R M T IC O S U osep Jtn-er i Podr) ------------------------- ---------------- -

483

21.1 Introduccin.............................. ..... ............ ....... ................... ............... 483 21.2 Auditora del ento rn o ................................._____ _________ ............ 485 21.3 Auditora de las personas ________________ _________ 488 21.4 Auditora de la inform acin..... 492 21.5 Auditora de los a rc h iv o s_. .................................... ---- ----------........... 493 21.5.1 Niveles de proteccin de los archivos......................................... 493 21.5.2 Mecanismos de seguridad del arch iv o ------------------------------ 495 2 1.5.3 Formacin de la figura del responsable del archivo.................. 495 21.6 C onclusiones________ ................................___ .................................... 503 21.7 Lecturas recom endadas............................................. ............... 5(H 21.8 Cuestiones de repaso------ ---------------------------------------------------------------- 504

www.FreeLibros.me
PARTE III. AUDITORA INFORMTICA EN DIVERSOS SECTORES_________________________________________
CAPTULO 22. A U DITO RA IN FO R M T IC A E N E I. SE C T O R BANCARIO (Pilar Am ador Corara) ________________________________ 22.1 Caractersticas generales de la Auditora Informtica en las en tid ad financieras___ _____ _______ __________...................................--------22.1.1 Necesidad y beneficios de la auditora informtica en la banca______________ _____________________ ...................... 22.1.2 Tipologa de las actividades a a u d ita r ................. ....................... 22.1.3 O bjetivos de la auditora y preparacin del pUn de trabajo.... 22.2 Auditora Informtica de una aplicacin bancana tpica ---------- . . . . . . . 22 2 I ("rtenos para la planificacin anual de los trabajos................... 22-2.2 Establecimiento del mbito d e la auditora. . . . . . . . . . . . . . . . . . . . 22.2.3 Procedimientos de auditora a em p lea r------------------------------22.2.4 Consideraciones a tener en cuenta durante la realizacin de la aud ito ria................................................................................ 22.3 Auditora informtica de la proteccin de datos personales..... .. 223.1 La importancia y el valor de la informacin en el sector bancario............................................................................................ 223.2 Actividades de auditora en relacin con la ptoccccio d e dates personales......................................................... ............................... 22.4 Cuestiones de repaso-----------------------------------------------------------------CAPTULO 23. A U DITO RA INFO R M TIC A EN EL SE C T O R A REO (Aurelio Hermoso Baos) ................................................................ .. 23.1 23.2 233 23.4 233 23.6 23.7 23.8 23.9 Introduce & >__________________________________________________ Sistema de reservas Amadeos ------------------- ---------------------------------Facturacin entre compartas a reas---------------------------------------------Cdigo de conducta para C R S ....... ............................................................. Procesos informticos..................................................................................... Auditora Inform tica............... .................................................................... Conclusiones-------------------------------------------------------------------- ------Lecturas recomendadas ......................................548 Cuestiones de re p w o ------------------------------------------------------------------

507
509

509 S09 511 514 5 15 516 517 519 521 523 523 525 530

533 533 534 535 536 538 540 548 549

CA PTU LO 24. A U DITO RA IN FO R M T IC A EN LA A D M IN ISTRA C I N < V fa o r Izquierdo Ix n o la ) ---- ----------------------------24.1 Introd uccin..... ....................................................... . ------------------------24.2 Las TIC en la L R J-P A C _______________________________________ 2 4 3 La informatizacin de registros______ . . . . . . . . . . . . . . . . . . . . . ----------------

551 551 552 554

XVIII AUDfTOOlA IXKXtMTK'A fX ENFOQUE PKCTKT)

www.FreeLibros.me
555 556 556

24.4 L as previsiones del Real Decreto 263/1996. Je 16 de febrero, por el que se regula la utilizacin de 1 tcnicas E IT por la Administracin General del Estado.......- ............................. ................................................... 24.5 Identificacin de los requisitos de seguridad, normalizacin y conservacin en el texto del Real Decreto 263/1996................................. 24.5.1 Garantas de seguridad de sopones, medios y aplicaciones.... 24.5.2 Emisin de documentos: procedimientos para garantizar la validez de los medios: integridad, conservacin, identidad del autor y autenticidad de la voluntad........................................ 24.5.3 Validez de las copias: garanta de su autenticidad, integridad y conservacin .............................................................................. 24.5.4 Garanta de realizacin de las comunicaciones......................... 24.5.5 Validez de comunicaciones y notificaciones a k ciudadanos: constancia de transmisin y recepcin, estampacin de fechas y contenido ntegro, identificacin fidedigna de remitente y d e stin a tario ........ ........................... .... 24.5.6 Comunicaciones por medios preferentes del usuario: comunicacin de la forma y cdigo de accesos a sus sistemas de comunicacin ____ ________ __________ __ __________ _ 24.5.7 Validez de fechas d e notificacin para cmputo d e plazos; anotacin en los registros generales o auxiliares a que hace referencia el artculo 38 de la LRJ-PA C _____ ____________ 24.5.8 Conservacin de documentos: medidas d e seguridad que garanticen la identidad c integridad d e la informacin necesaria pora reproducirlos......................................................... 24.5.9 Acceso a documentos almacenados: disposiciones del artculo 37 de la Ley 30/1992. y . en su caso, de la Ley Orgnica 5/1992. Norma* de d e sarro llo .................... ...... ....................... 24.5.10 Almacenamiento d e documentos; medidas de seguridad que garanticen su integridad, autenticidad, calidad, proteccin y conservacin.......____________ .................._______ ___ ___ 24.6 Conclusiones sobre el papel d e la Auditora Informtica en la Administracin Electrnica............ .............................................................. 24.7 Cuestiones de repaso ______________________ ....___ _________ ........ C A PIT U L O 25. A U D IT O RA IN FO R M T IC A E N L A S PY M F S (Carlos M. Fernndez Snchez) .......................... - ....... ................ .................. . 25.1 Prem bulo___________________________________________________ 25.1.1 Las PYMES y las tecnologas de la Inform acin....................... 25.1.2 Metodologa de la Auditora Informtica.......................... ...... . 25.2 Introduccin........................................................... ............... ................. . 25.2.1 En qu consiste la gua d e autoevaluacin?............................... 25.2.2 A quin va dirigida? .......________ _____________ ____ __ __ 25.2.3 Conocimientos necesarios..............................................................

557 558 558

S59

559

560

561

561

562 563 565

567 567 567 568 568 568 569 569

www.FreeLibros.me
CONTTXIPO XIX 25.2.4 Entornos de aplicacin.................... ..... ....... - ............... 25.2.5 Metodologa utilizada .......------ -------------------------------------Utilizacin de la gua...................................................................................... 25.3.1 Fases de la airtoevahiacio..................................- ...........- .......... 25.3.2 Valoracin de resultado*---------------------------------- ............. Mincomputadores e informtica distribuida. Riesgo en la eficacia le serv icio informtico...................................... ................................. ................ Cooclusiones___________________________ ___ __________________ Lecturas recomendadas --------- -------- -------------- . . . Cuestiones de re p a s o ----------------------------------------------------------------570 570 571 571 573 574 581 582 583

25.3

25.4 255 25.6 25.7

PARTE IV. OTRAS CUESTIONES RELACIONADAS CON LA AUDITORA IN FORM TICA_______________

CAPTUIX) 26. PF.RITAR VE R SU S AUDITA R (Jtss R h tr o Laguna) ----- ------------------------------ --------- --------------------

585
587

261 I n t r o d u c c i n ------- --------------------- -------- ...........----------587 26.2 Consuhorrs. Auditores > Pern o s --------------------------------------------- -----------26.3 Definicin conceptual de Pe rito---- -------------------------------------- 590 27.3.1 Equivalencia con la denominacin de E xperto".-------- .. 592 27 J .2 A cerca de la adquisicin d e tx p e rtist~ ........ 593 26.4 Pento \ t n u s "Especialista**--- --------------------- ----------------- ... 594 27.3.1 Quin puede ver "Pcnto IT __________ .. 594 27 J .2 Formacin de "Pcntos IT Profesionales"---------------------------597 2 7 J J C o n c lu si n ------------------------------------------------------------------598 26 5 Diferenciacin entre Informes. Dictmenes y P e rita cio n e s.-.-...----598 27.3.1 A cerca del trm ino "Informe** . .------- 599 27 J . 2 Acerca del trm ino "Dictam en" 600 27.3.3 Definiciones del C O IT ---------------------------------------------------601 27.3.4 T anfas diferenciadas de Honorarios de Ingenieros en Trabajos a p a r t i c u l a r e s ----------------603 26 6 Peritaciones extrajudicules y arbitraje.................. - 604 26.7 El D ictamen de Pcntos como Medio de p r u e b a .... -----606 27.3.1 O bjeto de la "prueba pericial** ---------------- 607 27.3.2 El "Dictamen de Peritos" en la vigente LEC ........ 608 27.3 J El "Dictamen de Peritos" en la LEC. d e enero de 2000 -------- 609 27.3.4 Com entarios fioales..------------------------------------- 611 26.8 Cooclustooe* _____ --------------611 26.9 Lecturas recom endadas.....------------------------------------612 2 6 1 0 Cuestiones de repaso 6 13

XX AUMTO!* DffOMmiCA: Mt ENTOHIt HUCIKX)

www.FreeLibros.me
6 15 6IS 620 621 621 622 626 628 629 630 631 632 634 635 636 637 637 638 641 6! 643 649 655

CA P T U L O 27. E L CO N T R A T O D E A U DITO RA (Isabel fat-ara Fernndez d e M arcos) .............................................................. 27.1 27.2 27.3 Introduccita Una breve referencia a la n a tu ra le s jurdica del contrato d e auditora.. Partes de un contrato de auditora. El perfil del auditor informtico..... 27.3.1 La entidad auditada____________________________________ 27.3.2 El auditor in fonnM co ............................................................... . 27.3.3 Terceras p e n o aa s.__ _______ ___________________________ Objeto del contrato de auditora inform tica______________________ 27.4.1 Proteccin de dato d e carcter personal....... .............................. 27.4.2 La proteccin jurdica del softw are------------------------ ------ ---27.4.3 1.a proteccin jurdica de la b#*es d e dalos................................ 27.4.4 Contratacin electrnica................................................................. 27.4.5 La contratacin u io m iitica ._____ _____________ ______ _ 27.4.6 T ra m c rc rc u electrnica d e fondos______________________ 27.4.7 E l delito inform tico..........................._______________ ____ C ausa-------------------------------------------------------------------------------------El informe de auditora--------------------------------------------------------------C onclusiones_________________________________________________ Lectura. recom endadas................................................................................ Cuestiones de repaso..........__ ___ ____ ___ ______ _______ ________

27.4

27.5 27.6 27.7 27.8 27.9

A C R N L M O S_____________________________________________________ B IB L IO G R A F A ___________________________________________________ N D IC E.___________________________________________ ___ _________ _

www.FreeLibros.me

C A P T U L O 1

LA IN FO R M T IC A C O M O H E R R A M IE N T A D EL A U D ITO R FIN A N C IE R O
Alonso Hernndez Garca

1.1. DEFINICIN D EL EN TORN O

Definid y no discutiris. Y aun sin la pretensin de que lo que se exponga en este captulo sea indiscutible. parece muy conveniente delimitar el cam po en que nos desenvolvemos. Dentro de una especialidad tan reciente y expansiva com o la llamada auditora informtica, cabe perfectamente la confusin conceptual tanto entre los diferentes aspectos, reas o enfoques en s mismos como por la debida a la vertiginosa evolucin que experimenta la especialidad. Pero como ya pretende cxplicitar el ttulo del captulo, vamos a tratar de auditora financiera, Parece indicarse que en cierta medida nos desgajamos del contenido general del libro y nos desviamos hacia las auditoras financieras. N o es exactamente as. Si desmenuzamos el contenido de la auditora y su evolucin podemos observar que el concepto permanece inamovible y son su objeto y finalidad lo que puede variar. Tambin parece procedente hacer una alusin especfica a la consultara como especialidad profesional, ya que se hace preciso delim itar sus respectivos cam pos que en ocasiones se confunden y superponen.

www.FreeLibros.me
1.2. AUDITORA. C O N CE P TO
Conceptualmente U auditoria, toda y cualquier auditoria, e s la actividad consistente en la emisin d e una opinin profesional sobre si el objeto sometido a a n iliu s presenta adecuadamente la realidad que pretende reflejar y/o cumple Ut condiciones que le han sido prescritas. Podemos descomponer este concepto en los elementos fundamentales que i continuacin se especifican: I) contenido: 2) condicin: 3) justificacin: 4 ) objeto: 5> finalidad: una opinin profesional sustentada en determinados procedim ientos una determinada informacin obtenida en un cierto soporte determinar si presenta adecuadamente la realidad o sta responde a las expectativas que le son atribuidas, es decir, su fiabilidad

En lodo caso e s una funcin que se acomete a posterion. en relacin era actividades ya realizadas, sobre las que hay que emitir una opinin

1.3. C LA S ES DE AUDITORA
Los elem entos 4 y 5 distinguen de qu clase o tipo de auditoria se trata. El objeto sometido a estudio, sea cual sea su soporte, por una parte, y la finalidad con que k realiza el estudio, definen el tipo de auditora de que se traa. A titulo ilustrativo podram os enum erar entre otras:

Financiera Informtica

Opinin Opinin

Cuentas anuales

| Presentan realidad

Sistemas de aplicacin, re- i O peratividad eficiente y] cursos informticos, planes i segn normas establec-1 de contingencia etc. I das Direccin Normas establecidas | Eficacia, eficiencia, eco-] | nomicidad I L as operaciones se ale-. cuan a estas normas |

Gestin Cum pli miento

Opinin Opinin

www.FreeLibros.me
c a H u i i la informtica t o s w rkasiii . n ta im i . Ainno k van ciir o s

1.4. PROCEDIM IENTOS

La opinin profesional, elemento esencial de la auditoria, se fundamenta y justifica por medio de unos procedimientos especficos tendentes a proporcionar una seguridad razonable de lo que se afirma. Com o es natural, cada una de las clases o tipos d e auditoria pcuee sus propios procedimientos para alcanzar el fin previsto aun cuando puedan <n muchos casos coincidir. El alcance de la auditoria, concepto d e vital importancia, nos viene dado por k>s procedimientos, l a amplitud y profundidad de los procedimiento* que se apliquen nos definen su alcance. En las auditorias altamente reglamentadas corno la financiera e s preceptivo "aplicar las Normas Tcnicas y decidir los procedimientos de audiurfa". Cualquier limitacin... que impida la aplicacin de lo dispuesto en las Normas Tcnicas debe ser considerada en el Informe de auditoria com o una reserva al alcance". Se pretende garantizar que se toman en consideracin todos los aspectos, reas, elementos, operaciones, circunstancias, etc. que sean significativas. Para ello se establecen unas normas y procedimientos que en cuanto a la ejecucin de la auditoria se resumen en que: - El trabajo se planificar apropiadam ente y se supervisar adetiadam entc. - Se estudiar y evaluar el sistem a de control interno. - Se obtendr evidencia suficiente y adecuada. Com o corolario ve establece que la evidencia obtenida deber recogerse e n los papeles de trabajo del auditor com o justificacin y soporte del tralxjo efectuado y la opinion expresada. Estas tres normas se deducen claram ente de la situacin real actual de los riesgos que ha de afrontar el auditor. Inicialm ente. cuando el objeto d e la auditora, los docum crios financieros a auditar, eran relativamente cortos y contenan ms bien escasas operaciones, los procedimientos llamados de arriba a abajo, que parten de los documentos financieros y auditan hacia abajo, hacia la evidencia d e auditoria subyacente, q ue le verificaba en su integridad, tradicionalmente conocido por censura d e cuentas o en tase a las cuentas, era adecuado, suficiente y viable.

www.FreeLibros.me
t a iw t o Ma inmjkmAt k a un B iw q tt fKAcnco___________ __________________ o m i Sin embargo, cuanto lleg U llamada revolucin cuantitativa, que (rajo conujs la creacin de sociedades con importantes medios, que las operaciones tt nuliiplscaran enormemente y que la gestin y propiedad se diferenciaran cada v a tak claramente, el mtodo tradicional resoll laborioso, tedioso, largo, ineficaz y ecoomic menle inviaMe. No era posible verificar la totalidad de las muy cuantiosas operaciones y. por un to , haba que reducir el cam po de accin del auditor a p a rle de la n u m era informacin. Tam bin, como no manifiesta Dale S. Plesher. a partir de los primeros artos dd siglo XX. la banca se convirti en el principal usuario d e las auditoras de cara 4 seguimiento de sus crditos, y no estaba interesada en la exactitud administrativa de las cuentas sino "en la calidad y representad v nlad d e los balances". Este nuevo planteamiento, sin embargo, traa implcito un riesgo evidente, al te verificarse la totalidad de los movimientos. Los controles establecidos por la entidad auditada pudieran permitir que k produjeran irregularidades, potencialm ente significativas, casuales o voluntarias. A l no someterse a revisin lodas y cada una de las operaciones, cabe b posibilidad de que escape a la atencin del auditor alguna de aquellas irregularidades til auditor tiene el cometido irrenunciabJe de mantener el riesgo d e que efl ocurra dentro de lm ites tolerables. Este aserto podra representarse de forma aritmtica como: R (c )* R (d -S (e ). R(c) * al riesgo en el proceso o riesgo de control. R(d) * nesgo de deteccin. S(e = constante o parmetro admisible en que se desea mantener el riesgo de auditoria. Es inmediato el hecho de que el riesgo de control y el riesgo de deteccin dentro de la ecuacin planteada son inversamente proporcionales. Si artadimos que el rcigo de control e s ajeno al auditor, pues depende de las normas establecidas por la entidad en mi sistema, e s evidente que para definir el riesgo de deteccin que est dispuesto a admitir, ha de evaluarse primero el riesgo de control existente.

www.FreeLibros.me
MW> CAPfniLO I: LA LNFOHMATKA COMO HmKAMtt.VTA DtL Al IXTOR HVANCIMIO T De ah( se justifica la imposicin de las N orm as Tcnicas que establecen que la rcvin del sistem a tiene pof objeto el que sirva como base para las pruebas de cumplimiento y para la evaluacin del sislcma. En esta lnea las Norm as de Auditora en su apaado 2.4.34. explicitan que el riesgo final del auditor e s una combinacin de dos riesgos separados. El primero de stos e s ti constituido por aquellos errores de importancia que ocurran en el proceso contable, del cual se obtienen las cuentas anuales. El segundo riesgo es de que cualquier error de importancia que pueda existir sea o no detectado por el examen del auditor.

El auditor confa en: el control interno establecido por la entidad auditada para reducir el primer riesgo y en sus pruebas de detalle y en sus otros procedimiento* para dism inuir el segundo.

Basados en estos conceptos podemos esquematizar los procedim ientos de auditora financiera establecidos por las Normas en relacin con la ejecucin de la auditora, de la siguiente forma:

1.5.

VARIACIN D EL O B JE TO

Por aadidura es innegable, (y aqu si reclamaramos la condicin de indiscutible para el aserto), que con mayor o menor profundidad la gestin de las entidades ha experimentado un cam bio sustancial y boy. salvo casos dignos del Guinnesx, se utiliza la TI (Tecnologa de la Informacin) en todo proceso contable. Se ha introducido un nuevo elemento cualitativo en el objeto de la auditora, el oso de la informtica com o factor consustancial a la gestin, con la introduccin de la

www.FreeLibros.me
.uoinwUixfoKMfirA t'Ni.NHHjt ii n A r im i Tecnologa de La Informacin (T I) en lo sistema*. muy probablemente basada en lis ventaja* que aporta la informali acin con respecto al trababa manual, entre la* que, segn C. Martin, se podran distin g u ir C o n so la d Coso de explotacin Costo de operacin Rendimiento continuado Consistencia Capacidad de clculo Reaccin ante lo inesperado Sentido comn Lenguaje Alto Alto Disminuye Poca Buena Buena Excelente Bueno Bajo Bajo Constante Excelente Pobre Pobre Pobre Pobre

F.ste nuevo elemento, la Tecnologa de la Informacin, puede estar y d e hecho tiende a estar en todos los niveles del sistema. liste mero hecho impone un nuevo condicionante al a u d ito r ha de trabajar ame y con elementos de Tecnologa de la Informacin. Dado que segn las propia* Normas Tcnicas de auditora que regulan su actuacin el auditor ha de tener en cuenta todos los elementos de la entidad incluso los inform ticos, el cumplir con esta funcin no es una decisin graciable del auditor sino una obligacin definida por la Norm a. Sera m is que coherente que una firma de auditora que por la razn que fuere no quiere o no puede cumplir con este requisito se viera obligada a introducir una lim itacin al alcance de su trabajo. Es evidente que no habra aplicado todos los procedimientos precisos. En un excelente trabajo acometido por The Canadian Institute o f Chartered Ac countant*. una institucin de reconocido prestigio internacional, se plantea la cuestin de cules son actualmente los lib ro s" o soporte de los documentos financiero* objeto de la labor del auditor en un entorno informatizado, y concluye que dicho* libros estn materializados en lo* archivos electrnicos, es decir los archivos creados y mantenidos en forma electrnica por las aplicaciones contable*. El objeto e s distinto. Est en un soporte diferente. El auditor financiero we alterado el objeto de *u actividad e n el sentido de que se h a introducido la T I. ahora est en soporte magntico y este cam bio trac consecuencias d e gran calado en cuanto a procedim ientos de auditora financiera. Ha de cambiar su* procedimiento* en funcin de la* nueva* circunstancias y . por tanto, de la expan*in de su alcance. La auditora financiera sigue siendo auditora y financiera con la diferencia de que en su objeto, el mismo de siempre, e s decir en la informacin financiera, se ha introducido la TI.

www.FreeLibros.me
d lo . los retvos electrnico* y proceder * tu anlisis de fon Mttbin La situacin se hace ms dram tica por el hecho cada vez m i extendido de que d soporte documental de lo apuntes electrnicos n o exista en absolito. FJ rastro de auditoria tradicional ha desaparecido com o, por ejemplo, en el F.DI o H-T. Afortunadamente la propia TI que incide en los procedim ientos que el auditor ha de aplicar proporciona paralelamente medios de ejecutarlos d e fo m u eficiente y directa. Las CAATS (Tcnicas d e Auditora asistidas por computador) ponen a disposicin del auditor una am plia variedad de herramientas que no slo viabilizan los nuevos procedim ientos sino que mejoran sensiblemente su a p lica d lo y amplan la gama disponible. Por tanto, deducimos claram ente que la introduccin d e la TI en los sistemas de informacin afecta a los auditores d e una form a dual: - cam bia el soporte del ob je to de su actividad - posibilita la utilizacin de medios informatizados (CAATs) pera la realizacin de sus procedim ientos

1.6. C ON SULTORA . C O N C E P TO
Y e s en esta fase de la exposicin cuando parece pertinente aftadr u tu referencia la consuhora. Conviene distinguir su concepto del d e auditora pora precisar nuestro enlomo con m is exactitud. La consuhora consiste en "dar atesoramiento o consejo sobre lo que se ha de hacer o cm o llevar adecuadamente una determinada actividad para obtener los fines deseados". Las diferencias se hacen evidentes. L os elementos d e la conwltoria podran

10 AUDITORIA INFORMATICA: UX BNTOQW. LCTICO____________________________ cmw> 4) objeto: 15) finalidad: la activ id ad o cuestin sometida a com id e ra c i n __ i | establecer la m a n era d e llev arla a rab o adecua-l [ dmente |

www.FreeLibros.me

E s una funcin a priori con el fin de determinar cmo llevar i cabo una funcin o actividad de forma que obtenga los resultados pretendidos. I j auditora verifica a p ouenori si estas condiciones, una v e / realizada esta funcin o actividad, ve cumplen y lo* re litados pretendidos se obtienen realmente. A titulo enunciativo podramos relacionar los siguientes tipos o clases de consultorio:

Financiera

Asesorarme nto

Informtica

Planes de cuentas. Dise Y a e implantacin Procedim ientos adm inis trativos Ascsoramicnto Aplicaciones, Desacollo. i Planes de Contingencia Di sert> e implantacin.

Especialm ente el elemento / distingue claram ente la auditor'a de la consultara. D ependiendo de que su contenido sea opinar sobre unos resultados v*. dar asesorarmento o consejo e n relacin con una actividad a desarrollar, se tratar de auditora o consultara. Esta distincin nos resultar im portan cuando queramos delimitar las funciones. Se observa, sin embargo, que las definiciones de la auditara informtica tienden a englobar el concepto d e consultara. I-i auditora financiera, con siglos de experiencia. se encuentra perfectamente definida: pero la* defniciones. reseflas o referencias a la auditora informtica son variadas, lo que es lgico en una especialidad tan reciente. Dentro del abanico de definiciones, podemos c ita r A) t)esde definiciones como la d e a . J. I bomas en el sentido Je que "la auditora informtica, que es una parte integrante d e la auditoria, se estudia por separado para tratar problem as especficos y para aprovechar los recursos de personal. 1.a auditora informtica debe realizarse dentro del marco d e la auditora general. El cometido de la auditora informtica se puede dividir en: Un estudio del sistema y un anlisis d e los controles organizativos y operativos del departam ento de informtica. Una investigacin y anlisis de los sistemas de aplicarin que se estn desarrollando o que ya estn implantados.

www.FreeLibros.me
La realizacin de auditora* d e dato* reales y de resultados de lo* sistemas que se estn utilizando. La realizacin de auditoras de eficiencia y eficacia.

B) Incluyendo la de un destacado miembro de la O A I. Miguel ngel Ramos, que define, segn sus manifestaciones sim plificadamente. en su tesis doctoral la auditora informtica como "la revisin de la propia informtica y de su entorno" y desglosa sin carcter exhaustivo que las actividades a que da lugar esta definicin pueden ser: Anlisis de riesgos. Planes de contingencia. Desarrollo de aplicaciones. Asesor-amiento en paquetes de segundad. Revisin de controles y cumplimiento de los mismos, as com o de las normas legales aplicables. Evaluacin de la gestin d e los recursos informticos.

C ) A la de I. J. A d a que por su parte la define com o "Un conjunto de procedimientos y tcnicas pora evaluar y controlar total o parcialmente un Sistema Informtico, con el fin de proteger mis activos y recursos, verificar si sus actividades se desarrollan eficientemente y de acuerdo con la normativa informtica y general existente en cada empresa y para conseguir la eficacia exigida en el marco de la organizacin correspondiente". De ellas se desprende que tienden a abarcar conceptos tanto de auditora como de oonsultora. En la linea de anlisis que hemos trazado la primera distincin a realizar sera la diferenciacin entre auditora y consultorio. N o son trminos equivalentes y es preciso distinguirlos. Nuestro enfoque pretende centrarse e n la a u d ito ra segn el concepto que ya hemos dejado expltcitado. Y dentro de ella la fin an ciera de acuerdo con su objeto y finalidad que incluye el soporte informtico.

www.FreeLibros.me
ALIXTOttlA INKWtMATICA INhNHXJO PIIAtUCO

1.7.

V E N TA JA S DE LA INFORM TICA COM O HERRAMIENTA DE LA AUDITORA FINANCIERA

1.7.1. Grado de informatizacin

t u U doble vertiente relativa a la introduccin e influencia de la TI e n el objeto por una parte y en los procedimiento por otra d e la auditoria financiera hemos de referim os en primer lugar al grado o intensidad de tu utilizacin. En cuanto al objeto puede considerarse desde el uso de un sim ple PC con un par de aplicaciones bsicas como pueden ser la contabilidad y un procesador de texto, a un sistema complejo, distribuido, utilizando base d e datos en cliente servidor, integrado y comunicado con otros sistemas con los que interacta directamente como en el EDI. Rmccc evidente que las tres Normas para la ejecucin d e la auditoria adquieren una complejidad y amplitud diferente*. M ientras ms desarrollado es el sistema, ms problem tico resulta su enfoque por parte del auditor. Si bien lo riesgos de un pcqueAo PC pueden ser sustantivos, la complejidad de los mismos en un gran siuem a e s decisiva. Entre los procedimientos (tcnicas) que las tres Normas de ejecucin de la auditoria establecen com o medios de los que debe valerte el auditor en la ejecucin de su trabajo destacan la inspeccin, observacin, averiguacin, confirmacin, clculo y anlisis. De estas seis al menos cuatro se ejecutan d e form a ms eficiente con medios informticos: Inspeccin: como la comparacin d e datos en dos archivos o cuentas distintas, conciliaciones. Clculo: de amortizaciones, provisiones, ratos. etc. Anlisis: regresiones o datos que cumplan determinadas condiciones. Confirmacin: clculo estadstico, seleccin y em isin d e muestras, cumpli miento. etc.

1.7.2. Mejora de las tcnicas habituales

N o resulta difcil justificar que las posibilidades del auditor utilizando medios electrnicos se am plia enormemente con respecto a trabajos manuales sobre listados en papel. El incremento en velocidad, eficiencia y seguridad e s evidente. Para todo ello el auditor puede valerse sustancialm ente de las d ise as herramientas informticas que tiene a su disposicin y que podramos catalogar de la siguiente forma:

www.FreeLibros.me
CAPtll I.U I IA rSUMIMMK'A COMOHmKAVmVTA IW1 Al IMIHI UNASX'IUtO l>

General 1Tratamicnto d e textos 1H otixharting _____________ 1Utilidades________________________ Acceso directo Generadores d e papeles de trabajo Especfico Administracin 1 Especializados Integradores

Tratamiento <fc textos Hojas de clctlo ACL Simulacin paralela R ev ir n .iiul tu.i Sistemas expertos 1Test c h e c k ______________J

IV forma somera podram os reseftar los objetivo que se cubren con la utilizacin de las diversas herramientas enumeradas: Tratamiento de textos, utilizado generalm ente en la prctica com o una mquina de escribir superautoinatizada para circulare, memorandos, memoria, etc. Con una mayor especial izacin permite automatizar operaciones, generar documentos, relacionar diverso* documentos, ctc. Hoja de edculo, utilizada para efectuar clculos, automatizar resultados de diferentes documentos numricos y en algunos casos obtencin de ratio*. etc.. as com o generar actualizaciones automticas, importar archivos d e otras aplicaciones, y producir grficos disponiendo de una amplia gim a de frmulas financieras, econmicas, etc. Generador de ppele t de trabajo, fundados esencialmente en el tratamiento de textos de donde se obtienen plantillas, formatos, etc.; peimite edicin y actualizacin. Clasifica los documentos por reas, sectores, personal involucrado, ctc. Flowcharting-. produce diagramas representativos de funciones realizadas o a realizar, flujo de documentos, ctc. Utilidades: existe una amplia gama que cubre desde comunicaciones, visualizadores de archivos, bsquedas o incluso rcctificadorcsdc archivos. El O CR es una asignatura pendiente. - Administradores-, efectan el seguimiento administrativo de las auditoras. Horas empleadas, reas, control presupuestario, etc.

www.FreeLibros.me
14 Al'PtTORl*IMOHMIK'A: UN KNHXXIEPttCTICO cium

A ccf.w directo: todas fas aplicaciones a que nos hemos referido hasta el momento y las posteriores se refieren a dato* o "archivos" especficos de las misma* que el auditor ha tecleado en las aplicaciones o ha copiado de otras ya existentes. La gran sentaja del acceso directo e s que adopta como arch ito a leer o analizar los de la firma auditada, generalmente los que contienen la contabilidad de la misma. Sea cual sea la aplicacin d e contabilidad que luya utilizado la firma auditada, las aplicaciones de acceso directo, como su nombre indica, adoptan com o archivos propios los realizados por esas aplicaciones. De esta forma se materializa directamente la aseveracin de que los libros del auditor son los archivos informticos del auditado.

Tomando como hilo conductor la estructura de ACL (vase figura I . I ). una de las aplicaciones ms destacadas de este estilo y posiblemente la ms extendida mundialmente. tomaremos como esquema bsico, que vemos en la pgina siguiente. Lo* archivos de datos son exactamente los existentes en el auditado, es decir tos archivos fsicos de la firma auditada, d e la forma y con la codificacin con que hayan sido grabados. Estos datos no cambian. ACL crea para su tratamiento el "documento que contiene la informacin necesaria en cuanto a definiciones del formato del archivo de datos, botches. ndices, vistas y espacio de trabajo. La definicin del form ato contiene ta estructura y contenido del archivo de datos. Incluye informacin com o nombre de los campos, codificacin de los datos, mrgenes donde comienzan y donde term inan. Con esta informacin ACI. e s capaz, de leer e interpretar el archivo de datos original a auditar.

www.FreeLibros.me
CAPTULO 1 .I-A INFORMATICA COMO HmKA.MH.VTA I

Figura / . / . Estructura d e ACL Partiendo de esta situacin A CL puede manipular los dalos del archivo prcticamente de cualquier forma o manera: - Ordenar - Crondogizar - Kxiraer segn condiciones - Estadsticas - Muestras - Clasificar Contar Agregar Totalizar Estratificar Comparar

Slo existen dos limitaciones a los anlisis, clculos, verificaciones, etc. que puede hacer ACL: Que e l dado deseado est en el archivo. (Por ejemplo, no se podra croooJogi/jr si en el archivo no figuraran las fechas.) La imaginacin del auditor, que combina los diferentes mandatos para obtener la informacin final que desea. Creando incluso nuevos cam pos computados, producto del tratamiento de uno o varios d e los ya exis(enes.

It AtHMTORU CsKmMTKA 1 ~ XENKXJtt. Plmeo

www.FreeLibros.me

Es de destacar la posibilidad de seleccionar la informacir que cum pla una o varias condiciones. Estos filtros resultan de incalculable valor cuardo se audita. Si aAadimos que la respuesta a cualquier solicitud, sea curf sea el tamao del archivo de dalos, se realiza en segundos y en cualquier caso c pocos minutos, la > importancia d e esta aplicacin queda perfectamente clara. A titulo m er^nem e enunciativo y com o punto d e ponida para el auditor , interesado, d e los 101 clculos y anlisis que se practican en las reas ms habituales. | seleccionamos dos a titulo d e ejemplo:

E jem plo I: C O M P R O B A C I N D E BA LA N CE Se indica la relacin de mandato* que permite realizar esta op:racin.

O PEN Contabilidad STRATIFY ON Cuenta ACCUMULATE Debe Haber Saldo

Abre el archivo "Contabilidad". Genera, para cada cuenu del plan, su total al debe, al haber, y el saldo.

E jem plo 2: C O N C IL IA C I N E N T R E CO M P R A S V PR O V E E D O RE S Se indica la relacin de mandatos que permite realizar esta operacin. OPEN Contabilidad SORT ON Impone TO Com pras IF Cuenta="604" AN D D IU D SORT ON Impone TO Proveedores Abre el archivo "'Contabilidad". ! Produce el archivo Compras" con aquello* asiento* de la contabilidad cuya cuenta sea la 604 y al debe, ordenado por el importe. Produce el archivo "Pioveedore.*" con IF Cuenta"400r AN D D H -"H " aquellos asientos de la contabilidad cuya cuenta sea la 400 y al haber, ordenlo por el im pone. Abre el recin creado archivo Compras". Abre el recin creado archivo! "Proveedores" como archivo secundario. i Produce el archivo "Coaciliacin Com pras-1 Proveedores" con e l rebultado de conciliar Com pras" con "Proveedores, utilizando el im pone como campo jue los relaciona.

OPEN Compras OPEN Proveedores SECONDARY JOIN Fecha Asiento Importe WITH Impone A siento Fccha T O "ConciIlacin Com pras-Proveedores" PKEY Im pone SKEY Impone PRIM ARY SECONDARY

www.FreeLibros.me
CAPfTVLO 1 :1 A INKHtVlATlCA COMO HMHUMtENTA DU. AUIMTCm FINAM1IKO 1 1 Revisin a n a llk a Norm alm ente se utiliza la hoja d e clculo para obtener, d e los d a que habitualmente se le introducen (Balance. Cuentas de Prdidas y Ganancias, etc.), los io s. proporciones o funciones que proporcionan una nueva visin comparativa de mi contenido.

Sistemas expertos Las aplicaciones m is avanzadas en cualquier campo son las conocidas como sistemas expertos relativos a la tambin llamada inteligencia artificial. Se trata de usar el compotador pora que proporcione resultados o conclusiones producto del procesamiento de unos datos especficos en base a unos conocimientos preexistentes en el mismo. liste sistema ya se ha utilizado en diversos cam pos, por ejemplo la medicina, pora dir diagnstico* o tratamientos en hase a los datos del paciente que se introducen en la aplicacin. En el campo de la auditoria su utilizacin m is evidente es en el anlisis y evihJKin del control interno. N o ha sido hasta el momento una aplicacin que se haya prodigado, posiblemente por la dificultad d e completar una base de conocimientos adecuada que slo los expertos pueden proporcionar. Se dice, como es costumbre, que las grandes em presas ya han desarrollado sistemas expertos que aplican en mayor o menor medida. Sin embargo, que se sepa, no se h a dado mucha (wblkidad al respecto. Los fundamentos de un sistema experto, aplicando la misma filosofa establecida por las Normas Tcnicas, consiste en crear uno cuestionarios cuya respuesta sea " s ' o no" para evitar matices opinables, divididos por reas de actividad y que se paita de la base de que una totalidad de respuestas positivas implica un sistema excelente. Menos de un determinado nivel implicara un control dbil o muy dbil. Ha de incorporar las pruebas d e cumplimiento correspondientes cuya cuanta se designe por medios estadsticos y que sirvan sus respuestas como retroalimeniacin para una clasificacin definitiva del sistema. F.sia clasificacin a su vez proporciona un tamao de muestra para las pruebas Mantisas a realizar a s como una definicin d e las mismas. Destacan entre sus ventajas, siempre bajo la supervisin del auditor: la objetividad del sistema, la utilizacin de frmulas estadsticas, la cuantificacin y especificacin de pruebas de cumplimiento y sustantivas adecuadas, la actualizacin

I AllHHJftlA INKMMATICA: UN E>TOQt~E fHACTIOO____________________________ oA> de la base <le conocimiento con los nuevos sistemas analizados y el soporte legal que implica en caso de litigio.

www.FreeLibros.me

K Q Ls
s s l

5 ) ^

Figura 1.2. Ejemplo d e aplicacin de sistema experto a la auditora

TcM C heck F.sta prctica, cada vez en menor uso. consiste en introducir en la aplicacin que el auditado utilice un conjunto de valores cuyo resultado se conoce. Estos valores se comparan con los que eventualmente proporcione la aplicacin.

Intee rad o rcs Es decir, aquellas aplicaciones que interrelacionan todas las dem s para crear un enlom o nico que utiliza la totalidad de la informacin obtenida a travs de tas diferentes herram ientas creando un "sistema de auditora". Varias de las aplicaciones mencionadas proporcionan medios de programacin o. sin ser tan ambiciosos. la posibilidad de crear batches" de funcionamiento automtico. Estos batches o conjuntos de instrucciones pueden operar conjuntamente brindando la posibilidad d e realizar operaciones complejas de forma directa y cmoda. Si tomamos en consideracin el proceso completo de auditora financiera -desde las normas y procedim ientos establecidos para antes del propio inicio de la auditora como la propuesta, contrato, clculo de costes hasta el informe y recomendaciones finales pasando naturalmente por los procedimientos de ejecucin de la auditora, incluyendo el sistema experto, el acceso directo a archivos informticos, las pruebas analticas y adicionales o puntuales que el auditor debe llevar a cabo, y las integramos

www.FreeLibros.me
onm CAPtTVLO I IA INFORMATICACOMO HEBRAMtl STA Dtl- AtPtTOR USANCIEKO 19 en un sistema que automatice tanto las actualizaciones pertinentes en base a los cambios introducidos com o la emisin y ordenacin de papeles de trabajo justificativos de los procedimientos aplicados-, tendremos un sistem a o metodologa de integracin que sita en un solo entonto las diverjas fases, docuntentos. resultados, actualizaciones, etc. de una auditora. A todo este proceso ex a lo que denominaramos un integrado? que aun cuando no abunda, se viene percibiendo su necesidad.

Figura I. . P roctuy completo d e la auditora financiera

1.7.3. Evolucin
El propio (.'anadian Instituto o f Chartercd Accountants. que se ha preocupado muy especialmente por esta problemtica, define un cam ino hacia la plena institucin de un sistema de auditora informatizado. En un planteamiento al que llanta la Hiptesis de Evolucin ha distinguido diferentes etapas o niveles que a continuacin transcribimos literalmente por su representatividad c importancia: Las firmas de auditora m is avanzadas han cubieno las d o s primeras etapas y actualmente algunas intentan adentrarse en la tercera. Las otras slo consisten en "buenos deseos para el futuro, pero que si las seguimos sucintamente ventos que nos conducen a que la auditora se convierte en una herram ienta para la construccin de realidades polticas y econmicas" donde la auditora y consultara se entrelazan.

www.FreeLibros.me
Hiptesis de oollicin Alcance A _______ Alcance B ____ A lcance C Aumento de la Creacin de Mejora de la calidad compctitividad riqueza d e vida Nivel 5 Nuevos conceptos y paradigmas basados en la TI B5 5 1 5 Kl valor aadido se La auditoria adopta La auditora se convierte en el I "el carcter d e un j c o n v ie n e n una | objetivo de toda servicio de h e o ^ ^ n a para la I auditora consultora y js ^ ^ H i n d e anlisis continuado' J M s polticas ____________________________ w Nivel 4 A4 84 A Gestin estratgica l.os auditores La integracin fM cjor comprensin adoptan un nuevo tas h e rr a m ie n u ^ V 1de todas las partes basada en la TI concepto de su I auditoria p o j^ K T la implicadas de los propia actividad c liiic riw 'ia ^ H r | beneficios de una Iaudito j auditora l ______ Nivel 3 [ 3 B3 M r C3 Nuevos producto* I j s herramientas >D c i ^ H l o de una Se acaba el dependientes de la del auditor se ^ f lo g n in a d c cxpcctation gap | equiparan en Vgp-'-- ' Jlr rramisnta sofisticacin al sistem a de los i Tudkoffe | d ientes c o m o l f EFT Nivel 2 |C 2 A umento de la A m p li3 j4 H e la I Aumento Menos argumentos calidad ." i o t v | cuantitativo y en cuanto al papel cualitativo de los del auditor j f S F I *U-.cubrmiciUt Bl Nivel I ci Reduccin de ' Reduccin de horas Incremento en la Reduccin de costos de auditora | recuperacin de trabajo Icostos administrativo I

J____ 8 2

Figura 1.4. hit ensillad del efecto d e la e volar i

1.7.4. Grado de utilizacin

Asalta de inmediato la idea d e por qu. visto lo expuesto, el grado de utilizacin estas poMbilidudes por los auditores es bajo y e n muchos casos incipiente.

www.FreeLibros.me
i si I . , I l l M i * r n ; l : , 1. .Mi) 10 KKAS1HMA !>! AH)HK HNANt URO . I Se lu n efectuado d iv e r lu d io s y parece desprenden que algunas de las rezones pueden ser:

Costo econmico Falta de convencimiento en cuanto a la disminucin d e costos. N o se ve con claridad que la inversin necesaria se vea compensada por la eficiencia que se a lea n . Parece innegable que los costos tanto del hardware com o del software han disminuido extraordinariamente en los ltimos artos y que la eventual inversin en un sistema para inormatizacin de la auditora no es en absoluto significativo. Cualquier somero estudio demuestra que su rentabilidad porcentual es siempre sumamente elevada.

Com plejidad tcnica Cierto temor reverencial a una nueva tcnica que mirada desde el exterior parece sumamente compleja y algo mgico que de por s ahuyenta. Esta idea puede traer como corolarios otras consideraciones negativas como que se cree que: Se depende de los tcnicos. No se puede revisar el trabajo de los tcnicos Problemas de comunicacin entre el tcnico y el auditor. Costo de k tcnicos.

La introduccin y ampliacin de las posibilidades del PC que con sistemas operativos sumamente fciles de usar pueden realizar trabajos hasta hace pocos aos reservados a las grandes instalaciones, sim plifica enormemente y pone al alcance de cualquier auditor medianamente familiarizado con la informtica una importantsima gama de labores. Todas las que hemos venido exponiendo.

Falta de entrenam iento y experiencia Es innegable que la utilizacin de tas tcnicas de auditoria asistidas por computador requieren un mnimo d e entrenam iento y conocimiento. La gran diferencia es que estos mnimos son perfectamente asequibles como ya hemos descrito y consiguen que el auditor retenga el control del proceso de auditora Segn Klen. el auditor ha de estar en posesin com o mnimo de las siguientes cualidades:

22 AlTXTORtA INFORMTICA UNKNTOQCEPKCTKO -

www.FreeLibros.me

Ser experto auditor (financiero). Knlender el diseAo y m odo de operar del S.l. Tener conocim ientos bsico* d e tcnicas y lenguajes d e programacin. Estar familiarizado con los sistemas operativos. Serle factible poder identificar problem as con los formatos y estructuras de base de datos. Ser capaz de tender un puente con el profesional de la TL Saber cundo pedir apoyo d e un especialista.

No cabe duda de que en el entramado multidisciplinar que constituye el acervo de conocimientos d e un auditor, este aspecto viene a ampliar su "program a". Es un nueva faceta que viene a enriquecer su perfil. Si nos atenemos a las estadsticas disponibles en EE.UU.. el auditor viene adquiriendo estos nuevo-, conocimientos en un 70% de los casos por medio de entrenam iento en la propia empresa. en un 22% en seminarios y conferencias al efecto y en el 8% en el entorno acadmico. Mientras la Academia no desarrolle m s sus servicios n o cabe duda de que la pequefta y mediara empresa de auditora se enfrenta al nuevo reto de resolver su reciclaje. O tras incluyendo la preocupacin del cliente en cuanto a la seguridad de dalos.

1.8.

CON CLUSION ES

El objeto de la auditora financiera ha cambiado. Incorpora la TL Esto trae consigo el cam bio de los "libros" a analizar e igualm ente la necesidad de aplicar nuevos procedimientos que utilizan herramientas informticas. En la prctica, al auditor se le presenta una disyuntiva: o se adapta a la nueva situacin abordando el carro de la evolucin hacia metas sumamente halagelas, para lo que ha de adoptar una actitud receptiva hacia las nuevas tecnologas, o indefectiblemente ser una vctima d e la evolucin que no quiso >n o supo afrontar.

1.9.
1. 2. 3.

C U ES TIO N ES DE REPASO
Cules son los elem entos fundamentales del concepto de auditora? Cuntas clases diferentes de auditora existen? Qu sector ex uno de los principales usuarios d e las auditoras? ,-Qu ventaias aporta el computador rcsoccto al trabaio manual?

www.FreeLibros.me
CArtTVtO I LA INtORMTICA COMO HtXKAMIfXTA Df1 .AtDtTO IINAXCIIKO i 5. 6. Qu significan U t sig lu CAAT? Fj i qu afecta a los auditores la introduccin de Ixi TI en los sillo n as de informacin? Qu diferencias hay entre auditoria y consultorio? Cules son las ventajas de la informtica como herramienta d e la auditoria financiera? Qu pueden aportar los sistemas expertos a la auditoria informtica?

7. 8.

9.

10. Cules son las razones de la baja utilizacin de las TI como herramienta de la auditora financiera?

www.FreeLibros.me

C A P T U L O 2

C O N T R O L IN T ER N O Y A U D ITO R A IN FO R M TICA
Gloria Snchez Valriberas

2.1. INTRODUCCIN
Tradkionalm cntc en materia 1c control interno se adoptaba un enfoque bastante restringido limitado a k * controle" contables internos. En Unto se relacionaba con la informacin financiera, el control interno era un tem a que in tern ab a principalm ente al personal financiero de la organizacin y. por supuesto, al auditor externo. El concepto de control interno de mucha gente no inclua muchas d e las actividades operativas claves destinadas a prevenir lo* riesgos efectivos y potenciales a los que se enfrentan las organizaciones. Al producirse la quiebn. de numerosas cajas de ahorro y otras organizaciones result evidente que no habla suficiente conciencia de la necesidad de kis controles para evitar que los problemas surgieran y crecieran. Durante el ultimo decenio la prensa ha informado sobre muchos escndalos relativos a errores en el otorgamiento de crditos con la garanta de inmuebles inexistentes o extremadamente sobrevalorados. la manipulacin de informacin founcicra, operaciones burstiles realizadas con informacin privilegiada, y muchos otros conocidos fallos de los controles que han afectado a empresas d e diferentes sectores. En E spato se han dado pasos importantes como consecuencia de nuestra incorporacin y adaptacin a Europa. Adems de la mayor atencin que prestan las autoridades al problema, se observan importantes cambios en las empresas. Dichos cam bios someten a una gran

16 AlIMTOKlAIVFOKMATlCA UNIMOQUEFKCTKO

www.FreeLibros.me

tensin a lo controles meemos existente*. La mayora d e las organizaciones han acom etido vanas iniciativas en tal sentido, tales como: La reestructuracin d e los procesos empresariales (BP3 -Busiine.it Process Re-engineering). I j gestin de la calidad total (TQ.M -Total Quality Management). El rcdim ensionamicnto por reduccin y/o por aumento del tamaflo hasta el nivel correcto. La contratacin externa (outsourcmg). La descentralizacin.

El mundo en general est cambiando cada vez m is rpidarw nte, sometiendo a las empresas a la accin de muchas fuerzas extem as tales como la creciente necesidad de acceder a los mercados mundiales, la consolidacin industrial. U intensificacin d e la competencia, y las nuevas tecnologas. Las tendencias externas que influyen sobre las empresas son. entre otras, las siguientes: La glohalizacir). La diversiftcacin de actividades. l- i eliminacin de ramas de negocio no rentables o antiguis. La introduccin de nuevos productos com o respuesta a la competencia. L as fusiones y la formacin de alianzas estratgicas.

Ante la rapidez de los cambios, los directivos toman conciencia d e que para evitar fallos de control significativos deben reevaluar y recstnictuiar sus sistemas de controles internos. Deben actuar d e manera proactiva antes d e que surjan los problemas, tomando medidas audaces para su propia tranquilidad, as como para garantizar a los consejos de administracin, accionistas, comits y pblico que los controles internos de La empresa estn adecuadamente disertados para hacer frente a lo* retos del futuro y asegurar la integridad en el momento actual. Un centro de informtica de una empresa del sector terciario suele tener una importancia crucial por soportar los sistemas d e informacin Jel negocio, por el volumen de recursos y presupuestos que maneja, etc. Por lo tanto, aumenta la complejidad de las necesidades de control y auditora, surgiendo en las organizaciones, com o medidas organizativas, las figuras de control interno y auditoria informticos. I-a auditora ha cam biado notablemente en los ltimos a ta s con el enorme impacto que han venido obrando las tcnicas informticas en la fx m a de procesar la informacin para la gerencia. La necesidad d e adquirir y mantener conocim ientos actualizados de los sistemas informticos se vuelve cada vez ms x u cian te. si bien los

www.FreeLibros.me
CArtTVLO 2 .COMKOt. IXTOtNO Y AUDOORU tNHJWMTKA 27 aspecto* bsicos de U profesin no han variado. Los. auditores informticos aportan conocimientos especializados, as como mi familiaridad con la tecnologa informtica. Se siguen tratando las mismas cuestiones d e control en la auditora, pero los especialistas e n auditora informtica de sistemas basados en computadores prestan ana ayuda valiosa a la Organizacin y a los otros auditores en todo lo relativo a los controles sobre dichos sistemas. En muchas organizaciones, e l auditor ha dejado de centrarse en la evaluacin y la comprobacin de los resultados de procesos, desplazando su atencin a la evaluacin de riesgos y la comprobacin de controles. Muchos de k controles se incorporan en programas informticos o se realizan por parte d e la funcin informtica de la organizacin, representado por el Control Interno Informtico. El enfoque centrado en cootroies normalmente exige conocimientos informticos a nivel de la tecnologa utilizada en el rea o la organizacin que se examina.

2.2.

LAS FUNCIONES DE C O N TR O L IN TERN O Y AUDITORA INFORM TICOS

2.2.1. Control Interno Informtico

El Control Interno Informtico controla diariamente que todas las actividades de sistemas de informacin sean realizadas cumpliendo los procedimientos, estndares y no normas fijados por la Direccin d e la Organizacin y/o la Direccin de Informtica, as como los requerimientos legales. La misin del Control Interno Informtico e s asegurarse de que las medidas que se obtienen de los mecanismos implantados por cada responsable sean correctas y vlidas. Control Interno Informtico suele ser un rgano s ia ff de la Direccin del Departamento de Informtica y est dotado de las personas y medios materiales |n i) u i M u i k n d los cometidos que w le encomienden. Como principales objetivos podemos indicar los siguientes: Controlar que todas las actividades se realizan cumpliendo los procedim ientos y normas fijados, evaluar su bondad y asegurarse del cumplimiento de las normas legales. Asesorar sobre el conocimiento de las normas.

www.FreeLibros.me
AtDmXtU INtOKSIMICA l'S DK>QIT. rttACTlCO Colaborar y apoyar el trabajo de Auditoria Informtica, asf c o n de I auditoras externas al Grupo. Definir, implantar y ejecutar mecanismos y controles para comprobar el logro d e los grados adecuados del servicio informtica, lo cual no debe considerarse como que la implantacin de los mecanismos de medida y la responsabilidad del logro de esos ni se les se ubique exclusivamente en la funcin de Control Interno, sino que cada responsable d e objetivos y recursos e s responsable de esos niveles, asf com o d e la im plantacin d e los medios de medida adecuados.

Realizar en los diferentes sistemas (centrales, departamentales, redes locales. PC s. etc.) y entornos informticos (produccin, desarrollo o pruebas) el control de las diferentes actividades operativas sobre: El cumplimiento d e procedim iento, normas y controles dictados. Merece resaltarse la vigilancia sobre el control d e cam bios y versiones del softvt-are. Controles sobre la produccin diaria. Controles sobre la calidad y eficiencia del desarrollo y mantenimiento del softvk'art y del servicio informtica. Controles en las redes de comunicac iones. Controle* sobre el softHvirr de base. Controles en los sistemas mkroinfoirmticos. I-i seguridad informtica (su responsabilidad puede estar asignada a control intento o bien puede asignrsele la responsabilidad d e control dual de la misma cuando est encargada a otro rgano): Usuarios, responsables y perfiles de uso de archivos y bases d e dalos. Norm as de seguridad. Control de informacin clasificada. Control dual de la seguridad informtica.

U cencias y relaciones contractuales con terceros. Asesorar y transmitir cultura sobre el riesgo informtico.

2.2.2. Auditora Informtica

La Auditoria Informtica e s el proceso d e recoger, agrupar y evaluar evidencias para determinar si un sistema informatizado salvaguarda los activos, mantiene la integridad de los dalos, lleva a cabo eficazmente los fines de la organizacin y utiliza

www.FreeLibros.me
CAPmio fnwx interno y auditoria imowmtica t* eficientemente los recursos. De este modo la auditora informtica sustenta y confirma la consecucin de los objetivos tradicionales d e la auditora: Objetivos de proteccin d e activos e integridad de datos.

Objetivos de gestin que abarcan, no solamente los de proteccin de activos, sino tambin los de eficacia y eficiencia. El auditor evala y comprueba en determinados momento* del tiem po los controles y procedim ientos informativos ms complejos, desarrollando y aplicando tcnica* mecanizadas de auditora, incluyendo el uso del softw are. En muchos casos, ya no e s posible verificar manualmente los procedimientos informatizados que resumen, calculan y clasifican datos, por k) que *e deber emplear softw are de auditora y otras tcnicas asistidas por computador. El auditor es responsable de revisar e informar a la Direccin de la Organizacin sobre el diseo y el funcionamiento d e los controles implantados y sobre la fiabilidad de la informacin suministrada. Se pueden establecer tres grupos de funciones a realizar por un auditor informtico: Participar en las revisiones durante y despus del diseo, realizacin, implantacin y explotacin d e aplicaciones informativas, a s como en las fases anlogas de realizacin de cambios importantes. Revisar y juzgar los controles implantados e n los sistemas informativos para verificar su adecuacin a las rdenes e instrucciones de la Direccin, requisitos legales, proteccin de confidencialidad y cobertura ante errores y fraudes. Revisar y juzgar el nivel d e eficacia, utilidad, fiabilidad y seguridad d e los equipse informacin.

2.2.3. Control interno y auditoria informticos: campos anlogos

La evolucin de ambas funciones ha sido espectacular durante la ultima dcada. Muchos controles internos fueron una vez auditores. De hecho, muchos de los artuales responsables de Control Interno Informtico recibieron formacin en seguridad informtica tras su paso por la formacin en auditora. Numerosos auditores se pasan al campo de Control Interno Informtico debido a la similitud d e los objetivos profesionales de control y auditora, cam pos anlogos que propician una transicin natural.

www.FreeLibros.me
1 0 Al WTtmU SXXmATX A l~X fcNWXyr PHACTKO____________________________ c .tM Aunque amba* figuras tienen objetivos comunes. existen diferencia* qec conviene matizar:

SIM IL IT U D E S j Personal interno < Conocimientos especializados en Tecnologa de la Informacin 1 Verificacin del cumplimiento de controle* interno*, normativa y procedimiento* establecido* por la Direccin d e Informtica y I ______ __________I _ _ la Direccin General para los sistema* de informacin 1 D IF E R E N C IA S Anlisi* de los controle* en el | Anlisis de un momento I dia a dia informtico determinado i 1 Informa a la Direccin del ' Informa a la Direccin Gene-1 I Departamento de informtica [ ral de la Organizacin Slo personal interno Personal interno y/o extem o | El alcance de sus funcione* e s Tiene cobertura sobre lodo* nicamente vbre el Departa lo* componente* de lo* mento d e Informtica sistema* de informacin de I __________1 la Organizacin

2.3. SISTEM A DE C O N TR O L INTERNO INFORM TICO 2.3.1. Definicin y tipos de controles internos

Se puede definir el control interno como "cualquier actividad o accin realizada manual y/o automticamente para prevenir, corregir errores o irregularidades que puedan afectar al funcionamiento d e un sistema para conseguir sus objetivo*". Lo* controles cuando se discAen. desarrollen e implanten han de ser al menos completos, sim ples, fiables, revisable*. adecuado* y rentables. Respecto a esto ltimo habr que analizar el coste-riesgo de su implantacin. Lo* controles miemos que *c utilizan en el entorno informtico continan evolucionando hoy en dia a medida que los sistema* informtico* se vuelven complejos. Lo* progresos que *e producen en la tecnologa de sopones fsico* y de software) han modificado d e manera significativa los procedim ientos que * empleaban tradicionalmenle pora controlar los procesos de aplicaciones y para gestionar los sistemas de informacin. Para asegurar la integridad, disponibilidad y eficacia de kxs sistema* se requieren complejo* mecanismos de control, la mayora de los cuales son automticos. Resulta interesante observar. *m embargo, que hasta en los sistemas servidor/cliente avanzado*, aunque algunos controles son completamente automtico*, otros son

www.FreeLibros.me
K m ____________________ CAPfTVXO2 CONTKOl XWJWO Y AUPtTOrtlADaOttStATlCA II completamente manuales. y mucho* dependen de una combinacin de elemento* de software y de procedimiento. Histricamente, lo* objetivo* de lo* controles informtico* se lun clasificado en lis guente* categoras: Controles preventivos-, para tratar de evitar el hecho, coma un softw are de seguridad que im pida los acceso no autorizados al sistema Controles detectivov. cuando fallan los preventivo* piara tratar de conocer cuanto ante* el evento. Por ejemplo, el registro d e in te n t d e acceso no autorizados, el registro de la actividad diaria para detectar errores u omisiones. <*c. Controles torre d iv o i: facilitan la vuelta a la normalidad cuando se han producido incidencias. Por ejemplo, la recuperacin d e un u c h iv o daAado a partir de las copias de seguridad.

Como el concepto de controles se origin en la profesin de auditora, resulta importante conocer la relacin que existe entre los mtodos de control, los objetivo* de control y los objetivo* de auditora. Se trata de un tema difcil por el hecho de que. histricamente, cada mtodo d e control ha estado a*ociado unvocamente con un objetivo de control (por ejemplo, la seguridad de archivos de dalos se consegua sencillamente manteniendo la sala d e computadores cerrada con llave!. Sin embargo, a medida que los sistema* informtico se tian vuelto ms complejo*, los controles informticos han evolucionado hasta convenirse e n procesos integrados en los que se atenan las diferencia* entre las categoras tradicionales de cootroies informticos. Por ejemplo, en los actuales sistemas informticos puede resultar difcil ver la diferencia entre seguridad de los programas, d e los datos y objetives de control del software del sistema. porque el mismo grupo d e mtodo* de control satisface casi H u lm w u lo* tres objetivo de control. La relacin que existe entre los mtodos de control y los objetivos de control puede demostrarse mediante el siguiente ejemplo, en el que un miimo conjunto de mtodo* de control se utiliza para satisfacer objetivos de control tanto de mantenimiento como de seguridad de los programas: Objetivo de Control de mantenim iento: asegurar que las modificaciones de los procedim ientos programados estn adecuadamente disecadas, probadas, aprobadas e implantada*.

www.FreeLibros.me
H AUtXTOTMA INFORMTICA L'NENHOQUE CT1CO____________________________ c Objetivo J e Control de seguridad de programas: garantizar que no se poeden efectuar cambios no autorizados en los procedim ientos programados.

2.3.2. Implantacin de un sistema de controles internos informticos

Los controles pueden implantarse a vahos niveles diferentes. La evaluacin de los controles de la Tecnologa de la Informacin exige analizar diversos elemente interdependientes. Por ello es importante llegar a conocer bien la configuracin del sistema, con el objeto de identificar lo* elementos, productos y herramientas qae existen para saber dnde pueden implantarse los controles, as como para identifica: posibles riesgos. Para llegar a conocer la configuracin del sistema e s necesario documentar k>s detalles de la red. as como los distintos niveles d e control y elementos relacionados: Entorno de red. esquema d e la red. descripcin d e la configuracin hardware de comunicaciones, descripcin del softw are que se utiliza com o acceso a las telecomunicaciones, control de red. situacin general d e los computadores de entornos de base que soportan aplicaciones crticas y consideraciones relativas a la seguridad de la red. Configuracin d e l computador b ase: configuracin del soporte fsico, entorno del sistem a operativo, softw are con particiones, entornos (pruebas y real), bibliotecas d e programas y conjunto d e datos. Entorno de aplicaciones: procesos de transacciones, sistemas de gestin de bases de datos y entornos de procesos distribuidos. Productos y herramientas: softw are para desarrollo de programas, softw are de gestin de bibliotecas y para operaciones automticas. Seguridad del computador base: identificar y verificar usuarios, control de ac ceso, registro e informacin, integridad del sistema, controles de supervisin, etc.

Para la implantacin de un sistema de controles internos informticos habr que definir: Gestin de sistemas de informacin: polticas, pautas y normas tcnicas que sirvan de base para el diseo y la implantacin de los sistemas d e informacin y d e los controles correspondientes.

www.FreeLibros.me
cm u C A W itO ! CONTIMX. IVTMtNO Y At'DfTOOl BTtMSlAnCA 1) - Administracin de sistemas: controle* sobre la actividad d e los centros de datos y otras funcione* d e apoyo al sistema, incluyendo la administracin de las redes. - Seguridad: incluye las tres d ase de controles fundamentales implantados en el softw are del sistema, integridad del sistema, confidencialidad (control de acceso) y disponibilidad. - Gestin del cam bio: separacin d e las pruebas y la produccin a nivel de softw are y controles de procedim ientos pora la migracin d e programas softw are aprohados y probados.

La implantacin d e una poltica y cultura sobre la seguridad requiere que sea ita liu d a por fases y est respaldada por la Direccin. Cada funcin juega un papel nportante en las distintas etapas: Direccin de Negocio o Direccin d e Sistemas de Informacin (S.I.): Han de defieir la poltica y/o directrices para los sistemas d e informacin en base a las exigencias del negocio, que podrn ser internas o externas. trrcctn J* Informtica-. Ha le definir I nornia* * fim rin iu m im ln iVI m o m o informtico y de cada una de las funciones de Informtica mediante la creacin y publicacin de procedimientos, estndares, metodologa y normas, aplicables a todas las reas de Informtica as com o a los usuarios, que establezcan el Bureo de funcionamiento. Control Interno Informtico : Ha d e definir kx* diferentes controles peridicos a realizar en cada una de las funciones informticas, d e acuerdo al n o e l d e riesgo de cada una de ellas, y ser disertados conforme a lo- objetivos d e negocio y dentro del marco legal aplicable. stos se plasmarn en los oportunos procedim ientos de control Memo y podrn ser preventivos o d e deteccin. Realizar peridicamente la revisin de los controles establecidos d e Control Interno Informtico informando de las

www.FreeLibros.me
M AI'IMIIIHU INHIKMAIKA C'NKNKXjCE PRACTICO desviaciones a la Direccin le Informtica y sugiriendo cuantos cambios ere convenientes en los controles, asi como transmitir* constantemente a toda la organizacin de Informtica la cultura y polticas del riesgo informtico.

DtRWXTN <______>

POLTICAS V DIRECTRICES

[ fo i/n cA \

i I
* coMnconACts Y SEGUIMKNTO Dft CONTROLES ESTNOARKS 1-RO C.TX H M IE.V TO i NORMAS Y METOOOIXXSS

1
IMPLANTAR NtOCCZM MIECTOS De CONTROL.

| CVLTVtU ]

Auditor in srm o /tx ttm o informtico : Ha de revisar la* diferentes controles internos definidos en cada una de las funciones informticas y el cumplimiento de normativa interna y externa, d e acuerdo al nivel d e riesgo, conforme a los objetivos definidos por la Direccin de Negocio y la Direccin de Informtica. Informar a la Alta Direccin de los hechos observados y al detectarse deficiencias o ausencias de controles recomendarn acciones que minimicen los riesgos qtx pueden originarse. l-a creacin de un sistema de control informtico e s un responsabilidad de la Gerencia y un punto dextacable de la poltica en el entorno informtico. A continuacin se indican algunos controles internos (no lodos los que deberan definirse) para sistemas de informacin, agrupados por secciones funcionales, y que serian los que Control Interno Informtico y Auditora Informtica deberan verificar para determinar su cumplimiento y validez:

I. C ontro les generales organizativos Polticas: debern servir d e base para la planificacin, control y evaluacin por la Direccin de las actividades del Departamento de Informtica.

www.FreeLibros.me
CArtrut o ; txivmot intvhno y a ic htohia im o h m a tic a >5 Planificacin: Plan Estratgico d r Informacin, realizado por lo rganos de la Alta Direccin de la Empresa donde se definen los procesos corporativo y se considera el uso de la diversa. tecnologas de informacin as com o las amenazas y oportunidades d e su uso o d e su ausencia. Plan Informtico, realizado por el D epanam ento de Informtica, determina los caminos precisos pura cubrir las necesidades de la Empresa plasmndolas en proyectos informticos. Plan C en tra l de Seguridad (fsica y lgica), que garantice confidencialidad, integridad y disponibilidad de la informacin. la

Plan de emergencia ante desastres, que garantice la disponibilidad de los sistemas ante eventos.

Estndares: que regulen la adquisicin de recursos, el diserto, desarrollo y modificacin y explotacin de sistemas. Procedim ientos: que describan la form a y las responsabilidades de ejecutoria pora regular las relaciones entre el Departamento Je Informtica y los departamentos usuarios. Organizar el Departamento de Informtica en un nivel suficientemente superior de estructura organizativa como para asegurar su independencia de los departam entos usuarios. Descripcin de las funciones y responsabilidades dentro del Departamento con una clara separacin de las mismas. Polticas de personal: seleccin, plan de formacin, plan d e vacaciones y evaluacin y promocin. Asegurar que la Direccin revisa lodos los informes de control y resuelve las excepciones que ocurran. Asegurar que existe una pollica de clasificacin de la informacin para saber dentro de la O rganizacin qu personas estn autorizadas y a qu informacin. Designar oficialmente la figura de Control Interno Informtico y d e Auditoria Informtica (estas dos figuras se nombrarn internamente en base al tam ato del Departamento de Informtica).

www.FreeLibros.me
AMXTOHU INKXtMAWCA-17 h-MOQUE PH-<CTlCO olAH 2. C ontroles de d esarrollo. adquisicin y m a n ten im ien to de sistem as de informacin Para que permitan alca ruar la eficacia del sistema, economa y eficiencia, integridad de los dalos, proteccin d e los recursos y cumplimiento con las leyes y regulaciones. Metodologa del ciclo de vida del desarrollo de sistemas: su em pleo podr garantizar a la alta Direccin que se alcanzarn los objetivos definidos para el sistema. stos son algunos controles que deben existir en la metodologa: La alta Direccin debe publicar una normativa sobre e l uso de metodologa de ciclo de vida del desarrollo de sistemas y revisar sta peridicamente. La metodologa debe establecer los papeles y responsabilidades de las distintas reas del Departamento de Informtica y de los usuarios, as como la composicin y responsabilidades del equipo del proyecto. Las especificaciones del nuevo sistema deben ser definidas por tos usuarios y quedar escritas y aprobadas antes de que comience el proceso de desarrollo. Debe establecerse un estudio tecnolgico de viabilidad en el cual se formulen form as alternativas d e alcanzar los objetivos del proyecto acompaadas de un anlisis coste-beneficio -d e cada alternativa-. Cuando se seleccione una alternativa debe realizarse el plan director del proyecto. En dicho plan deber existir una metodologa de control de costes. Procedimientos para la definicin y documentacin de especificaciones de: diserto, de entrada, de salida, d e archivos, de procesos, de programas, de controles de segundad, d e pistas de auditora, etc. Plan de validacin, verificacin y pruebas. Estndares de prueba d e programas, de prueba de sistemas. Plan de conversin: prueba de aceptacin final. Los procedimientos de adquisicin de software debern seguir las polticas de adquisicin de la Organizacin y dichos productos debieran ser probados y revisados antes de pagar por ellos y ponerlos en uso. La contratacin de programas de servicios de programacin a medida ha de estar justificada mediante una peticin escrita de un director d e proyecto. Debern prepararse manuales de operacin y mantenimiento como parte de todo proyecto de desarrollo o modificacin de sistemas de informacin, as com o manuales d e usuario.

Explotacin y mantenimiento: el establecimiento de controles asegurar que los datos se tratan de forma congruente y exacta y que el contenido de

www.FreeLibros.me
CAffTVIO i C O S n O L IVTT.RNOY Al'DTTORlA IMORMATKA 7 sistemas slo w i modificado mediante autorizacin adecuada. foto* m algunos de los controles que se deben implantar: Procedimientos de control de explotacin. Sistema de contabilidad para asignar a usuarios los costes asociados con la explotacin de un sistema de informacin. Procedim ientos para realizar un seguimiento y control de los cambios de un sistema de informacin.

3. Controle d e explotacin de sistem as de inform acin Planificacin y Gestin d e recursos: definir el presupuesto operativo del Departamento. Plan de adquisicin d e equipos y gestin de la capacidad de los equipos.

Controles para usar, de manera efectiva los recursos en computadores: - Calendario de carga de trabajo. Programacin d e personal. Mantenimiento preventivo del material. G estin de problem as y cambios. Procedim ientos de facturacin a usuario. Sistema de gestin de la biblioteca de soportes.

Procedim ientos de seleccin del softw are del sistema, d e instalacin, de mantenimiento, de seguridad y control de cambios.

Seguridad fsica y lgica: Definir un grupo de seguridad de la informacin, siendo una de sus funciones la administracin y gestin del softw are de seguridad, revisar peridicamente los informes de violaciones y actividad de segundad para identificar y resolver incidentes. Controles fsicos pora asegurar que el acceso a las instalaciones del Departamento de Informtica queda restringido a las personas autorizadas. Las personas extem as a la Organizacin debern ser acompaadas por un miembro de la plantilla cuando tengan que entrar en las instalaciones. Instalacin de medidas de proteccin contra el fuego. Formacin y concienciacin en procedimientos de seguridad y evacuacin del edificio. Control de acceso restringido a los computadores mediante la asignacin de un identificados de usuario con palabra clave personal e intransferible.

www.FreeLibros.me
8 Al'lXTORU IXH3BMATK' tN KNKIQIIE PECnCO Normas que regulen el acceso a los recursos nformtic js . Existencia de un plan de contingencias para el respaldo de recursos de computado* crticos y para la recuperacin d e los servicias del Departamento Informtico despus de una interrupcin imprevista de ios mismos.

4. C ontroles en aplicaciones Cada aplicacin debe llevar controles incorporados p a n garantizar la entrada, actualizacin, validez y mantenimiento completos y exactos de los datos. Las cuestiones ms im ponanies en el control de los dalos son: Control de entrada d e datos: procedimientos de cotverein y d e entrad*, validacin y correccin de dalos. Controles de tratamientos de datos para asegurar q x no se dan de aki. modifican o borran dalos no autorizados para garanti:ar la integridad de lo* mismos mediante procesos no autorizados. Controle* de salidas d e dalos: sobre el cuadre y reconciliacin d e salidas, procedimientos de distribucin de salidas, de gestin de errores en las salid.

5. C ontroles especficos de d e r la s tecnologas Controles en Sistemas d e Gestin de Bates de Dalos:

El software de gestin de bases d e datos para prever el acceso a. b estructuracin de. y el control sobre los dalos com parlos, deber instalarse jr mantenerse de m odo tal que asegure la integridad del softw are, las bases de dalos y las instrucciones d e control que definen el enlomo - Q ue csin definidas las icspunsabilisiado sobre la plan ftcacin. organizacin dotacin y control de los activos d e dalos, es decir, un administrador de datos. - Q ue existen procedimientos para la descripcin y k cam bios d e datos as como para el mantenimiento del diccionario de dalos. - Controles sobre el acceso a datos y de concurrencia. - Controles para minimizar fallos, recuperar el entorno de las bases de datos hasta el ponto de la cada y minimizar el tiempo necesario para U recuperacin. - Controles para asegurar la integridad d e los dalos: programas de utilidad pan comprobar los enlaces fTsicos -p un tero s- asociados a los datos, registros de

www.FreeLibros.me
, ____________________ CAWnUjQ ?-COOTMOt. IXTHtNO Y AlPCTOKlA INIOM ATICA control para mantener los balances transitnos de transacciones pora su posterior cuadre con totales generados por el usuario o por otros sistemas. Controles en informtica distribuida y redes: Planes adecuados de implantacin, conversin y pruebas de aceptacin para la red. Existencia de un grupo de control de red. Controles pora asegurar la compatibilidad de conjunto d e datos entre aplicaciones cuando la red e s distribuida. Procedim ientos que definan las medidas y controles de seguridad a ser usados en la red de informtica en conexin con la distribucin del contenido de bases de dato entre los departamentos que usan la red. Q ue se identifican todos los conjuntos de dalos sensible de la red y que se han determinado las especificaciones para su seguridad. Existencia de inventario de todos los activo de la red. Procedim ientos de respaldo del hardware y del softw are de la red. Existencia de mantenimiento preventivo de todos los activos. Que existen controles que verifican que todos los mensajes de salida se validan de forma rutinaria para asegurar que contienen direcciones de destino vlidas. Controles de seguridad lgica: control de acceso a la red. establec miento de perfiles de usuario. Procedim ientos de cifrado de informacin sensible que se transmite a travs de la red. Procedim ientos automticos para resolver cierres del sistema. M onitori/acin para medir la eficiencia d e la red. Disertar el trazado fsico y las medidas de segundad de las lineas de comunicacin local dentro de la organizacin. Detectar la correcta o mala recepcin d e mensajes. Identificar los mensajes por una clave individual d e usuario, por terminal, y |M el iiiiiciu <lc XOKACU del mcnjc. Revisar los contratos de mantenimiento y el tiempo medio d e servicio acordados con el proveedor con objeto de obtener una cifra de control consume. Determinar si el equipo muhiplexor/concentrador/proccsador frontal remoto tiene lgica redundante y poder de respaldo con realimcntacin automtica para el caso de que falle. Asegurarse de que haya procedim ientos de recuperacin y reinicio. Asegurarse de que existan pistas de auditora que puedan usarse en la reconstruccin d e los archivos de datos y d e las transacciones de los diversos

www.FreeLibros.me
AKUTOatA INIOHMTICA UN ESTOQUE HtmCO____________________________ o m u terminales. Debe cxiMir la capacidad de rastrear los Calos entre la terminal y el usuario. Considerar circuitos de conmutacin que usen tulas alternativas p in diferentes paquetes de informacin provenientes del misino mensaje; esto ofrece una forma de seguridad en caso d e que alguien itfercepte los mensajes Controles sobre computadores personales y redes de rea local:

Polticas de adquisicin y utilizacin. Normativas y procedimientos d e desarrollo y adquisicin de softw are de aplicaciones. - Procedim ientos de control del softw are contratado bajo licencia. - Controles de acceso a redes, mediante palabra clave, a ravs de computadores personales. - Revisiones peridicas del uso d e los computadores penonalcs. - Polticas que contemplen la seleccin, adquisicin e instalacin de redes de rea local. Procedim ientos de seguridad fsica y lgica. - Departamento que realice la gestin y soporte tcnico de la red. Controles para evitar modificar la configuracin d e una red. Recoger inform adle detallada sobre los M inis existentes: Arquitectura (CFU's. Discos. Memori*. Streamers, Terminales, etc.). Conectividad (LAN. m ini lo ko st, etc.), software (sistema operativo, utilidades, lenguaje, aplicaciones. etc.). Servicios soportados. - Inventario actualizado de todas las aplicaciones d e la Kritidad. - Poltica referente a la organizacin y utilizacin de los discos duros de 1 equipos, as com o para la nomenclatura d e los archivos que contienen, y verificar que contiene al menos: obligatoriedad de etiquetar el disco duro con el nmero de serie del equipo, creacin de un subdirectorio por usuario en d que se alm acenarn todos sus archivos privados, as com o creacin de un subdirectorio pblico que contendr todas las aplicaciones de uso comn pan los distintos usuarios. - Implantar herramientas de gestin de la red con el fin d e valorar su rendim iento, planificacin y control. - Procedim ientos de control de los filt-tra n tfe r que se red izan y de controles de acceso para los equipos con posibilidades de comuni.'acin. Polticas que obliguen a la desconexin de los equipos d e lis lneas de comunicacin cuando no se est haciendo uso d e ellas. Adoptar los procedimientos de control y gestin adecalos para la integridad, privacidad, confidencialidad y seguridad de la informacin contenida en redes de rea local.

www.FreeLibros.me
Cuando exista conexin PC-Host. comprobar que opera b a p lo controles necesario* para evitar la carga/extraccin d e dato de form a noautorizada. Contrato* de mantenimiento (tanto preventivo com o correctivoo defectivo). Cuando en Las accione de mantenimiento c requiera la accin de tercero o la salida de los equipo d e lo lmite de la oficina. se debern establecer procedimiento para evitar la divulgacin d e informacin confidencial o sensible. Mantener un registro documental de la acciones de nunteninvento realizadas, incluyendo la descripcin del problema y la ohicin dada al mismo. I-os computadores debern estar conectado a equipo d e continuidad (UPS', grupo, e tc ). Proteccin contra incendios, inundaciones o electricidad esttica. Control de acceso fsico a lo recurso micronormticos: .laves de PC s. reas restringida. Ubicacin de impresoras (propia y d e red). Prevencin de robo de dispositivos. A utorizacin para desplazamienxK de equipo. Acceso fsico fuera de horario normal. Control de acceso fsico a los dato y aplicaciones: almacenamiento de dixquetes con copias d e hackup u otra informacin o aplicacin, procedimientos d e destruccin de datos e informes confidenciales, identificacin de disquctcVcintas. inventario completo le disquetes almacenado, almacenamiento de documentacin. En lo computadores en que se procesen aplicaciones o dalo nsiblex insular protectores de oscilacin d e lnea elctrica y sistema de alimentacin ininterrumpida. Implantar en la red local producto de seguridad a como herramientas y utilidades de seguridad. Adecuada identificacin de usuarios en cuanto a las iguieae* operaciones: altas, baja y modificaciones, cambio de posword. explota.'in del log del sistema. Controlar las conexione remotas in/out (CAL): Mdems. Gateway*. Mapper Procedim ientos para la instalacin o modificacin d e softwire y establecer que la direccin es consciente del riesgo de virus informticos y otros softw are maliciosos, a s com o de fraude por modificaciones no autorizadas de softw are y daftov Controles pora evitar la introduccin de un sistema operativo a travs de disquete que pudiera vulnerar el sistema de seguridad establecdo.

www.FreeLibros.me
1 AUDITORA INFORMATICA UN KNKKjtlE WtCTKO

2.4.

CON CLUSION ES

La importancia alcanzada por el uso (Se la informtica durante lo ltimos artos ha ido espectacular. Tras este fenmeno se encuentra el deseo d e beneficiarse de lo c uatro grandes logros que esta tecnologa ha aportado: Racionalizacin de costos. Mejora de la capacidad de tom a de decisiones, haciendo stas ms rpidas y de menor riesgo, al contar, de manera casi inmediata, con la informacin precita. Mejora de la calidad d e los servicios debido al incremento de la capacidad pora adaptarse dinmicamente al mercado. Nacimiento de servicios a d ie n tes basado e n la nueva tecnologa sin cuyo uto seran imposibles d e ofrecer.

La informtica no e s algo neutro en la empresa, sin o que tiene un ctocio estructurante que. aftadido a su carcter cada vez ms intensivo, a la variedad creciente de las aplicaciones y a la de los medios distribuidos, la hacen estratgica Todo ello ha permitido mejorar, de manera sustancial, los resultados econmicos al tiempo que se han disparado los costes d e las inversiones informticas. La informtica n o slo ha dejado de ser una sim ple herram ienta p o n transformarse en un modo de estructuracin de la empresa, sino que la informacin es uno de los actisos ms importantes. Las aplicaciones d e un funcionamiento anormal, aunque sea temporal, de la informtica tendrn repercusiones cada vez ms grases para la empresa, podiendo incluso poner en peligro su supervivencia ante la enorme dependencia de los sistemas informticos. La integracin, en particular gracias a las redes, hace el problema todava ms grase: las consecuencias de una anomala pueden propasarse al exterior de la empresa e incluso alcanzar al usuario final. N o hay que ocultar los problem as con el pretexto de tranquilizarse, sino que conviene prepararse para aportar soluciones aun cuando stas sean parciales al principio. Es responsabilidad de la Direccin plantear una estrategia de inversiones en recursos informticos as com o implantar sistemas de controles internos de manera que se garanticen unos grados de eficiencia y seguridad suficientes de los acusos informticos. Com o consecuencia, aumenta la complejidad d e las necesidades de control y auditora surgiendo en las organizaciones como medidas preventivas, defectivas y correctivas las figuras d e Control Interno y Auditora Informticos. Es preciso supervisar continuam ente los controles internos informticos para asegurarse de que el proceso funciona segn lo previsto. Esto e s muy importante, porque a medida que cambian los factores internos y externos, controles que una vez resultaron idneos y efectivos pueden dejar de ser adecuados y de dar a la Direccin la razonable segundad que ofrecan antes.

www.FreeLibros.me
too CArtnilI>:: CtVVTHOt. LVrWNO Y AUOTTOHU INFORMATICA O L funciones de Control Interno y Auditoria Informticos prestan un servicio de vilo aadido al ayudar a las organizaciones y a mis directivos a cumplir sus obligaciones relativas al control interno mediante d proceso de recoger, agrupar y evaluar evidencias para determinar as un sistema informatizado salvaguarda los activos, mantiene la integridad de los datos, lleva a cabo eficazmente los fines de la Organizacin y utiliza eficientem ente los recursos.

2.5. LEC TUR A S RECOMENDADAS

CPP Auditing. Auerhach Publications ht/g e rald . Jerry. Controles internos para sistem as de computacin. Ed. Limusa Wiley. Martin. James. Preatice Hall. Security. Accuracy a n d Pri\xtcy m Computer System. Ed.

Seguridad integral en las organizaciones. Ed. Trillas. Instituto A uditores Internos d e Espaa. Control interno, auditoria v segundad informtica.

2.6. CUESTIO N ES DE REPASO

1. Qu cambios en las empresas provocan tensin en el control interno existente? Cules son las funciones del control interno informtico? Cules son los objetivos d e la Auditora Informtica? Cules son las semejanzas y diferencias entre Control Interno y Auditora Informtica? Ponga ejemplos de controles conectivos e n diversas reas informticas. Cules son los principales controles en el rea d e desarrollo? Qu procesos definira para controlar la informtica distribuida y las redes? Qu controles se deberan establecer en las aplicaciones?

2. 3. 4.

5. 6. 7. 8.

www.FreeLibros.me
44 AVWtOKlA ISOKMATK'A l y EWOQIT.PRACTICO_____________________________o 9. Cmo justificara ante un directivo de empresa la inversin necesaria en control > auditora infocm iika?

10. Describa la informtica como m odo d e estructuracin de las empresas.

www.FreeLibros.me

CA PITULO 3

M E T O D O L O G A S DE C O N T R O L IN TER N O , SEGURIDAD Y A U D ITO R A IN FO R M TIC A

Jos M ara Genzdlez Zubieta

3.1. INTRODUCCIN A LA S M ETOD OLOG IA S

Segn el Diccionario de la le n g u a de la R eal Academia Espaole. M TODO es d "modo de decir o hacer con orden una c o n " . Asimismo define el diccionario la palabra METODOLOGA como "conjunto de mtodos que se liguen en una investigacin cientfica o en una exposicin doctrinal". Esto significa que cualquier proceso cientfico debe estar sujeto a una disciplina de proceso definida con anterioridad que llamaremos METODOLOGA La Informtica ha sido tradicionalmente una materia com pteji en lodos tus aspectos, por lo que se hace necesaria la utilizacin de metodologa n cada doctrina que b componen, desde su diserto de ingeniera hasta el desarrollo del software, y cmo no. la auditora de I< m sistemas d e informacin. Las metodologas usadas por un profesional dicen mucho de su forma de entender trabajo, y estn directamente relacionadas con su experiencia profesional acumulada como parte del comportamiento humano de acierto /error". Asimismo una metodologa e s necesaria para que un equipo de profesionales alcance un resultado homogneo tal como si lo hiciera uno solo, por lo que resulta Habitual el uso de metodologas en las empresas audiioras/consultora.' profesionales, desarrolladas por los ms expertos, pora conseguir resultados homogneos en equipos de trabajo heterogneos.

www.FreeLibros.me
<*
aupctok Ia infohmtka . un ckxji 'f

nU cnco_________________________ i m

La proliferacin de metodologas en el mundo de la auditoria y el contri informtico* se pueden observar en k primeros artos d e la dcada de los ochcnu, paralelamente al nacimiento y comercializacin d e determinadas hcrramxnui metodolgicas (como el softw are de anlisis d e riesgos). P e el uso de mtodos * auditoria es casi paralelo al nacim iento de la informtica, en la que existen mucha disciplinas c ayo uso de metodologas constituye una practica habitual. Una de ellis a la seguridad de los sistemas de informacin. Aunque de forma sim plista se trata d e identificar la seguridad informtica a U seguridad lgica de los sistemas, nada est ms lejos de h realidad hoy ea 6a, extendindose sus races a todos los aspectos que suponen riesgos para la informtica ste y no otro, debe ser el campo de actuacin d e un auditor informtica 6 finales del siglo XX. en uno de los grandes sm bolos del desvTollo tecnolgico de U poca de la humanidad que nos ha tocado vivir. Si definimos la "SEGURIDAD DE l.O S SISTEMAS DE INFORMACIN" como la doctrina que trata de lo s riesgos informticos o creados por la informtica entonces la auditoria e s una de las figuras involucradas en este proceso d e proteccin j preservacin de la informacin y d e sus medios d e proceso. Por tanto, el nivel de seguridad informtica en una cu idad e s un objetivo i esaluar y est directamente relacionado con la calidad y eficicia de un conjunto de acciones y medidas destinadas a proteger y preservar la informacin de la entidad j sus medios de proceso. Resumiendo, la informtica crea unos riesgos informticos de los que hay que proteger y preservar a la entidad con un entramado d e contramcdidas, y la calidad y la eficacia de las mismas es el objetivo a evaluar para poder identificar asi sus puntos dbiles y mejorarlos. sta es una de las funciones de los aud iu res informticos. Por tanto, debemos profundizar ms en esc entramado de contrunedidas para ver qu popel tienen las metodologas y los auditores en el mismo. Para explicar este aspecto direm os que cualquier contramedida nace de la composicin de varios factores expresados en el grfico valnr" A r U figura 3.1. Todos los factores de la pirmide intervienen en la composicin de una contramedida.

www.FreeLibros.me

Figura i . I. Factores que componen uno contramedula l-A N O RM A TIV A debe definir de form a clara y precita lodo lo que debe existir y ser cumplido, lano desde el punto de vista conceptual, como prctico, desde lo general a lo particular. Debe inspirarse en estndares, polticas, marco jurdico, polticas y normas de empresa, experiencia y prctica profesional. D esarrollando la normativa, debe alcanzarse el resto del grfico sa lo r. Se puede dar el caso en que una normativa y su carcter disciplinario sea el nico control de un riesgo, pero no es frecuente. I.A O R G A N IZ A C I N la integran personas con funciones especficas y con actuaciones concretas, procedimientos definidos metodolgicamente y aprobados por la direccin d e la empresa, liste e s el aspecto ms importante. <U<tn sin t. i u i es posible. Se pueden establecer controles sin alguno de los dems aspectos, pero nunca sin personas, ya que son estas las que realizan los procedim ientos y desarrollan los Planes (Plan de Seguridad. Plan de contingencias, auditoras, etc.). LAS M E T O D O L O G A S son necesarias para desarrollar cualquier proyecto que nos propongamos de manera ordenada y eficaz. LOS O B JE T IV O S DE C O N T R O L son lo s objetivo* a cumplir en el control de procesos. Este concepto e s el ms importante despus de LA ORGANIZACIN", y solamente de un planteamiento co n ecto de los mismos saldrn uno procedimientos eficaces y realistas.

www.FreeLibros.me
4 Al'DTTORlA INFORMATICA UN BNTOQtiE P*M~TKO____________________________ w w I.O S PR O C E D IM IE N T O S DE C O N T R O L sor los procedimientos operativos de las distintas reas de la empresa, obtenidos con una metodologa apropiada, para la consecucin de uno o varios objetivo* d e control y . por tanto, deben de estar documentados y aprobados por la Direccin. La tendencia habitual de los informticos e s la de dar ms peso a la herramienta que al "eomrol o contramedidn", pero no debeiiKtt olvidar que UNA HERRAMIENTA NUNCA ES UNA SOLUCIN SINO UNA AYUDA PARA CONSEGUIR UN CO N TRO L M EJOR". Sin la existencia de estos procedim ientos, las herramientas de control son solamente una ancdota. Dentro de la T E C N O L O G IA DE SE G U R ID A D e i todos los elementos, ya sean h a rd w are o softw are, que ayudan a controlar un riesgo informtico. Dentro de este coocepto estn los cifradores, auicntificadores. equipos tolerante* al fallo", las herram ientas d e control, etc. LAS H E R R A M IE N TA S D E C O N T R O L *on ekmento* softw are que permiten definir uno o vario* procedimientos d e cortrol para cumplir una normativa y un objetivo d e control.

Todos estos factores estn relacionados entre sf. as com o la calidad de cada uno con la de lo* dems. C uando se evala el nivel de Seguridad d e Sistem as e n un institucin, se estn evaluando lodos estos factores (p irm id e) y se plantea un P lan de S eguridad nuevo que mejoee todo* los factores, aunque conforme vayamos realizando los distinto* proyectos del plan, no irn mejorando todos por igual. Al finalizar el pUa se lu b r conseguido una situacin nueva en la que el nivel d e control sea superior a) anterior. Llamaremos PLAN DE SEGURIDAD a una estrategia planificada de acciones y producto* que lleven a un sistema de informacin y su* centro* de proceso d e una situacin inicial determinada (y a mejorar) a una situacin mejorada. En la figura 3.2 se expone la tendencia actual en la organizacin de la seguridad de sistemas en la empresa. Por una pane un comit que estara formado por el director de la estrategia y de I poHiivuv Y pul srtm jwitc csniUut interno y auditoria informticos. I-a funcin d e control interno se ve involucrada en la realizacin de los procedimiento* de control y e s una labor de din a dfa. L funcin d e auditora informtica est centrada en la evaluacin d e los distintos aspectos que designe su PLAN AUDITOR, con una* caractersticas de trabajo que son las visita* concreta* al centro, con objetivos concretos y, tras term inar su trabajo. la presentacin del informe de resultados. Por tanto, las caractersticas de su funcin son totalm ente distintas. Lgicamente tambin sus mtodos de trabajo.

www.FreeLibros.me
CAffTWO V MBTflOXXa\S Dt OtVTKOt. IMVKVO. SU* HIPAD Y Al'PfTOtllA 9

Figura S.2. Organizacin interna de la segu n d a d informtica Queda, pues, por decir que ambas funciones deben ser independientes d e la informtica. dado que por la disciplina laboral la labor de la dos funciones quedara mediatizada y comprometida. F.to e s lo que se llama "segregacin de funciones" c ttrt stas y la informtica.

3.2. M ETOD OLOG IA S DE EVALUACIN DE SISTEM AS 3.2.1. Conceptos fundamentales

En el mundo de la seguridad d e sistemas se utilizan todas las metodologas necesarias para realizar un plan de seguridad adems de las de auditora informtica. Las dos metodologas de evaluacin de sistemas por antonomasia son las de ANLISIS DE RIESGOS v las de AUDITORA INFORMTICA, con dos enfoques dntintos. La auditora informtica slo identifica el nivel de exposicin" por la falta de controles, mientras el anlisis de riesgos facilita la "evaluacin" de k riesgos y recomienda acciones en base al costo-beneficio d e las mismas. Introduzcamos una serie de definiciones para profundizar en e s u s metodologas. AMENAZA: una(s) persooa(s) o cosis) vistis) como posible fuente de peligro o catstrofe. Ejemplos: inundacin, incendio, robo de datos, sabotaje, agujeros publicados, falta de procedimientos de em ergencia, divulgacin de

www.FreeLibros.me
UDCTOk Ia INKXtMTKTA L N PffOQCE PRCTICO datos. implicaciones con incontrolado*, etc. la ley. aplicaciones mal disertadas. gasu

VULNERABILIDAD: La situacin creada, por la falta de uno o vario controles, con la que la amenaza pudiera acaecer y as afectar al entone informtico. Ejemplos: falta d e control de acceso lgico, falta de control de versiones, inexistencia d e un control de sopones magnticos, falta de separacin de entorno* en e l sistema, falta d e cifrado en I telecomunicaciones, etc. RIESGO: La probabilidad de que una amenaza llegue a acaecer por usa vulnerabilidad. Ejemplo: los datos estadsticos de cada evento de una base de datos de incidentes. EXPOSICIN O IMPACTO: La evaluacin del efecto del riesgo. Ejemplo: e* frecuente evaluar el im pacto en trminos econmico*, aunque no siempre I es. com o vidas humanas, imagen d e la empresa, honor, defensa nacional, etc.

Las amenazas reales se presentan de form a compleja y son difciles de predecir Ejemplo: por varias causas se rompen las dos entradas d e agua, inundan las lnea telefnicas (pues existe un poro en el cable), hay un cortocircuito y se quema d transformador de la central local. En c ao casos la probabilidad resultante es muj difcil de calcular. Las metodologas de anlisis de riesgos se utilizan desde los afta* setenta, en b industria del seguro basndose en grandes volmenes de datos estadstico* agrupado en tablas a d uana* Se emplearon en la informtica en los ochenta, y adolecen dd problema de que los registros estadsticos d e incidentes son escasos y . por u n to , d rigor cientfico de ky* clculos probabiltfko* e s pobre. Aunque existen bases de incidentes en varios pases, estos dalos no son muy fiables por varios motivos: la tendencia a la ocultacin d e los afectados, la localizacin geogrfica, las distintas mentalidades, la informtica cambiante, el hecho de que los riesgo* *e presentan en u* periodo de tiempo solamente (ventana d e criticidad). etc. Todos los riesgos que se presentan podemos: EVITARLOS (por ejemplo: no construir un centro donde hay peligro constante de inundaciones). TRANSFERIRLOS (por ejemplo: uso d e un centro d e clculo contratado). REDUCIRLOS (por ejemplo: sistem a de deteccin y extincin de incendios). ASUMIRLOS- Que e* lo que se hace si no se controla el riesgo en absoluto.

www.FreeLibros.me
am CAPtTVLQ3 VaTTOOOLOCtAS Df.COyTHOl- IVTTJtMX XX-HIPAD YAUDfTOHX* ti Para lo tres primeros, e acta si se establecen controle o contramedida. Todas la m etodologa exileme* en segundad de sistemas van encam inada' a establecer y mejorar un entramado de contram edidat que garanticen que la prohabtfcdad de que la m ena/* te materialicen en hechos (por falta de control) tea lo m i baja posible o al menos quede reducida d e una forma razonable en costo-beneficio.

3.2.2. Tipos de metodologas

Toda las metodologas existentes desarrollada y utilizada en U auditora y el control informtico, e pueden agrupar en do grandes familia. stas ion: Cuantitativa: Basada en un modelo matemtico numrico que ayuda a la realizacin del trabajo. Cualitativa: Basada en el criterio y raciocinio humano capaz de definir un proceso de trabajo, para eleccionar en base a la experiencia acumulada.

X 12 .I. M etodologas cuan titativ as Disertadas para producir una lista de riesgos que pueden compararte entre si con facilidad por tener asignado uno valores numrico. Esto valores en el caso de metodologa de anlisis de riesgos o de planes de contingencia1 - to n dato de probabilidad de ocurrencia (riesgo) d e un evento que se debe extraer de un registro de incidencias donde el nm ero de incidencia tienda al infinito o sea suficientemente grande. Esto no pasa en la prctica, y te aproxim a ese valor d e 'orma subjetiva retundo as rigor cientfico al clculo. Pero dado que el clculo te hace para ayudar a elegir el mtodo entre varias contram edidat podram os aceptarlo. Hay vario coeficientes que conviene defin ir A -L E . (A nnualiztd Loss Ltpeniacy): multiplicar la prdida nxim a posible de cada bien/recurso por la ame n a /a con probabilidad ms alta Reduccin del A.L.E. (Annualized Lots Exprctancy): Es el cociente entre el COSI* anuallzado de la insulacHfci y e l iitanu oimiento de U ncdido contra I valor total del bien/recurso que se est protegiendo, en tanto per ciento. - Retom o de la inversin (R.O.I.): A.L.E. original menos A.I..E. reducido (como resultado de la medida), dividido por el coste anualizado de la medida

Todo esto coeficientes y otro disertado por los autores d e la metodologas ton osado para el juego de sim ulacin que permite elegir entre vanas contra medida ta el an!t de riesgos.

www.FreeLibros.me
ALDtTtttU ISTOOtUCA US t>KXjCT. mACHOO____________________________ M Por lano, vemos con claridad dos grandes inconveniertes que presentan eus metodologas: por una pane la debilidad de los dalos de la probabilidad de ocurre* por los pocos registros > la poca significacin de los mismos a nivel mundial, y por otra la imposibilidad o dificultad d e evaluar econmicamente lodos los impactos que pueden acaecer frente a la ventaja d e poder usar un modrlo matemtico p a n d anlisis.

3.2.2.2. M etodologas cualitatisas/xubjefivas Basadas en mtodos estadsticos y lgica borrosa (hum ara, no matemtica. f* z j togic). Precisan de la im vlucractn de un profesional experimentado. Pero requiera menos recursos humanos/tiempo que las metodologas cuantiutivas. La tendencia de uso en la realidad es la mezcla de ambts. En la figura 3.3 k observa un cuadro comparatisi.

3.2.3. Metodologas ms comunes

Las metodologas ms comunes de evaluacin de sistemas que podemoi encontrar son de anlisis de riesgos o de diagnsticos d e segundad, las d e plan de contingencias, y las de auditoria de controles generales.

www.FreeLibros.me
ca H tvix i . mnoootooiAX pe cnvm ot intckso . sKit.mtM v m ix io r u

U J . I . Mdodalocia. de a n lisis de riesgos Estn desarrolladas pora la identificacin de la falta de controles y el oubtecim iento de un plan de contramedidas. Existen dos tipos: LAS CUANTTTATIVAS y L A S CUALITATIVAS, d e las que existen gran cantidad de n etas clases y slo citaremos algunas d e ellas. H esquema bsico de una metodologa de anlisis d e riesgos ex. en esencia, el representado en la figura 3.4.

En base a unos cuestionarios se identifican vulnerabilidades y riesgos y se evala d impacto para m is tarde identificar las contramedidas y el coste, l-a siguiente etapa n la m is importante, pues mediante un juego de simulacin (que llamaremos "Q U PASA SI...?") analizam os el efecto de las distintas contramedidas en la disminucin de los riesgos analizados, eligiendo de esta manera un plan de contramedidas (plan de segundad) que compondr el informe final de la evaluacin. O forma genrica las metodologas existentes se diferencian en: Si son cuantitativas o cualitativas, o sea si para el "Q u pasa sL .T ' utilizan un modelo matem tico o algn sistema cercano a la eleccin subjetiva. Aunque, bien pensado, al aproxim ar las probabilidades por esperanzas matemticas subjetivamente, las metodologas cuantitativas, aunque utilicen aparatos matemticos en sus simulaciones, tienen un gran componente subjetivo. Y adems se diferencian en el propio sistema d e sim ulacin. En el INFO SEC92 proyecto S 20I4 se identificaron 66 metodologas de las n ales, por limitaciones de tiempo, se analizaron slo 12 con sus respectivos paquetes.

www.FreeLibros.me
i* AUPfTCmiA n\XmMAtK~A LN fcXKJQft' mACTKP____________________________ u. y u i el informe le este trabajo acab siendo un contraste d e U s (icn u c io n e t d e d ic ta paquete* segn lo* fabricante* y la opinin de la* consultore* del equipo. Eoi mtodo* analizado* eran: A N A U Z Y . BDSS. BIS RISK ASSESOR. BUDDY SYSTEM. COBRA. CRAM M . DD1S MARION AP*. MELISA. RISAN. RISKPAC. RISK WATCH. Despus de e*tas metodologas han nacido mucha* otras como, por ejemplo, U MACERfT. desarrollada por b administracin espartla. Citarem os algunas a modo de ejemplo:

Figura J.S. Diagrama / w ln tra b ilitla d

www.FreeLibros.me

Figura 3.6. Cuestionario p a ra i atorar la seguridad

www.FreeLibros.me
M A RIO N Mtodo documentado en do* libros de los cuales el ms actual es La SecuriU des reseaux-M ethodes et Techniques de J.M . Lamer y Leroux. J. Toorty. Tiene dos productos: MARION AP+. para sistemas individuales, y MARION RSX pora sistemas distribuidos y conectividad. Es un mtodo cuantitativo y se basa en la encuesta anual de miembros del C .L .U .S.l.F. (base de incidentes francesa). N o contempla probabilidades, sieo esperanzas matemticas que son aproxim aciones numricas (valores subjetivos). La MARION AP* utiliza cuestionarios y parmetros correlacionadlos enfocados a la representacin grfica de las distintas soluciones de contramedidas (fgura 3.5). en cada uno de los factores (27 factores en seis categoras). Las categoras son: seguridad informtica general, factores socioeconmicos, concienciacin sobre la segundad de softw are y materiales, seguridad en explotacin y seguridad de desarrollo.

Figura 3.7. Valores d e ponderacin para diferentes sectores

www.FreeLibros.me
CaHTI'M) VMHOOOUXUAS Of. CXXSTUfK. INTERNO. SEGURIDAD AtPfTOKU 57 En la figura 3.6 se puede se r un cuestionario al que hay que responder s con un 4. no con un cero, y i no aplicable, para luego aplicarle uno valore* de ponderacin segn los sectores de la figura 3.7 de negocio de la empresa donde st est pasando la metodologa. El cuestionario d e la figura 3.6 correspondera al factor 101. El anlisis de riesgos k> hace obre diez irea s problemtica con otros cuestionario. Estas reas son riesgos materiales, sabotajes fsicos, averas, comunicaciones, errores de desarrollo, errores d e explotacin, fraude, robo de informacin, robo de software, problem as de personal. Sirve para evaluar el impacto figura 3.8).

Figura 3.8. Definicin cualitativa de prdidas

www.FreeLibros.me
M AUXTtmlA INTOHMATKA LiNenfoque HtACTKO____________________________ en i La* prdidas posibles n o deben sobrepasar nunca e. valor del "RIESGO M XIMO ADMISIBLE", vaio extrado de los valores dados por un cUud*o dd Banco de Francia donde figuran 5 0 rabos para distintas reas sectoriales ya mencionadas en la figura 3.7. El diagrama de la figura 3.S se llama de radar, y b metodologia M ELISA usa uno sim ilar. Esta metodologa e s d e las m is antiguas ; difciles de entender y manejar.

R1SCKPAC
Todas las metodologas que se desarrollan en la actualidad estn pensadas para sa aplicacin en herramientas. La primera de esta familia la desarroll PROMU: ANALYSIS CORPORATION, y la primera instalacin en cliente data d e 1984. Segn DATAPRO es el softw are ms vendido. Su enfoque es metodologa cualitativa/subjetiva. Sus resillados ion exportables i procesadores de texto, bases de datos, hoja electrnica o sistemas grficos. Est estructurada en los tres niveles FntonHVProccsador/Aplicacione* con 26 categoras de riesgo en cada nivel. Tiene un qu posa si...?" con un nivel 4c riesgo de evaluacin subjetiva del 1 al 5 y ofrece una lista de contramedidas o recomendaciones bsicas para ayuda al informe final o plan de acciones.

CRAMM
Se desarroll entre 1985 y 1987 por BIS y CCTA (C E N T tA L COM PUTER & TELECOMUNICATION AGENCY RISK A NALISIS & MANAGEMENT METMOD. Inglaterra). Implantado e n ms de 750 o rganiracbnes en Europa, sobre todo de la administracin pblica. Es una metodologa cualitativa y permite hacer anlisis Qu pasa si...?".

PR IM A (PR E V E N C IO N DE R IE SG O S IN F O R M T IC O S CON MKTOIKM-OGA A BIE RT A ) Es un compendio de metodologas espartlas desarrolladas entre lo* artos 1990 y la actualidad con un enfoque subjetivo. Sus caractersticas escoriales son: - Cubrir las necesidades de los profesionales que desarrollan cada uno de los proyectos necesarios de un plan de segundad. - Fcilmente adaptable a cualquier tipo de herramienta. - Posee cuestionarios de preguntas para la identificacin de debilidades o faltas de controles.

www.FreeLibros.me
CArtnu-Q i Mirmixxnctvs i* twfntot inttkno . u o :hipad y audctohia Posee listas de ayuda para los usuarios menos experimentados de debilidades, riesgo y contramedidas (sistema d e ayuda) Pem ute fcilmente la generacin de informe fin al . Las Lista de ayuda" (figura 3.10) y los cuestionarios son abierto, y por tanto e s potable introducir informacin nueva o cambiar la existente. De ah( la expresin Abierta de u nombre. Tiene un "qu pasa cualitativo, y capacidad d e aprendizaje al poseer una base de conocimiento o registro de incidentes que van variando las esperanza matemticas de partida y adaptndose a los entornos d e trabajo.

En las figuras 3.9 y 3.10 se expone b metodologa de anlisis d e riesgo PRIMA.

Con la misma filosofa abierta existen del mismo autor, en b actualidad, las siguientes metodologas: Anlisis de riesgos. Plan de contingencias informtica y d e recuperacin del negocio. P b n de restauracin interno informtico. Clasificacin de b informacin. Definicin y desarrollo de procedim ientos de control informticos. P b n de cifrado. Auditora informtica. Definicin y desarrollo d e control de acceso lgico. Entornos distribuidos y single sig-on.

www.FreeLibros.me

Figura i. O. M ita d e ayuda d e la metodologa PRIMA

3 .2 J .2 . P lan de contingencias El auditor debe conocer perfectamente lo* conceptos de un plan de contingencia* para poder auditorio. Hay varias forma* d e llamarlo, pero conviene no confundir Un concepto* que kc manejan alrededor de lo* nombre*. El plan d e contingencia* y de recuperacin del negocio c* lo mismo, pero no asi el plan de restauracin interno. ste va enfocado hacia la restauracin del C.P.D .. pero sobre evento* que suceden dentro del enlom o (cadas del sistema, roturas leves, etc.), y cuya duracin no afecta gravemente a la continuidad del negocio. Tambin *e manejan a vece* los concepto* de plan de contingencias informtica y plan, de contingencia* corporativo, cuyos conceptos son slo de alcance. El corporativo cubre no slo la informtica, sino lodos kw departamento* d e una entidad, y puede incluir tambin el informativo com o un departam ento ms. Frecuentemente se realiza el informtico. DEFINICIN. El Plan d e Contingencias es una estrategia planificada constituida por: un conjunto de recu n o s de respaldo, una organizacin de emergencia y unos procedim ientos de actuacin encaminada a conseguir una restauracin progresiva y gil de los scrvicioei de negocio afectados por una paralizacin total o parcial de la capacidad operativa de la empresa. Esa estrategia, materializada en un manual, es el resultado de lodo un proceso de anlisis y definiciones que es lo que da lugar a las metodologas. Esto es. las metodo logas que existen versan sobre el proceso necesario para obtener dicho plan.

www.FreeLibros.me
CAHn lo MtiotxicociiAS uc cffvntiM.ivrm.so. seoirida y aho*tokIa - t i Es muy importante tener en cuenta que el concepto a considerar e* la continuitti. el negocio- : estudiar todo lo que puede paralizar la actividad y producir prdidas Todo k> que no considere este criterio no ser nunca un plan de contingencias. FASES D E U N P IA N . L as fases d e un plan son la* siguientes: FASE I. A NLISIS Y DISEO. Se estudia la problemtica. las necesidades de recursos, las alternativas de respaldo, y se analiza el coste/beneficio d e las misma, f.ua es la fase m is importante, pudiendo llegarse al final de la misma incluso a la conclusin de que no ex viable o e s muy costoso su seguim iento. En la form a de desarrollar esta fase, se diferencian las dos familias metodolgica*. stas son las de -RISK AN ALISIS" y las de BUSINESS IM P A C T . Las de Risk Anlisis se basan en el estudio de los posibles riesgos desde el punto de sista de probabilidad de que los mismos sucedan. Aunque los registros de acidentes. al igual que ocurra en las metodologas de anlisis d e riesgos, son escasos y poco fiables, aun as es m is fcil encontrar este tipo de metodologas que las segundas. Las de Bussines Impact. se basan en el estudio del im pacto (prdida econmica o de imagen) que ocasiona la falta de algn recurvo de los que soporta la actividad del negocio. Estas metodologas son m is escasas, pero tienen grandes ventajas como e s el mejor entendim iento del proceso o el menor em pleo de tiempo de trabajo por ir m is directas al problema. Las tareas de esta fase e n las metodologas de Risk Anlisis son las siguientes: 1. 2. 3. 4. 5. 6. 7. 8. 9. 10. 11. 12. Identificacin d e amenazas. Anlisis de la probabilidad de materializacin de la amenaza. Seleccin de amenazas. Identificacin de entornos amenazados. Identificacin de servicios afectados. Estimacin del im pacto econmico por paralizacin de cada servicio. ScIcccMta de Io scrvicio a cubrir. Seleccin final del mbito del Plan. Identificacin de alternativas para lo* entornos. Seleccin de alternativas. DiscAo de estrategias de respaldo. Seleccin de las estrategias de respaldo.

www.FreeLibros.me
t a u x to k U intohm tw a un exkm x'e wtcnco La laucas pora 1 de Business Impaci son las siguientes: 1. Identificacin de servicios finales. 2. Anlisis del impacto. En estas metodologas se evalan los d a to s econmicos y de imagen y otros aspectos no econmicos, lo que 1 da una ve Maja en ks casos en los que intervienen otros valores que no sean los econmicos. 3. Seleccin de servicios crticos. 4. Determinacin de recursos de soporte. 5: Identificacin de alternativas pora entornos. 6. Seleccin de alternativas. 7. Diserto de estrategias globales de respaldo. 8. Seleccin de la estrategia global de respaldo. Com o puede verse, el enfoque de esta segunda es ms prctico y xe va mis directo a las necesidades reales de la entidad sin tener que justificar con datos de probabilidades que aportan poco por la pobreza de los datos. stas se basan en hech ciertos, que se analizan y se justifican econmicamente. Permiten, por tanto, hacer estudios costo/beneficio que justifican las inversiones con m> rigor que los estudios de probabilidad que se obtienen con los anlisis de riesgos. Hay un factor importante a determinar en esta fase que e s el Time Fronte o tiempo que la empresa puede asumir con paralizacin d e la attividad operativo -Jes de incurrir e n prdidas significativas. Este factor marcir las estrategias de recuperacin y se extraer del anlisis del impacto. FASE II: DESARROLLO DEL PLAN. Esta fase y la tercera son similares es todas las metodologas. En ella se desarrolla la estrategia seleccionada implantndose hasta el final todas las acciones previstas. Se definen las distintas organizaciones de emergencia y se desarrollan los procedim ientos de actuacin generando as li documentacin del plan. Es en esta fase cuando se analiza la vuelta a la normalidad, dado que pasar de U situacin normal a la a h e m a tira debe concluirse con la reconstruccin de la situacite inicial antes de la contingencia y esto es lo que no todas las metodologas incluyen. FASE III: PRUEBAS Y MANTENIMIENTO. En esla fase se definen 1 prueHm. us caracrerfsric y sus ciclos, y se realiza la p rim e n prueba como comprobacin de todo el trabajo realizado, a s com o mental izar al personal implicada A sim ismo se define la estrategia d e mantenimiento, la organizacin destinada i ello y la normativa y procedimientos necesarios pora llevarlo a cabo IIERRAMIEWTAS. En este caso, com o en todas las metodologas la herramiecu es una ancdota y lo importante es tener y usar la mctocblogfa apropiada pan

www.FreeLibros.me
cmivios M m iootuciv. Dt covntoi. ishjlno. stguuuad v audito*! . >i dturrollar m is larde la hcnam icnta que *c necesite. fcJ esquema de una herramienta dete tener al menos los uguicntes puntos: base de datos relacionar mdulo de entrada de datos mdulo de consultas proceso de textos generador de informes a)vdas on-lme hoja de clculo gestor de proyectos generador de grficos

Existen en el mercado producios que cubren estas metodologas, en menor cantidad que los de anlisis de riesgos y enfocados sobre todo a anlis de nesgo* con ditos de poca significacin cientfica. Hoy en da la mayora le tos equipos profesionales desarrollan su softw are al oom ten/o de lo trabajos tras definir la netodologa Es importante para terminar este punto decir que una prctica hatitual e s realizar la fase I y contratar un servicio de back-up sin desarrollar las fases II y III. Esto no M o constituye un error conceptual, sino que en realidad slo se tiene un estudio y un contrato de servicios pero no un PLAN DE CONTINGENCIAS.

3.3.

LAS M ETO D O LO G A S DE A UDITORIA INFORMTICA

Las nicas metodologas que podemos encontrar en la auditora informtica son do familias distintas: las auditoras de CONTROLES GENERALES como produelo estndar de la auditores profesionales, oue son una homologacin de las mismas a rfl internacional, y las METODOLOGIAS de los auditores internos. El objetivo de las auditoras de controles generales es "dar una pintn sobre la natiilnlod de lus datus del computador para la auditora financiera". El rebultado externo es un escueto informe com o parte del informe de auditora, dende *e destacan lat vulnerabilidades encontradas. Estn basadas en pequefo* cuestionarios estndares que dan como resultado informes muy generalistas. Tienen apaados para definir pruebas" y anotar sus resultados. sta es una caracterstica clara de la diferencia con las metodologas de evaluacin d e la consultara como la* de anlisis de riesgos que n o tim e n estos apenados, aunque urribin tratan de identificar vulnerabilidades o falta d e controle; Esto es. la ratizaon de pruebas e* consustancial a la auditora, dado que tarto el trabajo de conlitara como el anlisis de riesgos espera siempre la colaboracin del analizado, y

www.FreeLibros.me
W M W IW lA INHM*TlfA IX tMOQCt *CnC O ____________________________ a i por el contrario la auditoria debe demostrar con pruebas toda, u n afirmaciones. y pa e llo siempre debe contener el apartado de las pruebas. Llegando al extrem o de que hay auditoras que se basan slo en pruebas como la "auditora d e integridad- . fcsta\ metodologas estn muy desprestigiada*, pero n o porque sean malas en i mismas, sino porque dependen mucho de la experiencia de k a profesionales que la usan y existe una prctica de utilizarlas profesionales sin n in g n experiencia. Ninguna de estas metodologas usa ayudas de contramedida*. llegndose a U aberracin de que se utilizan metodologas de anlisis de riesgos para hacer auditorias. Todas estas anomalas nacen de la dificultad que tiene un profesional sa experiencia que asume la funcin auditora y busca una frmula fcil que le perrina empezar su trabajo rpidamente. Esto ex una utopa El auditor informtico necesita una larga experiencia tutelada y una gran formacin tanto audtora como mformbea. Y esta formacin debe ser adquirida mediante el estudio y la prctica tutelada. Llegamos al punto en el que e s necesario decir que la netodologa d e aud*r Memo debe ser disertada y desarrollada por el propio ajditor. y sta ser b significacin de su grado de experiencia y habilidad. Por u n to , entre la* dos metodologas de evaluacin de sistemas (anlisis de riesgo* y auditoria) existen sim ilitudes y grandes diferencias. Ambas tienen ppelo de trabajo obtenidos del trabajo de cam po tras el plan d< entrevistas, pero V o s cuestionarios son totalmente distintos. Los d e la figura 3.6 son de anlisis de nesgas y se trata de preguntas dirigidas a la identificacin de la f a lu d e controles. Se vea dirigidas a consultores por la planificacin d e los tiempo* y por ser preguntas mis concretas. En el punto 3.7 se expone un ejemplo real d e una metodotiga de auditor interno necesaria para revisar cualquier aplicacin. Com o se ve en el ejemplo esU formad por recomendaciones de plan d e trabajo y de lodo el proceso que debe se g ar Tambin define el objetivo d e la misma, que habr que d escrib lo en el me mor indura de apertura al auditado. Asim ismo lo describe en forma de o estio n ario s genricos, con una orientacin de los controles a revisar. En este caso del auditor interno informtico le servir de ua pora confecciona el programa real de trabajo d e la auditoria. El auditor deber hacer los cuestionarios ms detallados si as lo estima oportuno y definir c u an u s pm tbas estime oportunas Asimismo, si cuando empieza una auditoria el auditor d e te ru va* alternativas a revisar, su deber es seguirla* cambiando el plan de trabajo. Per tanto, el concepto de las metodologas de anlisis d e riesgos de "tiempos medid**" e s m is bien p m consultores profesionales que para auditores interno*, listos, aunque deben planificar

www.FreeLibros.me
CAPfTVlLO y M fc TOPOKXiiAS UBCOSTHOC IXIUtNO. SIGIHIDADY AUDITORIA
mu

tiempos. en principio no deben constituir nunca su factor pn n cijal. dado que mi funcin es la de vigilancia, y sta se cum ple si el auditado se viente vigilado. FJ auditor interno debe crear vuv metodologas necesarias ara auditar los taiinto* aspectos o reas que defna en el plan auditor que veremos en el siguiente puno. Tambin es interesante aclarar que hay herramientas software de ayuda a la wditora de cuentas que aunque se les llame herramientas de auditora, slo lo son pira los auditores de cuentas, y esto n o es auditora informtica sino ayuda a la auditora de cuentas. Es decir, que no es lo mismo ser una informtica de los auditores que ser auditor informtico. La auditora financiera e s un dictam en ta b re fo t atado* de cuentas. Y la auditora informtica e s una auditora en si misma, y si el auditer informtico no certifica la integridad de los datos informticos que usan los auditores financieros, stos no deben usar los sistemas d e informacin para sus dictmenes. Tal es la iaporuncia de la existencia de los auditores informticos, que ton b s garantes d e la veracidad de los informes de los auditores financieros que trabajan con los datos d e los sistemas de informacin. FJ esquema metodolgico del auditor est definido por el plan auditor que vemos a continuacin.

3.4. EL PLAN A UD ITOR INFORM TICO

Es el esquema metodolgico m is importante del auditor informtico. En este documento se debe describir lodo sobre esta funcin y el trabajo que rcali/a en la entxll Debe estar en sintonia con el plan auditor del resto d e las auditores de la entidad. Las partes de un plan auditor informtico deben ser al menos las siguientes: Funciones. Ubicacin de la figura en el organigrama de li empresa. Debe existir una clara segregacin de funciones con la Informiiica y d e control interno informtico, y ste debe ser auditado tambin. Deben describirse las funciones de forma precisa, y la organizacin interna del dipanam ento, con todos sus recunos. Procedim ientos pora las distintas tareas d e las auditoras. Entre ellos estn el procedim iento de apertura, el de entrega y discusin de debilidades. entrega de informe preliminar, cierre de auditora, redaccin de informe final, etc.

www.FreeLibros.me
IA AVPfTORlAINro*MTCA INtNroOlTiHtAcnOO T ipos d r a u d ito ras que realiza. M etodologas y cuestionarios de las mismas. Ejemplo: revisin de la aplicacin d e facturacin, revisin de la LOPD. revisin de seguridad fsica, revisin de control interno, etc. Existen res tipos de auditoras segn su alcance: b Full o completa de una ir e a (por ejemplo: control interno, informtica, lim itada a un aspecto: por ejemplo: un aplicacin, la seguridad lgica, el softw are d e base. etc.), la Corrective Action Revicw (CAR) que e s la contprohacin d e acciones correctivas de auditoras anteriores. Sistem a de evaluacin y los distintos aspectos que evala. Independiente mente de que exista un plan d e acciones en el informe final, debe hacerse el esfuerzo de definir varios aspectos a evaluar como nivel d e gestin econmica, gestin d e recursos humanos, cumplimiento de normas, etc., as como realizar una evaluacin global de resumen pora toda la auditora. En nuestro pas esta evaluacin suele hacerse en tres niveles que son "Bien". "Regular", o "M al", significando la visin de grado, d e gravedad. lista evaluacin final nos servir para definir la fecha d e repeticin d e la misma auditora e n el futuro segn el nivel de exposicin que se le haya dado a este tipo de auditora en cuestin.

CICLO DE AUDITORIAS___________

Figura J. 11. M tW de exposicin para definir la frecuencia d e la auditora Nivel d e exposicin. C o n ejemplo podemos ver la figura 3 .1 1. El nivel de exposicin e s en este caso un nmero del uno al de/ definido subjetivamente y que me permite en base a la evaluacin final d e la ltima auditora realizada sobre ese tema definir la fecha d e la repeticin d e la misma auditora. Este nmero no conviene confundirlo con ninguno de los parmetros utilizados en el anlisis de riesgo que est enfocado a probabilidad de ocurrencia. En este caso el valor del nivel de exposicin significa la suma de factores como impacto, peso del rea, situacin de control en el rea. O sea se puede incluso

www.FreeLibros.me
CaHTIIO V METUOOtOGlAS PCCOWTiM. KIO N O SUGWXM YAl'PtTOfttV 7 rebajar el nivel de un rea auditada porque est muy bien y n o merece la pena revivarla tan a menudo. li s t a de distribucin de informe*. Seguim iento de b u accione c o rre d o ra s . l i a n qu in q u e n al. Todas la reas a auditar deben corresponderse con cuestionarios metodolgico* y deben repartiese en cuatro o cinco aAos de trabajo. Ksta planificacin, adem s de las repeticiones y aadido de las auditoras no programadas que se estimen oportunas, deber componer anualm ente el plan de trabajo anual. l i a n de tra b a jo an u al. Deben estimarse tiem pos de manera racional y componer un calendario que una v e / term inado nos d< un resultado de horas de trabajo previstas y. por tanto, de lo* recu n o s que se necesitarn.

Debemos hacer notar que e s interesante tener una herramienta programada con metodologa abierta que permita confeccionar los cuestin ario* de las distintas auditorias y cubrir fcilmente los hitos y fases de los programas de trabajo una vez definida la metodologa completa. B a o te poede hacer sin dificultad con cualquier herramienta potente de las que existen en la actualidad. Las metodologas de auditoria informtica son del tipo cualitativiVsubjetivo Pedemos decir que son las subjetivas por excelencia. Pir tanto, estn basadas en profesionales de gran nivel d e experiencia y formacin, capaces de dictar recomendaciones tcnicas, operativas y jurdicas, que exigen una gran profesionalidad y formacin continuada Slo asi esta funcin se consolidar en las entidades, e sto es. por el "respeto profesional a los que ejercen la funcin.

3.5.

C O N TR O L INTERNO INFORM TICO. S US M TOD OS Y PROCEDIM IENTOS. LAS HERRAM IENTAS D E C O N TR O L

3.5.1 La funcin de control

Hoy en da la tendencia generalizada e s contemplar, al lado d e la figura del auditor informtico, la de control interno informtico. Tal e s e l cavo de la orgwzacin internacional I.S.A .C.A . (Information System s Audit and Control AMOCiaticn) que con anterioridad se llam The EDP Auditor* Association Inc. Aunque hay una cierta polmica profesional con esta funcin y no cxitfe una aceptacin tan clara com o la funcin de auditora informtica, parece razonable y sin tencin de crear doctrina definirla como existe en general en muchas mutinackrules.

www.FreeLibros.me
ai o i iohia informtica un i j toq iir

okh

La funcin de Control Informtico Independenle debera ser en primer lugtr independiente del departam ento controlado. Ya que "por segregacin de funciones U informtica no debera controlarte a s misma". Partiendo d e la base de un concepto en el que la seguridad de sistemas abarca un campo mucho mayor de lo que es b seguridad lgica, podram os decir que: El rea informtica monta kxs procesos informticos seguros. El Control interno monta los controles. La Auditora Informtica evala el grado d e control.

Por tanto, podram os decir que existen claras diferencias entre las funciones de conirol informtico y las de auditora informtica.

1.a A ud ito ra Inform tica Tiene la funcin de vigilancia y evaluacin mediante dictmenes, y todas sus metodologas van encaminadas a esta funcin. Tiene sus propios objetivos distintos a los auditores de cuentas, aunque nece sarios para que stos puedan utilizar la informacin de sus sistemas pora sus evaluaciones financieras y operativas. Evalan eficiencia, c osto y seguridad ea su ms amplia visin. eslo es todos los riesgos informativos, ya sean 1 clsicos (confidencialidad, integridad y disponibilidad, o los costos y los jurdicos, dado que ya no hay una clara separacin e n la mayora de los casos. O peran segn el plan auditor. Utilizan metodologas de evaluacin del tipo cualitativo con la caracterstica de las pruebas de auditora. Establecen planes quinquenales como ciclos completos. Sistemas de evaluacin d e repeticin de la auditora por nivel d e exposicio del rea auditada y el resultado de la ltima auditora de esta rea. La funcin de soporte informtico de todos los auditores (opcionalmcntc), aunque dejando claro que n o se debe pensar con esto que la auditori informtica consiste en esto solamente.

C ontrol In tern o Inform tico - Tiene funciones propias (administracin de la seguridad lgica, etc.). - Funciones de control dual con otros departamentos. - Funcin normativa y del cumplimiento del marco jurdico.

www.FreeLibros.me
I l w CAPtnni) Mt.TCXXMOC.lAS OCCOMTOOl IVTEKNO. tt-tXKlDAO YAfDCTOKU W - O peran segn proced miemos de control en lo* que se ven involucrados y que luego se desarrollarn. - Al igual que en la auditora y d e forma opcional pueden ser el soporte informtico de control interno no informtico. Podemos pasar ya a proponer las funcione de control interno ms comunes: Definicin de propietarios y perfiles segn "Clasificacin d e 1 Informacin (utilizando metodologa). Administracin delegada en Control Dual (dos personas intevienen en una accin corno medida de control) d e la seguridad lgica. Responsable del desarrollo y actualizacin del Plan de Contingencias. M anuales de procedimientos y Plan de Seguridad. Promover c i a n de Seguridad Informtica al Com it de Segur dad. Dictar Normas de Seguridad Informtica. Definir los Procedim ientos de Control. Control del E ntorno de Desarrollo. Control de Soportes Magnticos segn la Clasificacin de la Informacin. Control de Soportes Fsicos (listados, etc.). Control de Informacin Com prometida o Sensible. Control de M icromformtica y Usuarios. Control de Calidad de Software. Control de Calidad del Servicio Informtico. Control de Costes. Responsable del Departamento (gestin d e recursos humanas y tcnicos). Control de Licencias y Relaciones Contractuales con terceros. Control y Manejo de Claves de cifrado. Relaciones externas con entidades relacionadas con la Segundad de la Informacin. Definicin de Requerim ientos de Seguridad en Proy ectos Nuevos. Vigilancia del Cum plimiento d e las Normas y Controles. Control de Cambios y Versiones. Control de Paso de Aplicaciones a Explotacin. Control de Medidas de Segundad Fsica o corporativa en la Inarmtica. Responsable de D atos Personales (LOPD y Cdigo Penal). O tros controles que te le designen. O tras funciones que se le designen.

Todas estas funciones son un poco ambiciosas para d esan c larla s desde el instante inicial de la implantacin d e esta figura, pero no debemos perder el objetivo de que el control informtico es el componente de la actuacin segura" entre los wuiros, la nfonntica y control interno, todos ellos auditado? por auditora nformtica-

www.FreeLibros.me
70 AUIim Ul>IK IUTIC*:W tW O0ltW (TK O Para o b ren e l entramado de contramcdida* o contrito, compuesto pe la factores que veamos en la figura 3.1. deberemos ir abortando proyecto usafe distintas metodologas, u l como se observa en la figura 3 .1 2 .que irn confomuedoj mejorando el nm ero de controles.

Figura 3.12. Obtencin de tos controle Este plan de proyectos lo llamaremos "Plan de Segundad Informtica". Dos de estos proyectos de vital importancia son la X lasificacin de la Informacin" y los "Procedimientos de Control- . F.l punto B) de la figura corresponde al prim ero y el Cl al segundo, y sus metodologas se ven a continuacin.

3.5.2. Metodologas de clasificacin de la informacin y de obtencin de los procedimientos de control

Clasificacin d r la inform acin N o es frecuente encontrar metodologas d e o t e tipo, pero U metodologa PRIMA tiene do* mdulos que desarrollan estos dos aspecto y que vemes a continuacin. Contemplando la figura 3.12 podran* preguntam os si e s suficiente con un anlisis de riesgos para obtener un plan de contramedidas q te nos llevar a una situacin de control com o se desea, I-a respuesta e s no. dado qe todas las entidades de informacin u proteger no tienen el mismo grado de importancia, y cl anlisis de riesgos metodolgicamente n o permite aplicar una difercnciacrfn de contramedidas segn e l activo o recurvo que protege, sino por la probabilidad del riesgo analizado.

www.FreeLibros.me
CaHTU-O MhTOOOUXiKS t fONTItOt IXTIVO. St-CIHIPAP Y AlfHTrWlA TI Tiene que ver otro concepto, como el que se baraja en la cb silicaci n de la informacin Esto e s "SI IDENTIFICAMOS DISTINTOS NIVELES DE CON!R AMKDIDAS PARA DISTINTAS ENTIDADES DE INFORMACIN CON DISTINTO NIVEL DF. CRIT1CIDAD. ESTAREMOS OPTIMIZANDO LA EFICIENCIA DE LA S CONTRA MEDIDAS Y REDUCIENDO LOS C O STO S DE LAS MISMAS". Por ejemplo, si en vez de cifrar la red d e comunicaciones por igual tomo* capaces de diferenciar por qu linea* va U informacin que clasificam os com o Restringida a lo propietario* de la misma. podremos cifrar solamente estas lneas pora protegerla un necesidad d e hacerlo para todas, y de esa manera dism inuiremos el costo de b ccotramcdida "cifrado". Tradicionalmcnte el concepto de informacin clasificada se aplic a lo documentos de papel, aunque los criterios y jerarquas nunca han sido m is de dos ttecwto 'f aV C o r la tecnologa de U informacin, el concepto ha cambiado, e incluso se ha perdido el control en entornos sensibles. Nace pues el concepto de ENTIDAD DE INFORMACIN como el objetivo a proteger en el entorno informtico. y que la clasificacin de b informacin nos ayudar a proteger especializando las contramedidas segn el nivel de confidencialidad o importancia que tengan Esta metodologa es del tipo cualitativo/subjetivo, y como el resto de la metodologa PRIM A tiene listas de ayuda con el concepto abierto, esto es. que el profesional puede afYadir en b herramienta niveles o jerarquas, colindares y objetivos a cumplir por nivel, y ayudas de contramedidas. Ejemplos de Entidades de Informacin son: una pantalla, un listado, un arefuvo de datos, un archivo en un "strcamer". una microficha d e saldos, los sueldos de los directivo*, los datos de tipo "salud" en un archivo de personal, una transacin. un JO .. un editor, etc. O sea los factores a considerar son los requerimientos legislativos, la sensibilidad a la divulgacin (confidencialidad). a la modificacin (integridad), y a b destruccin. Las jerarquas suelen ser cuatro, y segn se trate d e ptica de preservacin o de proteccin, los cuatro grupos seran: Vital-Crtica-Valuada-No sensible o bien Altamente conlidencial-Confidcncial-Rcstringida-No sensible. PRIMA, aunque permite definida a voluntad, bsicamente define: * Estratgica (informacin muy restringida, muy confidencial, vital para la subsistencia de la empresa). Restringida (a los propietarios d e la informacin).

www.FreeLibros.me
De uvo interno (a todo* los empicados). De uso general (sin restriccin.

Los pasos de la metodologa to a los siguientes: 1. IDENTIFICACIN DF. I.A INFORMACIN. 2. INVENTARIO DE ENTIDADES DE INFORMACIN RESIDENTES Y OPERATIVAS. Inventario d e programas, archivos de datos, estructura de datos. topones de informacin, etc. 3. IDENTIFICACIN DE PROPIETARIOS. trabajo. usan o custodian la informacin. Son k que necesitan para w

4. DEFINICIN DE JERARQUAS DE INFORMACIN. Suelen ver cuatm porque e s difcil distinguir entre m is niveles. 5. DEFINICIN DF. LA M ATRIZ DE CLASIFICACIN. Fisto consitte definir las polticas, cstindares objetivos de control y contra medidas por upo y jerarquas de informacin. 6 CONFECCIN DE LA M ATRIZ DF. CLASIFICACIN. En la figura 3.IJ te observa un ejemplo de m atnz de clasificacin e n la que se relaciona cali entidad de informacin con ta i elementos que se correlacionan, como w i transaccin, archivos, soportes, propietarios, y jerarqua. En esta fase * cumplimenta toda la matriz, asignindole a cada entidad un nivel de jerarqc lo que la asocia a una serie de hitos a cumplir segn el punto anterior, pan cuyo cumplimiento deberemos desarrollar acciones concretas en el pumo siguiente. 7. REALIZACIN DEL PLAN DE ACCIONES. Se confecciona el pa detallado de acciones. Por ejemplo, se reforma una aplicacin de nmina para que un empleado utilice el programa d e subidas de salario y su supcrviwr lo apruebe. 8. IMPLANTACIN Y MANTENIMIENTO. Se implanta el plan de acciones j se mantiene actualizado. Y as se completa esta metodologa.

www.FreeLibros.me
mw CAWIVL03 METIXXXOOKNWO>NTRtX-IVN<) SfcGCIDAPY AUPfTOHU-.

Obtencin de los procedim ientos de co n tro l Otra metodologa necesaria p o n la obtencin de kw controle* expresados en la figura 3.1, es "la Obtencin Je los Procedim ientos de Control". Es frecuente eaconirar manuales de procedimientos en todas las reas d e la empresa que explican Ib funciones y cmo se realizan las distintas tareas diariamente, siendo stos aeceunos para que los auditores realicen sus revisiones operativas, evaluando si los procedimientos son correctos y estn aprobados y sobre todo (i se cumplen Pero podramos preguntamos si desde el punto de v isu de control informtico es suficiente y cmo se podran mejorar. La respuesta nos la da la metodologa que se expone a continuacin, que nos dar otro plan de acciones que tal com o trata de expresar la figura 3.12. contribuir wmJedose a los distintos proyectos d e un plan d e seguridad para mejorar el cainmado de contramedidas.

Metodologa

Fase /. Definicin J e Objetivos de Control. Se compone de tres larcas Tarta I. A nlisis de la empresa. funciones. Se estudian los procesos, organigramas y

www.FreeLibros.me
7 1 iM'IXTOKlA INKttMATK'A I N I,\H1QII. HtCfKX) Tarea 2. Recopilacin de exlindares. Se estudian tixlas las fuentes de informacin necesarias para conseguir definir en la siguiente fase ka o b j iv de control a cum plir (por ejemplo. ISO. ITSEC. CISA. etc.). Tarea.3. Definicin de los Objetivos d e Control. Fase II. Definicin de los Controles. Tarea I. Definicin de los Controles. Con los objetivos de control definido, analizamos los procesos y vamos definiendo los distintos controle qoe se necesiten. Tarca 2. Definicin de Necesidades Tecnolgicas hardware y herramientas de control). Tarca 3. Definicin de los Procedim ientos de Control. Se desarrollan ku distintos procedim ientos que se generan en las reas usuaria, informtica, control informtico y control n o informtico. Tarca 4. Definicin d e las necesidades d e recursos humanos. Fase III. Implantacin de lo s controles. Una vez definidos los controles, las herramientas d e control y los recurra humanos necesarios, no resta m is que implantarlos e n form a de acciones especficas. Terminado el proceso de implantacin de acciones habr que documentar kn procedim ientos nuevos y revisar los afectados de cambio. Los procedimiento resultantes sern: - Procedim ientos propios de control de la actividad informtica (control interra informtico). - Procedim ientos de distintas reas usuarias d e la informtica, mejorados. - Procedim ientos de reas informticas, mejorados. - Procedim ientos de control dual entre control interno informtica y el rea informtica, los usuarios informticos, y el rea de control no informtico.

www.FreeLibros.me
a m u u i i Mnotxmxitvs i>i ( osinfK isim vo su.i muso y m'ditiihIa n

3.5.3. Las herramientas de control

Ya hemos hablado de (oda* las capas de la figura 3.1. excepto d:l ltimo subs(rato de U pirm ide, esto es. las herramientas d e control. En la tecnologa d e la seguri dad informtica que se ve envuelta en los controles, existe tecnologa hardware (como los cifradores) y software. Las herramientas d e control son elemento* software que por sus caractersticas funcionales permiten vertebrar un control de una manera ms actual y ms automatizada. Pero no olvdenlos que la herram ienta en < misma no es tuda. Ya hemos visto en el punto anterior que el control se define en todo un proceso metodolgico, y en un punto del mismo se analiza si existe una herramienta que automatice o mejore el control para ms tarde definir todo el control con la herramienta incluida, y al final documentar los procedim ientos de las distintas reas involucradas para que stas: los cumplan y sean auditados. O sea. comprar una herramienta sin ms y ver qu podemos hacer con ella es. un error profesional grave, que no conduce a nada, comparable a trabajar sin mtodo c improvisando en cualquier disciplina informtica. Las herramientas de control (software) ms comunes son: Seguridad lgica del sistema. Seguridad lgica complem entaria al sistema (desarrollado a metida). Seguridad lgica para entornos distribuidos. Control de acceso fsico. Control de presencia. Control de copias. Gestin de sopones magnticos. Gestin y control d e impresin y envo de listados por red. Control d e proyectos. Control de versiones. Control y gestin de incidencias. Control de cambios. Etc.

Todas estas herramientas estn inmersas en controles nacidos de unos objetivos de luviliul y que icyuU iii la sluotin J e la distinta reo* nvclucrada. Pbr ejemplo, si el objetivo de control es "separacin de entornos cntte desarrollo y produccin", habr un procedimiento en desarrollo de paso de aplicaciones a explotacin" y otro en explotacin de paso a explotacin de plicacionc* de desarrollo". Soportado todo por una herramienta de control de acceso lgico que en un proceso de clasificacin ha definido distintos perfiles e n desarrollo > explotacin, y tras implantarlo en la herramienta, im pide acceder a uno y a otros al e n o ro o que no es el suyo. Por tanto, para pasar una aplicacin de uno a otro cuando est terminada, se aecesita un procedimiento en el que intervengan las d o s reas y un control informtico que acula de llave. Esto que parece dificultoso, no lo es en la prciica.

www.FreeLibros.me
AttXtO&lA IMOHVIATICA. tN bXKXXJE PRACTICO Slo a modo de ejemplo pongamos k tt objetivos de control en el acceso lgico il igual que deberam os ir haciendo en cada una d e las herramientas d e control anta enumeradas.

O b je t o s de control de acceso lgico Segregacin de funciones entre los usuarios del sistema: productores de software, jefes de proyecto (si existe un proceso metodolgico asi), tcnico* de sistemas, operadores de explotacin, operadores de telecomunicaciones, gm pos de usuarios de aplicaciones (con perfiles definidos por la Clasificadla de la informacin), administrador de la seguridad lgica (en control dual al sa de alto riesgo), auditora, y tantos como se designen. Integridad de los "log" c imposibilidad de desactivarlos por ningn perfil pun poder revisarlos. Fcilmente legibles c interpretables por control informtico. Gestin centralizada de la seguridad o al menos nica (por control infor mtico).

Contrasefta tnica (a ser posible) para los distintos Sistemas de la red. Y b autentificacin de entrad* una sola vez. Y una vez dentro, controlar lo derechos de uso. lu contrasea y archivos con perfiles y derechos inaccesibles a todos, incluso a los administradores de seguridad El sistema debe rechazar a los usuarios que no usan la clave o los derechos de uso correctamente, inhabilitando y avisando a control, que tomara las medidas oportunas. Separacin de entornos. Significa que los distintos usuarios pueden hacer solamente lo qu y cmo se ha autorizado que hagan para su funcin. Habr tantos entornos como se precisen y el control tendr que estar en situacio normal como en emergencia y no entorpecer la operatoria. El log. o los log'*, de actividad no podrn desactivarse a voluntad, y si se dud de su integridad o carencia, resolver con un terminal externo controlado. El sistema debe obligar al usuario a cambiar la con ir aserta, de forma que slo la conozca l. que es la nica garanta de autenticidad de sus actos.

www.FreeLibros.me
CAPtTULO y MtTOOOUWM DECOSTKOCI

upricmU

r>

Es frecuente encontrar mecanismos d e o u to logout. que expulsan del Mema a la term inal que permanece inactiva ms de un tiem po determinado, que son ayudas adicionales a la segundad.

Muchos de estos objetivos se pueden sacar de los propios estndares (ISO. Libro Naranja. ITSEC. etc.). Este ejemplo nos puede servir para introducir otra metodologa del compendio PRIMA, utilizada p a n la implantacin del control sobre los "Entornos distribuidos'', verdadero reto de nuestros das. Todo estaba controlado en los grandes sistemas en su nivel C2/E2 (no es mucho, pero suficiente para el nivel comercial, segn los fabricantes). Y llega la proliferacin de los entornos distribuidos... el caos. Est controlada la seguridad lgica en la actualidad? Cada responsable de seguridad debe planterselo! Se cum ple el marco jurdico sin seguridad lgica? Se podra implantar el control de acceso lgico, sistema a sistema con los propios software de seguridad de cada uno de ellos, con un enorme esfuerzo de recursos humano* y complicada operativa. Podemos resolver mejor el problema adquiriendo c instalando un softw are de control d e entornos distribuidos. Pero qu hacer... cmo ibordar el problem a? Ver mucho* productos y escoger uno? Ser lo mejor para el fatsro? Cmo k> estn haciendo los dems? La forma m is apropiada de resolver este problema, hasta donde se pueda, es utilizar un mtodo prctico que paso a desarrollar. ANLISIS DE PL A T A FO R M A S. Se trata de inventariar las mltiples plataformas actuales y futuras (M V S. UNIX. A IX3.2.5.. TANDEN GUARDIAN D30. etc. que m is tarde nos servirn para saber qu productos del mercado nos pueden ser vibdo*. tanto los productos actuales como los futuros planes que tengan los fabricantes. C A T LOG O DK R E Q U E R IM IE N T O S PR E V IO S DF. IM PLA N TA C I N . Desde el primer momento nace esta herramienta (control del proyecto), que inventara lo que no se va a conseguir (limitaciones), as com o lo necesario para la implantacin, inventariado como acciones y proyecto*, calendarizados. y su duracin para su seguimiento y desarrollo. A NLISIS D E A PL IC A C IO N E S . Se traa de inventariar las necesidades de desarrollar INTERFACES con los distintos software d e seguridad de las aplicaciones y base* de dalos. Estos desarrollo* deberan entrar en el catlogo de R.P.I. como proyectos a desarrollar. Por ejemplo: DB2. O racle 7.1.6. SAP R/3.2.2, Clicckpoint

www.FreeLibros.me
Firew all-I. OFFICE 2.6. o la propia d e Recursos Humanos, ele. Es importante b conexin a Recursos Humanos para que se delecten automticamente la* afteraciooM en los empleados (alias, bajas, cambios). Tambin en este pumo conviene ver si d productiVmscrfaces sopona el tiem po real, o el proceso batch. o su* posibilidades de registros de actividad. IN V E N T A R IO D E FU N CIO N A LID A D ES Y P R O PIE T A R IO S . En este punto trataremos todo cl esquema d e funcionalidades de la seguridad lgica actual. Es el momento de crear unas jerarquas d e estndares a cumplir (clasificacin de U informacin) y tratar d e definir en ese momento los controles que se deberan tener, ya sea de usuario* de las aplicaciones com o d e los usuarios d e los uitem a* y el uso de Us herramientas. Este punto es importante para ver xi con cl nuevo esquema de control al q<x vamos perdemos objetivos de control o nos salen acciones nuevas para cl catlogo de R .P .I.S . Es importante inventariar tambin en este punto la situacin de la adm inistradla de la seguridad lgica en los distintos entornos y las caractersticas d e las contrasellan, i como la operativa tanto de los usuarios de los distintos sistemas como de las distintas administraciones de seguridad y cl control de log o reporting. T odo este inventario nos servir para haccr un anlisis de mejora* y prdidas o lim itaciones en los nuevos escenarios con lo* software d e control de los entornos distribuido*, segn convenga para elegir el mejor en costo/beneficio. A D M IN IST R A C I N D E LA SE G U R ID A D . Se analizarn, d e las distintas opciones del mercado, la* caractersticas de cada producto.

Figura 3. 4. Herramientas d e control d e los entornos distribuidos

www.FreeLibros.me
CAPtrn.o y m ktoooiogIas d e covtku. ly rm so . sFjGtmiDADv a I tx to k u r No olvidemos que se tra u d e conseguir que el escenario de los entornos dsaibutdos se pueda controlar como si d e un computador con un s>lo control de acceso (vase la figura 3.14) *e tratara. E incluso mejorando el nivel ce control si se puede. Esto har necesario un conjunto d e softw are a instalar en cala plataforma, mudo a una serie de interfaces en las plataformas que lo necesiten y que a los rtelos nos har observar la seguridad lgica total como un todo. En este punto nos interesa ver las siguientes funcionalidad i objetivos de centro! requeridos al nuevo sistema de control de acceso: - Permite el producto establecer un conjunto de reglas de control aplicables a todos los recursos del sistema? - Permite el producto al administrador de seguridad establecer un perfil de privilegios de acceso piara un usuario o un grupo d e usuarios? - Permite el producto al administrador de seguridad asignar diferentes administradores? - Permite el producto al administrador de seguridad asignar a estos administradores la posibilidad de gestionar privilegios de acceso para grupos y recursos definidos (por ejemplo, sistemas y aplicaciones)? - Permite a un administrador pedir acceso para el mismo, tanto como para cualquier usuario de su rea de responsabilidad? - Impide el producto que un administrador se provea l mismo de sus propias peticiones? Hay que recapitular todos los objetivos d e control que se estn Jemandando al conjunto de entornos, en lo referente a la administracin d e la seguridid. y saber con precisin cul de las soluciones a analizar cumple mejor los requerimientos. Es importante pensar en la conexin automtica con la informacin del estado de los recursos humanos que componen el conjunto de usuarios >ara formatear ^compatibilidades por segregacin de funciones marcadas por la clarificacin de la informacin y por tener actualizadas las bajas/altas y perodos d e ausencia del parque de usuarios. Son muchos otros los aspectos que deben exigirse, como son que se pueda soportar ms de un perfil en un usuario, o que se puedan definir perfiles d e todo un ackup d e cada departamento o puesto de trabajo, asignaciones temporales de los A empleado para perodos de ausencia del titular, que el perfil d e un ingeniero no pueda acceder a una aplicacin crtica, que se sincronicen passv-nrd en todos los entornos, etc. En resumen, tantos cuantos objetivos de control se le exijan. SIN G LE SIG N O N . Este concepto podemos definirlo como: "Cue e s necesario solamente un past*x>rtl y un User ID. para un usuario, para acctder y usar su

www.FreeLibros.me
10 AUDITORIA IMOKMAUCA UNfcSHOqUE PRACTICO____________________________ c u informacin y mis recursos, de lodos los sistemas com o si <Jc un solo enlomo k iraiara". Evidentemente a este concepto habra que aadir todos los conceptos w vinos en un control de acceso lgico (time-oul. salvapanialU t. log. d e .). Adems podramos enumerar algunos de Ion requerimientos que se le pMkn a a plataforma dentro de este apartado: Sobre qu sopona el producto el single Mg-on. W indows 3.1. W indows NT. W indows 2000. Unix workstalion. terminal 3270. un usuario reino<o entranfe a travs de un servidor de acceso remoto? El producto faculta al usuario de un recurso a acceder va single sif-ct mientras otros usuarios acceden al mismo recurso directamente? El producto cncripta las transacciones del single sig-on entre la ti-or/utatitoj el servidor de seguridad?

FA C IL ID A D D E USO Y R E P O R T IN G . En este punto se valora la "interfaz* usuario" y la calidad de la misma (si tiene interfaz, grfica, si tiene help mcniis. u m para el usuario como para el administrador, si tiene mensajes de error, si easeA d perfil de un determinado usuario al administrador, mensajes en las modificackna com o are you sure?~, mensajes a travs de las aplicaciones, etc.). A sim ismo se evala el nivel d e reponing para k administradores y auditara As como: El producto ofrece un repon de todas las plataformas y aplicaciones a la* qu los usuarios tienen acceso, as como un repon de todos los usuarios que tiene acceso a una plataforma o aplicacin? U n repon de todas las demandas que un administrador ha hecho, o en ua focha diada, o durante un perodo d e tiempo, o a un centro de costo, o de toda las inactividades, o de todos los usuarios activos y privilegios de acceso de u centro de costo, o d e demandas pendientes en orden d e antigedad de U demanda, o un repon d e actividad, de las aplicaciones y sistemas (pa ejemplo, el nmero de demandas aceptadas, pendientes y rechazadas por cadi sisM ni)? Un log de violaciones?

En cualquier caso todo registro debe tener garantizada su integridad incluso p>n los administradores, no pudiendo desactivarse a voluntad, dado que quien quiera haca algo no permitido", lo primero que har es asegurarse de que no quede constancia dd hecho. SEG U R ID A D E S . En este punto se trata d e ver aspectos de seguridad clsico del propio producto, como que el administrador no vea las passM-ord de los usuariok una longitud de p a ss* v rd mnima, que el producto requiera un ID y p a ssn vrd de

www.FreeLibros.me
I1.M. CAPtn'LO V METOOOtX)GlA.S Of. CONUtOL IXTUtXO. StCt'RtDAD Y AClXTOXlA-. 1 tag jo d mnima para d acceso ni propio producto, el administrador pueda paralizar a en uwurio determinado, dual control en I* funciones de riesgo (esto es. con un user una second passw ord com o acceso dual de dos ID es necesario una f i n t pasiv-ord > adninistradores fsicos), cifrado de p a u w o rd . privacidad en la propagacin de fcu n ord en todo momento, acceso a lo* auditores para poder ver la ID databa.se. un registro de rechazos e intentos infructuosos, la posibilidad d e recovery y backup incrementa]) de todo el sistem a d e segundad, la posibilidad del mirroring de la dMibase de seguridad para los plae* de contingencias de conmutacin en tiempo cero ai centro alternativo, etc. Tambin facilidades especiales tales com o que % c pueda restringir el acceso a un curso local a un usuario. Hemos de hacer notar que las limitaciones que vayamos encontrando para lodo* tos producto*, tendremos que resolverlas con exclusiones o procedim ientos que estarn en el catlogo de R .P .I.'s, verdadero artfice d e la metodologa que nos eNigar a resolver la* acciones antes de implantar el producto, y que ser un control del proyecto durante su desarrollo. A D QU ISICI N, IN ST A LA C I N E IM PL A N T A C I N . FO R M A C I N . MANUALES DE PR O C E D IM IE N T O S D E C O N T R O L . T ras los pasos anteriores. D O queda ms que comprar el producto e instalarlo, as c o n implantar el nuevo esquema de seguridad lgica. Y tras eslo. dar la form acin apropiada a los implicados jr desarrollar los procedim ientos d e control, que generarn procedimientos operativos p n Ion usuarios de aplicaciones, los usuarios informativos, y lo* administradores de seguridad lgica. Todo este com plejo proceso e s vital hacerlo de modo ordenado y usando un mtodo que permita en lodo momento saber qu se quiere y qu se "puede conseguir con los producto* existentes de control de enlomo*, tratando de suplir con procedimientos de control los huecos que no podamos cubrir con tecnologa. Aun as. el reto que tenemos por delante e s importante, porque las soluciones que ofrecen los (abocantes van muy detrs frente a la proliferacin de entornos y aplicaciones nuevos. y M o una uclitud rcr.poivuible do cMandxriziurin r n u n solucione* propietarias de segaidad. har que lo* fabricantes d e soluciones para entornos distribuido* tengan producios de seguridad cada vez mejores, y que en vez de "adaptar el nivel de seguridad lgica a los productos, sean los productos los que resuelvan las situaciones suevas de seguridad lgica .

www.FreeLibros.me
C AUDITORA INFORMATICA tN liMOqt'fc PRACTICO

3.6. CONCLUSION ES
Son mucha* pues la metodologas que se pueden encontrar en el mundo de li auditora informtica y control interno. Muchas hemos visto en este captulo. Pao como resumen se podra decir que la metodologa es el fruto del nivel profesional * cada uno y de su visin de cmo conseguir un mejor resultado en el nivel de co ic de cada entidad, aunque el nivel de control resultante debe ser similar. Pero en realidad todas ellas son herramientas de trabajo mejores o peores q x ayudan a conseguir mejores resultados. Slo resta anim ar a los profesionales que lea este libro a trabajar con las nicas herramientas verdaderas de la auditora y el coced "LA ACTITUD y LA APTITUD", con una actitud vigilante y una formaci continuada.

3.7.

EJEM PLO DE M ETO D O LO G A DE AUDITORA DE UNA APLICACIN

Metodologa de trabajo
Revisin de controles so b re aplicaciones

Objetivo Determinar que los sistemas producen informaciones exactas y completas ea d momento oportuno. Esta rea es tal se* la ms importante e n el trabajo de auditora informativas.

Programa de la revisin 1. Identificar el rea a revisar (por ejemplo, a partir del calendario de revisiones notificar al responsable del rea y prepararse utilizando papeles d e traba/ de auditoras anteriores. 2. Identificar las informaciones necesarias para la auditora y para las pruebas. 3. Obtener informaciones generales sobre el sistema. En esta etapa, se defina los objetivos y el alcance de la auditora, y se identifican los uuurios especficos que estaran afectados por la auditora (plan de entrevistas).

www.FreeLibros.me
CArtTtl-O y MhTOOOI.OGlAS D F.C V XST RQ1 lNT1J(NO. SfltitmftAD V M.CHTOfclA. 8) 4. Obtener un conocimiento detallado de la aplicacin/sistema. Se p isan las entrevistas con los usuarios y el personal im plicado en el sistema a revisar, se examina la documentacin de usuarios, de desarrollo y de operacin, y se identifican los aspectos m is importantes del sistema (entrada, tratamiento, o lida de datos, etc.), la periodicidad d e procesos, las prognm as fuentes, caractersticas y estructuras d e archivos de datos, as como pistas de auditoria. J. Identificar los puntos de control crticos en el sistema. Utilizando organigramas de (lujos de informaciones, identificar los puntos de control crticos en entrevistas con los usuarios con el apoyo de la documentacin sobre el sistema. El auditor tiene que identificar los peligros y los riesgos que podran surgir en cada punto. Los puntos d e control crticos son aquellos donde el riesgo e s ms grave, e s decir, donde la necesidad d e un control es m is importante. A menudo, son necesarios controles en los p u o s de interfaz entre procedim ientos manuales y automticos. 6. Diseo y elaboracin de los procedimientos de la auditora. 7. Ejecucin de pruebas en los puntos crticos de control. Se polra incluir la determinacin de las necesidades de herram ientas informativas de ayuda a la auditora no informtica. Se revisa el cumplimiento de los procedimientos para verificar el cumplimiento de los estndares y los procedimientos formales, as com o los procesos descritos por los organigramas Je flujos. As se verifican los controles internos del cumplimiento de a) plavcs. polticas, procedimientos, estndares, b) del trabajo de la organizacii. c ) requeri mientos legales, d) principios generales de contabilidad y e) prcticas generales de informtica. Se hacen revisiones substantivas y pruebas, com o resultado de a revisin del cumplimiento de procedimientos. Si las conclusiones d e li revisin de cumplimentacin fuesen generalmente positivas, se podran lim itar las revisiones substantivas. Dentro de este punto del programa Je la revisin podramos analizar si existen los siguientes controles:

Cmiroles de preparacin de datos Revisar procedimientos escritos para iniciar, autorizar, recoger, preparar y iprobir los datos de entrada en la forma de un manual d e usuario. Verificar que los unanos entienden y siguen estos procedim ientos. Revisar que se d la formacin del "uso del term inal" necesaria a kx usuarios. Revisar los documentos fuente u otros documentos p ira determinar si son Tambin revisar cdigos de identificacin de transare ones y otros

www.FreeLibros.me
M AUOITOttUlNHMtMATK^tNKKWqtieWtCTICO campos de uso frecuentes para determinar si son codificados previamente p a minimizar errores en los procesos d e preparacin, entrada y conversin d e datos. Cuando sea necesario, verificar que todos los datos de entrada en un visten pasan por validacin y registro ante de su tratamiento. Determinar si lo* usuarios preparan totales de control de los datos d e entrada pa terminales. Comprobar la existencia de una reconciliacin de los totales de entnA con totales de salida. Com probar la existencia y seguimiento de calendarios d e entrada d e datos y distribucin de informes (listados). Determinar si el archivo y retencin de documentos fuente y otros formularios dt entrada es lgica y accesible, y cum ple las normas y requerimientos legales. Revisar los procedimientos de correccin de errores. Comprobar la existencia de perodos de retencin para documentos fuente j sopones magnticos.

Controles J e entrada d e datos Establecer los procedimientos de entrada y control de datos que explican la revisiones necesarias de entradas y salidas, con fecha lmite, criterios de validacin datos de entrada: cdigos, mensajes y deteccin d e errores; la correccin de errores) la reentrada de datos. Para sistemas interactivos, verificar el uso de mtodos preventivos para evitar h entrada incorrecta de datos funciones de ayuda a la pantalla, formatos fijos, el uso de meniis y mensajes para el operador. Para sistemas interactivos, determinar la grabacin de datos de entrada con fedi y hora actual, a s com o con una identificacin del usuario/terminal y ubicacin. Revisar logs de acceso por lneas de telecomunicaciones pora determior posibles accesos y entradas no autorizados. Revisar los programas para determinar si contienen procesos internos dr validacin de dalos (por ejemplo, chequeos de dgitos, test razonables, totales 4c batch. nmero de cuentas, etc.). Evaluar su exactitud.

www.FreeLibros.me
C A rtn to ,v M noootoclA S de co.vtk<x. Lvim so. sio i'w o a u v a lu x to ria % > Comparar, validar, apuntar y rccatcular cam pos o elementos de d ito s crtico* por nttodos manuales o automticos. Para sistemas interactivos determinar que los dalos se verifican en el momento de w entrada en el sistema. Comprobar que los usuarios revisan regularmente lis tablas internas del sistema pa validar sus contenidos. Revisar funciones matemticas que redondean clculos para ser si tienen aplicaciones negativas. Determinar que existen pistas de auditora adecuadas en el diccionario de datos. Unwjfkar la interTclacin entre los programas y los datos para dejar la posibilidad de Kguir la pioa de datos dentro de programas y sistemas en los errores. Revivar los procedimientos de correccin de errores. Identificar con los usuarios cualquier cdigo de errores crticos que deberan parecer en momentos especficos pero que nunca surgen. Se han desactivado los cdigos o mensajes de error?

Centrles de tratamiento y actualizacin de dalos Ver si hay establecidos controles internos automatizados de proceso. Ules como ratinas de validacin, en el momento de la actualizacin de lo* archivos de transaccin, referencia y maestros. Identificacin de transacciones por el uso d e nmeros de botch, cdigos de transaccin y oros indicadores. Revisin del log de transacciones para identificar problem as encontrado* por el operador y las medidas seguida*. Restriccin de la posibilidad de pasar por encim a de procesos de validacin. Aceptacin por los usuarios finales d e todas las transacciones y clculo* de la aplicacin. Revisar los totales de control de entrada de dato*.

www.FreeLibros.me
W> AUXTOlA INFORMTICA l'N f.NtOQl'E PRACTICO__________________________ Cl\ Verificar que exiu en to ta l d e control para confirmar la buena interfaz entre jeto O programas. Com probar que existen v alid aci n entre totales d e control, m a nual j automtico, e n punios de ta interfaz entre procesos manuales y automatizados. Verificar que lo* lo g 's de actividad de sistemas son revisados por la responsables, para investigar accesos y manipulaciones n o autorizados. Ver los controles sobre la entrada de datos.

Controles de salida de datoi Determinar si los usuarios comparan te*ales de control de los datos de entrada cco totales de control de dalos d e salida. Determinar si el control de datos revisa los informes de salida (lisiados) pwi delectar errores evidentes tales com o campos de datos que fallan, valores se razonables o formatos incorrectos. Verificar que se hace una identificacin adecuada sobre los informes, pee ejemplo, nombre y nmero de informe, fecha de salida, nombre d e rea/departamento, etc. Com parar la lista de distribucin de informes con tos usuarios que los reciben et realidad. Hay personas que reciben el informe y que no deberan recibirlo? Verificar que los informes que pasan d e aplicabilidad se destruyen, y que no pasan sim plemente a la basura, sin seguridad de destruccin. Revisar la justificacin de informes, que existe una peticin escrita para cada un y que se utilizan realmente, asf como que est autorizada la peticin. Verificar la existencia de periodos de retencin de informes y su suficiencia. Revisar los procedim ientos de correccin de los dalos de salida.

Controles de documentacin Verificar que dentro de las actividades de desarrollo y mantenimiento de aplicaciones se produce la documentacin de sistemas, programas, operaciones y funciones, y procedim ientos d e usuario.

www.FreeLibros.me
CAHniLO i METODOljOGlAS DE COVTHOL IVTTJtM)- StXVtKIPADY Al'DfTOBlA 7 Existencia de una persona especfica encargada d e la documentacin y que mantiene un archivo de documento* ya distribuidos y a quines. Comprobar que los jefes de rea se informen de fallas de documentacin adecuada para sus empleados. Destruccin de toda la documentacin de antiguos sistemas. Que no se acepten nuevas aplicaciones por los usuarios sin una documentacin completa. Actualizacin de la documentacin al mismo tiempo que los cam bios y modificaciones en los sistemas. La existencia de documentacin de sistemas, d e programas, d e operacin y de osario para cada aplicacin ya implantada. Controles de baekup y rearranque Existencia de procedimientos de baekup y rearranque documentados y ceoprohados para cada aplicacin en uso actualmente. (N o confundir con el plan de aaungenctav) Procedimientos escritos para la transferencia de materiales y documentos de bctup entre el C.P.D . principal y el sitio d e baekup (centro alternativo). Mantenimiento de un inventario de estos materiales. Existencia de un plan de contingencia. Identificacin de aplicaciones y archivos d e datos critico para el plan de coangencia. Revisar los contratos del plan de contingencia y baekup pora determinar mi adecoactn y actualizacin. Pruebas de aplicaciones crticas en el entorno d e baekup. con los materiales del pUn de contingencia (soportes magnticos, documentacin, personal, etc.). Exterminacin de qu se revisa, si cada aplicacin d e un sistema es crtica y si debera incluirse en el plan de contingencia.

www.FreeLibros.me
M AUPfTORiA INFORMATICA un bxtoqw . PRACTICO Grabacin de todas las transacciones ejecutadas por tcicproceso. cada da; pan facilitar la reconstruccin de archivos actualizados durante el da en caso del fallo dd sistema.

Existencia de procesos manuales pora sistemas crticos en el caso del fallo decontingencia. Actualizacin del plan de contingencia cuando e s necesario: pruebas anuales.

Controles sobre program as d e auditoria Distribucin de polticas y procedim ientos escritos a auditores y responsable! de reas sobre la adquisicin, desarrollo y uso de softw are de auditoria. Uso de softw are de auditora nicamente por personas autorizadas. Participacin del auditor en la adquisicin, modificacin/adaptacin, instalaos de paquetes de software de auditora. Participacin del auditor en la planificacin, diseo, desarrollo e implantackb de software de auditora desarrollado internamente. Formacin apropiada para los auditores que manejan software de auditora.

Participacin del auditor en todas las modificaciones y adaptaciones del tofraat de auditora, ya sea externo o de desarrollo propio. Actualizacin de k documentacin d e software. Verificacin de que lo s programas de utilidad se utilizan correctamente (cusid no se puede utilizar el softw are de auditora). Revisin de tablas de contraseas pora aurgurar que identificaciones y contraseas d e personas que han causado baja. no se guinia

Controles de la satisfaccin de los usuarios Disponibilidad de polticas y procedimientos sobre el acceso y uso de k informacin. Resultados fiables, completos, puntuales y exactos de las aplicaciones (imcgnAd ddalos).

www.FreeLibros.me
m i CAPtntO: .NOmXX)MXUSOf.C<y>TtOI. INTERNO. SEGURIDADY AUtMIOKU W Utilidad de la informacin de salida de la aplicacin en la loma de decisin por los Marios. Comprensin por los usuarios de los informes e informaciones de salida de las aplicaciones. Satisfaccin de los usuarios con la informacin que produce la aplicacin. Revisin de los controles de recepcin, archivo, proteccin y acceso de datos guardados sobre lodo tipo de soporte. Participacin activa de los usuarios en la elaboracin d e requerimientos de sanos, especificaciones de diserto de programas y revisin de resultados de pruebas. Controles por el usuario en la transferencia d e informaciones por intercambio de documento. Resolucin fcil de problemas, errores, irregularidades y omisiones por buenos contactos entre usuarios y el personal del C.P.D. Revisiones regulares de procesos que podran mejorarte por automatizacin de aspectos particulares o reforramientos de procesos manuales Evaluacin de la revisin y/o resultados d e pruebas. En esta etapa se identifican y se evalan los puntos fuertes y dbiles de los procedim ientos y prcticas de control interno en relacin con su adecuacin, eficiencia y efectividad. Cuando se identifique uta debilidad, se determinar su causa. Se elaboran las conclusiones basadas sobre la evidencia; lo que deber ser wftciente. relevante, fiable, disponible, comprobable y til. Preparacin del informe. Recomendaciones.

U fm e previo Para mantener una relacin buena con el rea revisada, se emite un informe previo de los puntos principales de la revisin. Esto da a los responsables del rea revisada la posibilidad de contribuir a la elaboracin del informe final y permitir una ttejor aceptacin por parte de ellos.

www.FreeLibros.me
I AUDITORA INFORMATICA: t'N EXTOQCh *.'llCO Informe fin a l de la revisin Se emite el informe final despus de una reunin con los responsables del ira implicados en la revisin. El contenido del informe debera describir lo puntos * control interno de la manera siguiente: Opinin global (conclusin). Problcma(s) especifico^). Explicacin de la violacin de los controles internos, planes organizacionala estndares y normas. Descripcin de los riesgos, exposicin o prdidas que resultaran de la: violaciones.

Cuando sea posible, se identificar el impacto d e coda problema en trminxl econmicos. Se da una solucin especfica y prctica para cada debilidad. Se identificarn los personas que se responsabilizarn de cada aspecto de las soluciona Las recomendaciones son razonables, verificables. interesantes econmicamente j tienen en cuenta el tamao de la organizacin. El informe debe tener un tono constructivo. Si e s apropiado se anotan los puaw fuertes. Para su distribucin, se preparar un resumen del informe. Despus de la revisin del informe final con los responsables del rea revisada k distribuir a las otras personas autorizadas. El rea auditada tiene la posibilidad de aceptar o rechazar cada punto de co nu d Todos los puntos rechazados se explicarn por escrito. El rea acepta los resges im plcitos de la debilidad encontrada por el auditor. Se hace un seguim iento de la implantacin de las recomendaciones p w asegurarse de que el trabajo de revisin produce resultados concretos.

www.FreeLibros.me
(A nnuo y MFtQOOUXilAS D t COVIKOL INTIW .NO. SfeCtllMDAO YAl/DTTOKfA. <1

3.8. LEC TUR A S RECOM ENDADAS

Jim A. Schweitzer. M anaging Inform ation Security (Administrative. Electronic, and Legal Measures io Project Business Information). Buttcrvorths. ISBN 0-409-90195-4. J. M. l-anvctc. La Seguridad Informtica (Metodologa). Ediciones Arcadia. ISBN 84-86299-13-6. J. M. Lamere. La securit des petits et moyens systmes informatiques. Dunod informatique. ISBN 2-04-018721-9. i. M. Lamere. Y. l-eroux, J. Orly. La securit des rescata (Methode* et techniques). Dunod informatique. ISBN 2-01-018886-X.

3.9. CUESTION ES DE REPASO

1. Qu diferencias y sim ilitu d existen entre las metodologas cualitativas y las cuantitativas? Qu ventajas y qu inconvenientes tienen? Cules son los componentes de una contra medida o control ipirim ide de la seguridad)? Qu papel desempean las herramientas de control? Cules son las herramientas de control m is frecuentes? Qu tipos de metodologas de Plan d e Contingencias existen? En qu se diferencian? Qu e s un Plan de Contingencias? Qu metodologas de auditora informtica existen? Pata qu se usa cada una? Qu es el nivel de exposicin y para qu sirve? Qu diferencias existen entre las figuras de auditora infonrtica y control interno informtico? Cules son las funciones ms im portan! de ste? Cules son las dos metodologas ms importantes para control interno informtico? Para qu sirve cada una? Qu papel tienen las herramientas de control en los controles? Cules son los objetivos de control en el acceso lgico?

2.

3.

4.

5. 6.

7.

8. 9.

10. Qu e s el Single Sign O n? Por qu es necesario un software especial para el control de acceso en los entornos distribuidos?

www.FreeLibros.me

CAPTULO 4

E L IN F O R M E DE A U D ITO RA
J o s <le la P ea S nc h ez

11. INTRODUCCIN
El tema de cmc captulo es el In fo rm e d e A u d ito ria In fo rm tic a, que a su vez a ti objetivo de la Auditora Informtica Para comprender sta, en (uncin del Informe que realiza un. digamos, experto o pcrr.o -al que llamaremos Auditor Informtico-, conviene explicar sonoram ente el otexto en el que se desenvuelve hoy su prctica. La sociedad actual, est en fa.se tecnolgica; apenas guarda recucro prctico de Menores etapas evolutivas (la artesanal, por ejemplo): ms an. las va olvidando a atente velocidad, generacin tras generacin. El dominio de la tecnologa como motor d e cam bio social acelerado y como cauli/ador de cambios tecnolgicos que se superponen, se hace rabiosamente evidente tn las llamadas Tecnologas d e Informacin y Com unicaciones d t uso en las jc ac io n cs. (Tras el mainframe y los term inales tontos, surgieron los PC's y las tefes, el EDI, los entornos distribuidos, las arquitecturas clientcAcrviJor. las redes TCPilP -intranet*, extrais, redes privadas virtuales...-, los accesos remotos y taviks mediante porttiles y telfonos mviles, y. finalmente -p o r ahora-, se nos proponen term inales domsticos vinculados con el equipo de televisir y terminales cwritontos de trabajo conectados a servidores dominantes descentralizados... Y todo ua perodo no superior a treinta y cinco aos!) Est claro: las tecnologas de la informacin, al tiempo que dominan de modo iapirabtc las relaciones humanas (personales, familiares, mercantiles. tctiMcionalcs...). tienen un ciclo de vida cada vez ms corto.

www.FreeLibros.me

M AtTOTOWU INFORMTICA NrxroQUfcFKcnCO____________________________ m Sea com o fuere, una <Je las consecuencia Je lo dicho consiste en la d if ia ilu li: asim ilacin rpida y equilibrada en la empresa de lo enlomo tecnolgico y organizacin (referido el primero a la Tecnologa. de Informacin y Comunicaciones y el segundo a lo mercantil). En este emido. el Auditor Informtico, en tanto que experto, k) tiene erais (menos. sin embargo, que el Auditor de Cuenta), al tener que ene ir x profestonalm cntc y en e l paisaje que estoy presentando, plagado de necesidades di reciclaje y formacin, el llamado "desfase e n tre las expectativa. d e los usuario; los Inform es de a u d ito ra" . 1j cosa y a no son com o eran, y algo habr que haca para encontrar un punto de equilibrio razonable entre el desfase mencionado y U contabilidad de lo usuarios e n el Informe (y en el Auditor Informtico). La complejidad de los sistemas de informacin crece con sus prestacin j caractersticas (conectividad. portabilidad...); la necesidad de utilizarlos que tienen U organizaciones -pblicas y privadas- en todos sus mbitos, alcanza hoy un valer estratgico de competitividad y supervivencia... Podemos afirmar que nunca aata hemos sido tan dependientes de los sistemas d e informacin. Y nunca antes herna necesitado tanto a expertos eficientes (no infalibles) en Auditora Informtica. Conviene mencionar, al respecto d e la prctica de la Auditora (Informtica),; siempre en funcin del Informe de Auditora, la existencia del fraude y del error, sota todo si son significativos, as como la valoracin de las garantas que aportan los informe de los auditores informticos a los usuarios, incluyendo gobiernos y organizaciones nacionales e internacionales. La Informtica es muy joven; por tanto, la Auditora Informtica lo es ms ( a Espaa, por cierto. Je modo superlativo). No est todo sin hacer, pero s queda muchos cabos por alar, y en esto el tiempo no es neutral. En este captulo (y en este contexto) vamos a tratar de fijar la prctica de la Aaditora Informtica en funcin, com o queda dicho, del Informe. Paraello . repasaremos someramente aspectos previos fundamentales, com o son las n o rm as, el concepto de evidencia en auditora, las Irreg u larid a d es, los p a p d e s d e tr a b a jo o documentacka para, finalmente, encarar el In fo rm e, sus componentes, caractersticas y tendencia detectada.' Intentaremos, tam b an , ofrecer algunas conclusiones de inters, sin perder de vista en todo caso que en el mundo auditor de hoy todo ejercicio de prediccin es. en principio, una temeridad.

www.FreeLibros.me
CAi-nvi o * u . lstorvh; ce At o n o n u *s

42. LAS NORMAS

En 1996 la U nin Europea public el L ib ro V erde d e la A uditora, dedicado al papel, la posicin y la responsabilidad del auditor legal. Su conlcrdo afecta a la Aoliloria Informtica. En principio, el Libro acepta las Norma* Internacionales IFA C p a n su adaptacin adecuada a la Unin Europea: por tanto, se transmitirn a travs de las Directivas correspondientes a Espaa pora que se transformen en legislacin positiva. En lo referente al Tratam iento Automatizado de Datos de Carcter Personal -incluso disponiendo de una I-ey orgnica-, el asunto se resolver por k mismos ices, con la trasposicin de la actual Directiva de proteccin de datos personales y. qaui. de otra, en forma de propuesta todava, relacionada con los servicios de tecomonicacione* apoyados en tecnologa digital y especialmente Red Digital de Servicios Integrados. Otra fuente de Norm as Internacionales es ISACF. y a m is especfica de Auditora Wermiiica. Nuestro pas est representado e n ISACA por la Organizacin de Aaditora Informtica, en lento take off. Hoy por hoy. la normativa espaola oficial que afecta, en mayor o nervor medida, i b Auditora Informtica, es la siguiente: ICAC: Norm as Tcnicas de Auditora: punto 2.4.10. Estudio y Evaluacin del Sistema de Control Interno. AGENCIA DE PROTECCIN DE DATOS: Instruccin relativa a la prestacin de servicios sobre solvencia patrimonial y crditos. Norm a cuaita: Forma de Comprobacin. Del artculo 9 de la LORTAD se desprende el desarrollo reglamentario de medi t e Meneas y organizativas alusivas a la seguridad en lo que concierne a integridad y onMcnclalKlad de tos datos personales automatizados. Todava no ha do publicado O d itghmento. pero sera de esperar que se incluyera en su texto a lg in a referencia ttjecfica sobre Auditora Informtica. Trabon conviene resear que dentro de la Unin Europea, la FEE tiene en arcia el Proyecto EDIFICAS.EUROPE. dentro del UN/EDIFACT. en el que Espaa 1 representada por el IACJCE. que se estructura en cuatro grupos de trabajo: Masajes, A uditora (G uias de Auditora de entornos d e EDI). Promocin y Asuntos Enerles.

www.FreeLibros.me

'I

S6 AUDITORIA INFORMTICA: CN FMPQCfc M U CO ____________________________ c u La Auditora Informtica no est muy desarrollada y. por aadidura, se cncoetni en un punto crucial para la definicin del modelo en que deber implantarse j practicarse en la Unin Europea y, por tanto. Esparta, va directivas UE/Iegislaci positiva y normas profesionales. Maticemos este aspecto: hay dos tendencias legislativas y de prctica e disciplinas: la anglosajona, basada en la Conunon I mw . con pocas leyes j jurisprudencia relevante: y la latina, basada en el Derecho Romano, d e Icgislai muy detallada. 1.a tensin entre estos dos modelos, esto es. entre el intervencionismo m u latino y el mnimo intervencionismo anglosajn, es ya insostenible. Uno de los da deber prevalecer, si es que realm ente nos encaminamos a la sociedad global. Justo es reconocer que los parmetros del cambio tecnolgico parecen hacer rct prctico el modelo anglosajn: no en vano, en Estados Unidos, tanto la Auditoei como la Informtica (y I Comunicaciones), tienen un desarrollo muy experimental) y. sobre todo, a dapta tivo. l.os parmetros de velocidad y tiem po hacen aconsejable un esfuerzo por conseguir la disponibilidad armonizada de normas legales y normas de origen profesional. Si la globalizacin antes mencionada es un hecho incuestionable, el sabio uto de los llamados principios generalmente aceptados har posible la adaptacin suficiente a la realidad de cada poca. En este sentido, no podemos olvidar que los organismos de armoni/jck*. normalizacin, homologacin, acreditacin y certificacin tendrn que funcionar a a ritm o ms acorde coa las necesidades cambiantes. El conjunto ISO-CEN-AF.NOR; los vinculados con seguridad. ITSEC/1TSEM Europa. TCSEC USA y Contras Criterio UE/N ortcamrica. necesitan ir ms rpido, ya que su lentitud cal provocando, en un mundo tan acelerado, la aparicin d e multitud d e organizado! privadas, consorcios y asociaciones que con muy buena voluntad y ptim o sentido de la conveniencia enercantil. pretenden unificar normas y proinocionar estndares. Por ltimo, conviene que se clarifique el panorama normativo, de prcticas; responsabilidades en k> que concierne a los problem as planteados por los servia profesionales m ultidiscip lin ares, >a que el Informe de Auditora Informtica k compone de tres trminos: In fo rm tic a, A u d ito ra e Inform e.

www.FreeLibros.me
A rtm p t fi. IXfORMt. LfcAlDnOUlA 11

4.3.

LA EVIDENCIA

En c*lc epgrafe parece saludable revertir algunos a Minios previo*, referidos a la redxcin del Informe. Irau d o s en otros captulo* de esta obra, puesto que el referido (sfanne su consecuencia. Por tanto, tratemos de recordar en q u i consiste la evidencia en Auditoria hormtica. as como las pruebas que la avalan, sin olvidar la im portatela relativa y el riesgo probable, inherente y de control. La certeza absoluta no siempre existe, segn el punto de vista de los auditores; los smrios piensan lo contrario. N o obstante lo dicho, el desarrollo del control interno, incteso del especficamente informtico, est en efervescencia, gracias al em puje de b Informes USA/Treadway (1987). UK/Cadbury (1992) y Francia/Yienot (1995). y ca lugar destacado el USA/COSO (1992). traducido al espa/iol fo r Coopers & Lybrand y el Instituto de Auditores Internos de Esparta. Pero volvamos a la evidencia, porque ella es la base razonable d : la opinin del Auditor Informtico. e o e s. el Informe de Auditoria Informtica. La evidencia tiene una serie d e calificativos; a saber: - La evidencia relevante, que tiene una relacin lgica con los objetivos de la auditoria. - La evidencia fiable, que es vlida y objetiva, aunque con nivel d e confianza. - La evidencia suficiente, que e s de tipo cuantitativo para soportar la opinin profesional del auditor. - La evidencia ad ec u ad a , que es d e tipo cualitativo par afectar a las conclusiones del auditor. En principio, tu prueba:, mui de cum p lim ien to o RUstflniivw. Aunque ya tratado en otro captulo, conviene recordar el escolla prctico de la Importancia relativa o materialidad, as como el riesgo probable. La opinin deber estar basada en evidencias justificativas, ex decir, desprovistas de prejuicios, si es preciso con evidencia adicional.

www.FreeLibros.me
4.4. LAS IRREGULARIDADES
Las irregularidades, o sea, los fraudes y li errores, cspcciilm cntc la existencia de los primeros, preocupa u n to que aparece con nfasis en el y a ciudo Libro Verde de U UE. Ij Direccin General XV (Comercio Interior) y el MARC (Maastricht) cvJb claramente sensibilizados a] respecto. Recordemos antes de proseguir, que en los organismos y U s empresas, la Direccin tiene la responsabilidad principal y primaria de la deteccin de irregularidades, fraudes y errores; la responsabilidad del auditor se centra planificar, llevar a cabo y evaluar su trabajo para obtener una ex pecutisa razonable de su deteccin. Es. pues, indudablemente necesario disertar pruebas antifraude. que lgicamente incrcmcnurn el coste de la auditora, previo anlisis 4c riesgos (amenaza*, importancia relativa...). La auditora de cuentas se est judicializando -cam in o que seguir la Auditora Informtica, prctica importada de F-stados U nidos-, ya que aparece en el v iga* Cdigo Penal (delitos societarios y otros puntos) con especial nfasis en los administradores. No olvidemos, al respecto, la obligatoriedad d e suscribir plizas de seguro de responsabilidad civil para auditores independ entes, individuales j sociedades. Por prudencia y rectitud, convendr aclarar al m ximo -d e ser posible- si d Informe de Auditora e s propiamente d e auditora y n o d e consultora o asesora informtica, o de otra materia afn o prxima. Aunque siempre debe prevalecer el deber de secreto pofcsonal del auditcr. conviene recordar que en el caso d e detectar fraude durante el proceso de auditoria procede actuar en consecuencia, con U debida prudencia que aconseja episodio tat delicado y conflictivo, sobre todo si afecta a los administradores de la organiza;ifa objeto de auditora. Ante un caso as. conviene consultar a la Comisin Deontotgica Profesional, al asesor jurdico, y leer detenidamente las normas profesionales, d Cdigo Penal y otras disposiciones; incluso hacer lo propio ron las d e organismos oficiales u le s com o el Banco d e Esparta, la Direccin G rocral de Seguro, la Comisin Nacional del Mercado de Valores, el organismo regulador del med*> ambiente.... que pudieran e s u r afectados, no debera desestimarse. El asunto podra, incluso, terminar en los Tribunales de justicia.

4.5. LA D OCUM ENTACIN

En el argot de auditora se conoce como papeles de trabajo la "toulidad de to documentos preparados o recibidos por el auditor, de manera que. en conjunto.

www.FreeLibros.me
CAWTVIQ4 II INMMtMI. IX. AULHKMtU V constituyen un compendio de la informacin utilizada y d e las pruebas efectuadas en a ejecucin de su trabajo, junto con la decisiones que ha debido tomar para llegar a tasarse su opinin". El Informe d e Auditora, si se precisa que sea profesional, tee que estar basado ea la docum entacin o papeles d e tra b a jo , como utilidad inmediata, previa Wper*win. La documentacin, adems de fuente de kno%v ho w del Auditor Informtico para Wbijos posteriores asi como para poder realizar su gestin interna de calidad, es fuente en algunos casos en los que la corporacin profesional puede realizar un control de cabdad, o hacerlo algn organismo oficial. Los papeles de trabajo pueden llegar a tener valor en los Tribunalcs d e justicia. Por otra pane, no debemos omitir la caracterstica registra! del Informe, tanto en m pane cronolgica como e n la organizativa, con procedimientos d e archivo, bsqueda. custodia y conservacin de su documentacin, cumpliendo toda la oorBativa vigente, legal y profesional, com o mnimo exigible. Los trabajos utilizados, en el curso de una labor, de otros auditores externos y/o experto* independenle*, as com o de los auditores internos, se reseOen o no en el kforme de Auditora Informtica, formarn pane de la documentacin. Adems, se incluirn: - El contrato cliente/auditor informtico y/o la caita propuesta del auditor informtico. - Las declaraciones de la Direccin. - Los contratos, o equivalentes, que afecten al sistema d e informacin, as como d informe de la asesora jurdica del cliente sobre sus asuntos actuales y previsibles. - El informe sobre tercero vinculados. - Conocimiento de la actividad del cliente.

4.6.

EL INFORME

Se ha realizado una visin rpoda de los aspectos previos para tenerlos muy presenles al redactar el Informe de Auditora Informtica, esto ex. la comunicacin del Aadnor Informtico al cliente, formal y . quiz, solemne, tanto del alcance de la sdcra: (objetivos, perodo d e cobertura, naturaleza y extensin del trabajo Balizado) corno de los resultados y conclusiones.

www.FreeLibros.me
E s momento adecuado de separar lo significativo d e lo no significativa debidamente evaluados por su importancia > vinculacin con el factor riesgo, tara eminentemente d e carcter profesional y tico, segn el leal saber y entender dd Auditor Informtico. Aunque no existe un formato vinculante, sf existen esquemas recomendados cea los requisitos mnimos aconsejables respecto a estructura y contenido. Tam bin e s cuestin previa decidir si e l informe es largo o. por el contraria, corto, por supuesto con otros informes sobre aspectos, bien ms detallados, bien mi* concretos, com o el Inform e d e d e b ilid ad es del c o n tro l in te rn o , incluso de hechos aspectos: todo ello teniendo en cuenta tanto la legislacin vigente como el contra con el cliente. En m i modesta opinin, los trm inos cliente o proveedor/interno o extern, tpicos de la Gestin de la Calidad, resultan ms apropiados que informtico/audita informtico/usuario, ya que este ltimo trmino tiene una lamentable connotacife peyorativa. En lo referente a su redaccin, e l Informe deber ser claro, adecuado, suficiente) comprensible. Una utilizacin apropiada del lenguaje informtico resulta recomend ble. L os puntos esenciales, genricos y Informtica, son los siguientes: mnimos del Informe de Auditofa

/. Identificacin de l Informe El ttulo del Informe deber identificarse con objeto de distinguirlo de informes.

2. Identificacin de l Clleme Deber identificarse a los destinatarios y a las personas que efecten el encargo.

3. Identificac in de la entidad auditada Identificacin de la entidad objeto de la Auditora Informtica.

www.FreeLibros.me
MM 4. Obptivot de la Auditoria Informtica Declaracin de los objetivos de la auditora para identifica- su propsito, eftalando los objetivo* incumplidos. CAPTULO: U. tNFORMEP i AUMTOKA 101

J. Normativa aplicada y excepciones Identificacin de las normas legales y profesionales utilizada-. as como las excepciones significativas de uso y el posible im pacto en los resultado* de la auditora.

6. Alcance de la Auditora Concretar la naturaleza y extensin del trabajo realizado: rea organizativa, perodo de auditora, sistemas de informacin... sealando lim itadores al alcance y restricciones del auditado. 7. Conclusiones: Inform e corto d e opinin Lgicamente, se ha llegado a los resultados y . sobre lodo, a la esencia del ctimcn. la opinin y los pdnafos de salvedades y nfasis, si procede. El Informe debe contener uno d e los siguientes tipos de opinin: favorable o sin faltedades, con sa h ed a d e* . desfav o rab le o ad v ersa, y d enegada. 7.1. O pinin favorable. La opinin calificada com o favorable, n salvedades o limpia, deber manifestarse d e forma clara y precisa, y e s el resultado de un trabajo realizado sin lim itaciones de alcance y sin inceniduntire. de acuerdo con la normativa legal y profesional. Es indudable que entre el informe de recomendaciones al cliente, que incluye lo referente a debilidades de control interno en sentido amplio, y las salvedades, cw sic o vvk existo una rana de p a n scnsibiM ad. u n e s asi que tendr que clarificarse al mxim o, pues una salvedad a la opinin deber ser realmente significativa; concretando: ni pasarse, ni n o llegar, dicho en lenguaje coloquial: en puridad es un punto d e no retomo. 7.2. O pinin con salvedades. Se reitera lo dicho en la o p in n favorable al respecto d e las salvedades cuando sean significativas en relacin con los objetivos de auditora, describindose con precisin la naturaleza y razones. Podrn ser stas, segn las circunstancias, las siguientes:

www.FreeLibros.me
> 1 . PIlOWlMMOK.MAIK S l S I SKX^ t IK.VC1KO _ Limitaciones al alcance del trabajo realizado: esto es. restricciones p<x pane del auditado, etc. Inccnidumbres cuyo resultado no permita una previsin razonable. Irregularidades significativas. Incumplimiento de la normativa legal y profesional.

7.3. O pinin desfavorable. La opinin desfavorable o adversa es aplicable en el caso de: Identificacin de irregularidades Incumplimiento d e la normativa legal y profesional, que afecten significativamente a los objetivos de auditoria informtica estipulados, incluso con ncenidum brts; todo ello en la evaluacin de conjunto y reseflando detalladamente las razones correspondientes.

7.4. O pinin denegad a. La denegacin de opinin puede tener su origen en: Las limitaciones al alcance d e auditoria. Inccnidumhrcs significativas de un modo tal que impidan al auditor form arse una opinin. Irregularidades. El incumplimiento de normativa legal y profesional.

7.5. R esum en. El siempre difcil tema de la opinin, estrella del Informe de Auditoria Informtica, joven como informtica y ms todava com o audkorfi informtica: por tanto, puede decirse que m is que cambiante, muame. Debido a ello, y adem s con la normativa legal y proesionjl descom pasadas, la tica se conviene casi en la nica fuente de orientacko para reducir el desfase entre las expectativas del usuario en general y d informe de los auditores. No olvidemos que existe la ingeniera financiera y la contabilidad creativo: tampoco que las entidades que pueden ser auditadas suelen estar sometidas i cam bios, corno, por ejemplo, la implantacin de aseguram iento y gestin de la calidad -v a SO JOOO. va EFQM (modelo europeo)-, rtingenieria t procesos y otras transformaciones significativas (adaptaciones al Milenio > al Euro).

S. Resultados: Informe largo y otros informes Parece ser que. de acuerdo con la teora de ciclos, el informe largo va a colocar i informe corto en su debido sitio, o sea. com o resumen del informe largo (quiz

www.FreeLibros.me
CAHniLO IJ.IKKXMEDf.AUPmiftU 1 0 1 obsoleto?). Los usuarios, no hay duda, desean saber m is y desean transparencia corno 1 aadido. Es indudable que el lim te lo marcan los papeles d e trabajo o documentacin d e la AoJflor Informtica, pero existen aspectos a tener en cuenta: El secreto de la empresa. El secreto profesional. Los aspectos relevantes de la auditoria.

Las soluciones previsibles se orientan hacia un Informe por cada objetivo de la Auditora Informtica, tal como el de D ebilidades d e C o n tro l In te rn o o los informes especules y/o complementarios que exigen algunos organismos gubernamentales, como, por ejemplo, el Banco de Espaa, la Comisin Nacional del Mercado de Valores y la Direccin General de Seguros, entre otros y por ahora.

9.

Informes previos

No es una prctica recomendable, aunque s usual en algunos casos, ya que el Informe de Auditora Informtica es. por principio, un in fo rm e d e c o n ju n to. Sin embargo, en el caso de deteccin d e irregularidades significativas, tanto errores como fraudes, sobre todo, se requiere una actuacin inmediata segn la normativa legal y profesional, independientemente del nivel jerrquico afectado dentro de la estructura de la entidad. Recordemos al respecto el delito societario y la (espoosabilidad civil del Auditor (Informtico).

10.

Fecha del Informe

El tiempo no e s neutral: la fecha del Informe e s importante, no slo por la cwantificacin de honorarios y d cumplimiento con el cliente, sino pora conocer la magnitud del trabajo y sus aplicaciones. Conviene precisar las fechas de inicio y conclusin del trabajo de campo, incluso la del cierre del ejercicio, si es que se est reatiuado u n Info rm e de A udito ra In fo rm tica com o h e rram ien ta d e apoyo a la Auditora de C uentas. En casos conflictivos pueden ser relevantes aspectos tales como los hechos posteriores al fin del perodo de auditora, hechos anteriores y poucriores al trabajo de campo...

www.FreeLibros.me
/ i . Identificacin y firm a del Auditor E tte avpecto formal del informe e s esencial tamo si ex individual como ti fontu parte de una sociedad de auditoria, que deber corresponder a un socio o s e o legalm ente asi considerado.

12. Distribucin d e l Informe Bien en el contrato, bien en la carta propuesta del Auditor Informtico. deber! definirse quin o quines podrn hacer uso del Informe, a s com o los usos concretos que tendr, pues los honorarios debern guardar relacin con la responsabilidad civil.

4.7. CON CLUSION ES

Qu ex el informe de auditora informtica y qu le diferencia de otro tipo de informes (consultara, asesora, servicios profesionales...) de informtica? Resulta bsico, antes de redactar el informe de auditora, que el asunto est muy claro, no slo por las expectativas ya citadas, sino porque cada trmino tiene un contenido usual muy concreto: la etiqueta auditora es. en esencia, un juicio d e valor u opinin con justificacin. Por tanto, habida cuenta que tiene base objetiva -so b re todo con independencia en sentido am plio-, e s eminentemente una opinin profesional subjetiva. Adems, com o se aplican criterio en trminos de probabilidad, hay que evitar b predisposicin a algn posible tipo d e manipulacin, debido a la libertad d e eleccin de pruebas: n o se debe elegir una serie d e ellas que d la imagen buscada (prejuicio) como consecuencia de la acumulacin de sesgos a d hoc. E sta insistencia en clarificar e s quiz excesiva, pero resulta importante emitir el Informe de auditoria informtica d e acuerdo con la aplicacin de la Auditoria Informtica con criterios ticamente profesionales y desextimar ios procedim ientos de Auditora Informtica creativa" sorteando la posible contaminacin con b contabilidad creativa". En el precitado Libre V erde d e Auditora Legal d e la Unin Europea y recordando la Directiva O ctava d e Derecho de Sociedades. se seAala que el auditor debe ser independiente, pero slo la FEE seAala que puede serio de una manera objetiva. Es ilustrativo res isar textualmente el punto 4 .9 del famoso Libro Verde:

www.FreeLibros.me
CArtnax) n . inhkmk dh auditoria ios "En aftos recientes. se ha manifestado preocupacin obre las amenazas que se ciernen sobre la independencia de los auditores. Varias encuestas indican el hecho de que las empresas estn cada vez ms preparadas a desafiar a los auditores, comprar encajones, buscar asesoram iento legal sobre las opiniones de los auditores y a cambiar de auditores. Algunos informes concluyen que. dadas las presiones competitivas, sera idealista asumir que lodos los auditores actan en todo momento sin pensar e n el riesgo de perder clientes. Se han manifestado criticas de que el profesionalismo se ha disminuido en favor de una actitud m s d e negocio " En fin. que como indicio del estado del a n e. este prrafo resulta bastante aleccionador. Navegando entre definiciones y definiciones, encuentro muy explicativa la de 1SACF. que dice asf: "La auditoria de sistemas de informacin se define como cualquier auditoria que abarca la revisin y evaluacin de todos los aspectos (o alguna seccin/rea) de los sistemas automatizado de procesam iento de la informacin, incluyendo prccedimientos relacionados no automticos y las irucrrelacioncs entre ellos.'' Creo que precisa lo suficiente sobre el sistema informtico, el manual y sus conexiones para delimitar los objetivos d e cobertura de un informe de auditoria informtica que. ponderados con los objetivos CO SO de la Actividad de Tecnologas de la Informacin (plane* estratgicos, informacin fiable, adecuada y disponible, y sistemas de informacin disponibles), clarifican en form a razonable las zonas fronterizas con otros lemas afines, p or ahora. En mi opinin. Maastricht est acelerando el asunto; tanto es as que si Maastricht no existiera habra que inventarlo, aunque el trm ino auditora tiene connotaciones no deseables. Espero que el MARC (Maastricht Accounting and Auditing Research Center) sea un factor positivo en la auditora de los sistemas d e informacin y. por tanto, en los informes y su normativa Icgalfyrofcsional correspondiente.

4.8. LEC TUR A S RECOM ENDADAS

Emilio del Peso N avarro. Miguel Angel Ramos Gonzlez. Carlos Manuel Fernndez Snchez y Mara los Ignoto Azausue. M anual <fe <fcftmie y peritajes m fom dtxis. E JtcM act f h t t J e Sanios, S .A . M x A f. Agustn Lpez Casuso. Norm ai de Auditora: Cm o Interpretaras para su Apikocin. Editorial IACJCE. Madrid. 1995.

www.FreeLibros.me
10 Al'DtTOttlA INFORMTICA UN KXKXXE WCTICO___________________________ cn.M. Luis Muflo* Sabate Tcnica Probatoria: Estudio sobre la t Dificultades d e la Prueba en e l Proceso. Editorial Praxis. S.A. Barcelona. 1993.4* edicin. Mar> C. Bromake Los informes d e auditoria y t u tcnica de redaccin. Editorial Deusto. S.A . Bilbao. 1989. Revista SIC. Seguridad en Inform tica v Comunicaciones. Madrid. Ediciones Coda. S.L

4.9.
1. 2. 3. 4. 5. 6. 7.

C U ES TIO N ES DE REPASO
Qu diferencia existe entre ev idencia suficiente y evidencia adecuada? Qu diferencia existe entre prueba de cumplimiento y prueba sustantivo? Las normas IPAC son vinculantes en Espafta? Las normas ISA CF son vinculantes en Espaa? Qu diferencia existe entre opinin desfavorable y op nin denegada? Qu significa importancia relativa?, y materialidad? Qu significado tiene la responsabilidad civil del auditor informtica emisor del informe de auditoria informtica y firmante del miao? Cul es la utilidad del documento denominado Declaraciones de U Direccin? Qu diferencia existe entre experto informtica y auditor informtico?

8.

9.

10. Qu diferencia existe entre auditor interno y auditor externo?

www.FreeLibros.me

C A PTU LO 5

O R G A N IZ A C I N D EL D EP A R T A M E N T O D E A U D ITO R A IN FO R M TIC A
R a fa e l R u a n o D iez

5.1. A N TE CE D EN TES
F.I concepto de auditara informtica ha estado siempre ligado al d e auditora en {corral y al de auditora interna en particular, y itc ha estado unido desde tiempo histricos al de contabilidad, control, veracidad de operaciones, ele. En tiempo de los egipcio ya se hablaba de contabilidad y de control de los registro* y de las aeraciones. Aun algunos historiadores fijan el nacimiento de la escritura como consecuencia de la necesidad de registrar y controlar operaciones (Dale l-lesher. SO Yeart o f P ro g re m Hago esta referencia histrica a fin de explicar la evolucin de la corta pero intensa historia de la auditora informtica, y para que posteriormente nos tin a de referencia al objeto de entender las diferentes tendencias que existen en la actualidad. Si analizamos el nacim iento y la existencia d e la auditora informtica desde un peato de vista empresarial, tendremos que empezar analizando el contexto organi zativo y ambiental en el que se mueve. Empezaremos diciendo que tanto dentro del contexto estratgico como del operativo de las organizaciones actuales, los sistemas de informacin y la arquitectura i?ue los soporta desempean un importante papel como uno de los soportes bsicos pea la gestin y el control del negocio, siendo as uno de los requerimientos bsicos de cualquier organizacin. E sto da lugar a los sistemas de informacin de una aganizacin. Es evidente que pora que dichos sistemas cumplan sus objetivos debe existir una tuicin de gestin de dichos sistemas, de los recursos que los manejan y d e las

www.FreeLibros.me
B AUMIORM IMIWM.MK .S > N I NKXX I' IH< K1> mvcfMoocs que se ponen a disposicin de dichos recursos para que el funcionamiento y los resultados sean los esperados. Esto e s lo que llamamos el Departamento de Sistemas de Informacin. Finalmente, y en funcin de lo anterior, aunque no como algo no enteramente aceptado an. debe existir una funcin d e control de la gestin de los .sistemas y dd departamento de sistemas d e informacin. A esta funcin la llamamos auditoria informtica. El concepto de la funcin de auditoria informtica, en algunos casos llamada funcin de control informtico y e n los menos, llamada y conocida por ambos trminos, arranca en su corta historia, cuando e n los a/los cincuenta las organizaciones empezaron a desarrollar aplicaciones informticas. En ese momento. La auditoria trataba con sistemas manuales. Posteriormente, en funcin de que las organizaciones empezaron con sistemas cada vez ms complejos, se hizo necesario que pane del trabajo de auditoria empezara a tratar con sistemas que utilizaban sistemas informticos. En ese momento, los equipos de auditoria, tanto extem os como internos, empezaron a ser mixtos, con involucracin de auditores informticos ju n to coa auditores financieros. En ese momento se comenzaron a utilizar dos tipos de enfoque diferentes que en algunos casos convergan: Trabajos en los que el equipo de auditora informtica trabajaba bajo ua programa de trabajo propio, aunque entroncando sus objetivos con los de la auditora financiera; ste era el caso de trabajos en los que se revisabas controles generales de la instalacin y controles especficos de las aplicaciones bajo conceptos de riesgo pero siempre unido al hecho d e que el equipo dt auditora financiera utilizara este trahajo para sus conclusiones generales sobre el componente financiero determinado. Revisiones en las que la auditora informtica consista en la extraccin de informacin para el equipo de auditora financiera. En este caso el equipo o funcin de auditora interna era un exponente de la necesidad de las organizaciones y departam entos d e auditora d e utilizar expertos tu informtica para proveer al personal de dicho departam ento de informacifa extrada del sistem a informtico cuando la informacin a auditar estaba empezando a ser voluminosa y se estaba perdiendo la pista de cmo se habla creado.

Esta situacin convive hoy e n da con conceptos ms actuales y novedosos de lo que es la funcin y de lo que son los objetivos d e la auditora informtica. E n mi opinin, y e s alg o que vamos a desarrollar a continuacin, la tendencia futura de la auditora informtica radicar en los siguientes principios;

www.FreeLibros.me
cu. uk

CArtUILO 5:0OVMACl0f> PEI-DEPARTAMENTOPE ACPtTORUlNKjRMATlCA 10

1. Todo* lo a u d ito r tendrn que tener conocimientos informticos que les permitan trabajar en el cada vez ms lluctuante entorno de las tecnologas de la informacin dentro de las organizaciones empresariales, culturales y sociales. 2. Este aspecto no eliminar la necesidad de especialistas en auditora informtica; antes al contrario, los especialistas necesitarn cada vez. ms, unos conocimientos muy especficos, que al igual que sucede en el entorno de los sistemas de informacin, les permitan ser expertos en las diferentes ramas de la tecnologa informtica: comunicaciones, redes, ofimiica. comercio electrnico, seguridad, gestin de bases de datos, etc. 3. El auditor informtica dejar d e ser un profesional procedente de otra rea, con su consiguiente reciclado, para pasar a ser un profesional formado y titulado en auditoria informtica que tendr a su alcance diferentes medios de formacin, externa fundamentalm ente, y que tendr que formar una red de conocimientos compartidos con oros profesionales, tanto en su organizacin como con profesionales de otras organizaciones. El futuro de la auditora informtica estar en la capacidad de cubrir adecuadamente, en cuanto a experiencia y especializacin. todas las reas de los sistemas informticos y de informacin de una empresa y en saber de forma propta o ooa ayuda mierna y extem a, adecuarse a los cambios que sucedan en la Tecnologa de b Informacin. Para adecuarse a estos cambios, el auditor informtico, tendr que autgenerar su propia filosofa de gestin del cambio.

5.2. CLASES Y TIPO S DE AUDITORA INFORM TICA

Como he tratado de mencionar anteriormente, existe una gran confusin sobre lo que es auditora informtica y la relacin que tiene con otras ramas organizativas de bs empresas y organizaciones. Aun hoy en da. si preguntsemos a diferentes agentes empresariales y sociales, nos contestaran con diferentes respuestas sobre lo que es y no es auditora informtica. Voy a tratar de resum ir tas diferentes acepciones d e auditora informtica que existen en nuestro pas: Auditora informtica com o soporte a la auditora tradicional, financiera, etc. Auditora informtica con el concepto anterior, pero aadiendo la funcin de auditora de la funcin de gestin del entorno informtico.

www.FreeLibros.me
I AKMTOKlA INWMTK'A UN hSWgtltl ntACTKU Auditora informtica como (uncin independien!:, enfocada hacia li obtencin de la situacin actual de un enlom o de infom acio c informtico a aspectos de seguridad y riesgo, eficiencia y veracidad e integridad. Las acepciones anteriores desde un punto d e v is u interno y externo. Auditora como funcin de control dentro de un de partimento d e sistemas.

A nte esta situacin djenme expresar cul es mi visin sobre lo que es y debe ler la funcin de auditora informtica.

5.3.

FUNCIN DE AUDITORA INFORM TICA

5.3.1. Definicin
Est claro a n a s alturas que la auditora, revisin, diagrstico y control de k* sistemas de informacin y de los sistemas informativos que soportan stos deben * t realizados por personas con experiencia en ambas disciplinas, informtica y auditora (en principio llamemos a nuestro amigo el Auditor Informtico General: A IG). A oto yo le aAado que adems nuestro amigo debe completar su formacin coa conocimientos de gestin del cam bio y de gestin empresarial. Cm o definimos entonces a nuestro amigo AIG ? Para tn ta r de definir su perfil la definicin ms exacta es quiz que e s un profesional dedicado al anlisis de sistemas de informacin e informticos que est especializado en alguna de las mltiples ramas de la auditora informtica, que tiene conocimientos generales de k* mbitos en los que. sta se mueve, que tiene conocimientos empresariales generales, y que adems: Posee las caractersticas necesarias para actuar como contultor con su auditado, dndole ideas de cm o enfocar la construccin d e k * cirrenlos de control y de gestin que le sean propios. Y que puede actuar com o consejero con la organizacin en la que est d c u rro tk n d o *u labor. Un entorno informtico bi<n controlad, puede x i un entorno ineficiente si no e s consistente con los objetivos de la organizacin. El eterno problema que se ha suscitado durante mucho tiempo e s si el auditor informtico, al no existir tal formacin acadmica en nuestro pas, cenia que ser un auditor convertido en informtica, o por el contraro un inforntico reciclado como auditor informtico. En mi larga experiencia, he visto de todo, personal d e desarrollo o de explotacin convenidos en auditores informtico en men*s de un mes. auditores financieros reciclados, prim ero como extractores de infirmacin, mediante la form acin en el adecuado softw are d e interrogacin d e archivos, y posteriormente convertidos en auditores de la funcin informtica.

www.FreeLibros.me
m u CArtTtl-OS ORGANIZACIN Dtl. DtPARTAMb.VlUIX. AUDITORA PiKMtSlAlKA III En ambos casos, los xitos y los fracasos se acumulaban por igual. Qu hacer en estos casos? Cul debe ser el perfil co rred o d e un auditor informtico? lista e s mi visin y opinin del perfil del futuro auditor informtico y consecuentemente d e las funciones que la funcin de auditora informtica debe tener.

5.3.2. Perfiles profesionales de la funcin de Auditora Informtica

A tenor de lo que hemos dicho hasta ahora, se ve claram ente que el auditor informtico debe ser una persona con un alto grado d e calificacin tcnica y al mismo tiempo estar integrado en las corrientes organizativas empresariales que imperan hoy n (a. De esta forma, dentro de la funcin d e auditora informtica, se deben contemplar las siguientes caractersticas para mantener un perfil profesional adecuado y actualizado: I. La persona o personas que integren esta funcin deben contemplar en su form acin bsica una m ezcla de conocimientos de auditora fin an cien y de informtica general. Estos ltimos deben contemplar conocimientos bsicos en cuanto o: Desarrollo informtico; gestin d e proyectos y del ciclo de vida de un proyedo de desarrollo. Gestin del departam ento de sistemas. Anlisis de riesgos en un entorno informtico. Sistema operativo (este aspecto depender de varios fadores, pero principalm ente de si va a trabajar en un entorno nico -auditor interno- o. por el contrario, va a tener posibilidades de trabajar en varios entornos como auditor extemo). Telecomunicaciones. Gestin de bases de datos. Redes locales. Seguridad fsica. Operaciones y planificacin informtica: efectividad de las operaciones y del rendim iento de los sistemas. Gestin de la seguridad d e los sistemas y de la continuidad empresarial a travs de planes de contingencia de la informacin. Gestin de problem as y de cambios en entornos informticos. Administracin de datos.

1 1

www.FreeLibros.me
Ofimtica. Com ercio electrnico. Kncripljcin de datos.

: AUOtTOUlA IMOHMTICA W ENFOQUEfttACTlCO___________________________ > iw

2. A o l e s conocimiento* bsico* se les deber aftadir una evpeciali/acin a funcin de la importancia econmica que distinto* componentes financiera puedan tener en un entorno empresarial. Asi. en un eito m o financiero poeta tener mucha importancia las comunicaciones, y veri necesario que atguiea dentro de la funcin de auditora informtica tenga cita especializacin. pno esto mismo puede no ser vlido pora un entorno productivo en el que las transacciones i:D I pueden ser m is importante*. 3. Uno de k>\ problemas que ms han incidido en la escasa presencia de auditores informticos en nuestro pas, es quizs la a veces escasa relacife entre el trabajo de auditora informtica y Uu conclusiones con el enton empresarial donde se ubicaba la "entidad auditada", lista sensacin de que hs normas van por sitios diferentes de por donde va c negocio ha sido fn muchas veces de la escasa comunicacin cnue el auditado (objetiva empresariales) y el auditor (objetivos de control). C<mo quiera que la cruii realidad no* est demostrando en la actualidad cada vez ms la necesidad de cada vez mayor control en lo* sistemas de informacin, se hace necesario pan el auditor informtico conocer tcnicas de gestin empresarial, y sobre todo de gestin del cambio, ya que las recomendaciones y soluciones que se aponen deben estar en la lnea de la bsqueda ptim a d e la mejor solucin pora ta objetivos empresariales que se persiguen y con lo* recxrxo* que se tienen. 4. El auditor informtico debe tener siempre el concepto de Calidad Total Com o pone de un colectivo empresarial, bien sea permanentemente como auditor interno o puntualm ente como auditor extem o, el concepto de calidad total har que sus conclusiones y trabajo sea reconocido como un clemetto valioso dentro de la organizacin y que los resultadas sean aceptados en so totalidad. Esta aplicacin organizativa debe hacer qur la propia imagen dd auditor informtico sea ms reconocida de form a positiva por la organizacin.

5.3.3.

Funciones a desarrollar por la funcin de Auditora Informtica

Se han suscitado mltiples controversias sobre las funcione* a desarrollar en cuanto al trabajo de Auditora Informtica que se debe realizar. Cul e s el objetivo di una Auditora Informtica? Qu *e debe revisar, analizar o diagnosticar?

www.FreeLibros.me
mm CAPtnXO 5 OROANI/ACTN DO. DEPARTA-MIXTODtt At'DfTOItlA IXTOfcMAUCA 111 Puede la funcin de Auditora Informtica aportar slo lo que le piden o debe formar pone de un ente organizativo total, lo que le exige una actitud de contribucin total al entorno empresarial en el que est realizando su trabajo? En definitiva, qu aspectos debe revisar el auditof informtico? Debe revisar la seguridad, el control interno, la efectividad, la gestin del cam bio y la integridad de la informacin. Si analizamos la realidad ms actual, direm os que la funcin Auditora Informtica debe mantener en la medida de lo posible lo* objetivos de revisin que le demande la organizacin, pero como esto e s muy general, vamos a precisar algo ms lo que sera un entorno ideal que tiene que ser auditado. Supongamos una organizacin que produce componentes tecnolgicos de audio y rdeo tanto en formato primario como en producto semiterminado y terminado. Esta organizacin mantiene sus programas y resultados de investigacin bajo control informtico. Adems tiene las caractersticas propias de cualquier empresa productora y comercial en cuanto a sistemas de informacin. Mantiene en Internet un sistema de informacin de sus productos con la posibilidad de que usuarios d e la Red puedan hacer consultas sobre diferentes caractersticas de lo* productos. Gasta anualmente un uno por ciento de su facturacin en sus sistemas de informacin y un diez por ciento ca investigacin. Cules seran los objetivos d e revisin de la Auditora Informtica en este ejemplo? Desde luego parece que la Auditora Informtica debera enfocarse hacia aspectos de seguridad, de comercio electrnico y d e control interno en general, adiendo en funcin de lo expuesto en cuanto al gasto anual que debera realizarse c u revisin de la efectividad del departamento. Esto nos indica que solamente con un ejemplo sim ple vemos que la Auditora Informtica abarca cam pos de revisin ms all de los que tradicin al mente se han mantenido: esto es. la revisin del control interno informtico d e los servicios cntralo y de las aplicaciones. FJ mundo complejo de las empresas en el que nos movemos, con industrias essergentes y con una tendencia globalizadora en los negocio*, hace muy necesario que los sistema* de control interno sean lo ms efectivos posibles, pero tambin conceptos ms amplios, com o el riesgo de la informacin, la continuidad de las operaciones. la gestin del centro de informacin o la efectividad y actualizacin de 1 inversiones realizadas son necesaria* para poder mantener el nivel competitivo que el mundo empresarial demanda a sus sistemas d e informacin. Es as que entonces la funcin d e Auditora Informtica debe realizar un amplio ablico de actividades objetivas, algunas de la* cuales enumero a continuacin:

www.FreeLibros.me
11 AlWTOKlA INWMTtCAUMf.TOQC'E WtCnCO otim Verificacin del control interno, tanto de las aplicaciones como de kn sistemas informticos, c en tral y perifricos. Anlisis de la gestin de los sistemas de informacin desde un punto de vista de riesgo de seguridad, d e gestin y de efectividad de la gestin. Anlisis de la integridad, fiabilidad y certeza de la informacin a travs del anlisis de las aplicaciones. Esta funcin, que la vienen desempeando los auditores informticos, estn empezando ya a desarrollarla los auditores financieros. Auditora del riesgo operativo de los circuitos de informacin. A nlisis de la gestin de los riesgos de la informacin y de la segundad implcita. Verificacin del nivel d e continuidad d e las operaciones (a realizar conjuntam ente con los auditores financieros). Anlisis del Estado del Arte tecnolgico d e la instalacin revisada y de I consecuencias empresariales que un desfase tecnolgico pueda acarrear. Diagnstico sobre el grado de cobertura que dan las aplicaciones a las necesidades estratgicas y operativas de informacin de la organizacin.

El papel de la auditora informtica se convierte de esta manera en algo ms que la clsica definicin del auditor informtico: "... el auditor informtico e s responsable para establecer los objetivos de control que reduzcan o eliminen la exposicin al riesgo d e control interno. Despus de que los objetivos de la auditora se hayan establecido, el auditor debe revisar los controles y evaluar los resultados de su revisin para determinar las reas que requieran correcciones o mejoras." Aun a riesgo de ser criticado por muchos d e m is compaeros, creo que el papel del auditor informtico tiene que dejar de ser el d e un profesional cuya nica meta empresarial sea analizar el grado d e implantacin y cumplimiento del control interno Las organizaciones estn inviniendo mucho dinero en sistemas de informacin, cada vez son ms dependientes de ellos y no pueden permitirse el lujo de tener buenos profesionales, que estaban mediatizados por esquemas que eran vlidos hace unos artos pero que en estos momentos no lo son a tenor de las necesidades empresariales. El concepto de control interno e s importantsimo, pero adems d e verificar dicho control, el auditor interno tiene la obligacin de convenirse un poco en consultor y en ayuda del auditado, dndole ideas de cmo establecer procedim ientos de seguridad, control interno, efectividad y eficacia y medicin del riesgo empresarial.

www.FreeLibros.me
CAPTULO5: ORGANIZACION DftL DBPAHTAMF.VTOPC Al'DITORlA INFORMATICA 1 1S

5.4. ORGANIZACIN DE LA FUNCIN DE AUDITORA INFORMTICA

Segn lo que hemos comentado hasta ahora, la funcin de auditera informtica ha pasado de ser una funcin meramente de ayuda al auditor financiero a ser una fcacin que desarrolla un trabajo y lo seguir haciendo en el futuro, m h acorde con la importancia que para las organizaciones tienen los sistemas informtico y de informacin que son su objeto de estudio y anlisis, t i auditor informitico pasa a ser sxli'.or y consultor del ente em presarial, en el que va a ser analista, auditor y asesor en naterias de: Seguridad Control interno operativo Eficiencia y eficacia Tecnologa informtica Continuidad de operaciones Gestin de riesgo solamente de los sistemas informticos objeto de su estudio, sino d : las relaciones e implicaciones operativas que dichos sistemas tienen en el contexto enpresarial. Con esta amplitud de miras, cm o ve va a organizar la funcin dentro de la empresa? Est claro que en este caso estam os hablando de una funn intenta de a aitora informtica. La concepcin tpica que he visto e n las empresas espaolas hasta ahora, es la de que la funcin de auditora informtica est entroncada dentro de lo que es la funcin de auditora interna con rango d e subdepartamento. E sta concepcii se basa en el aacimicMo histrico de la auditora informtica y en la dificultad de separar el elemento informtico de lo que e s la auditora operativa y financiera, al igual que lo es sepirar la operativa de una empresa de los sistemas d e informacin que los soportan. Si volvemos a mi aseveracin anterior sobre el papel que debe desempear el auditor informtico dentro de un contexto em presarial, la organizacin tipo d e la mJitoria informtica, debe contemplar en mi opinin los siguientes priicipsos: Su localizacin puede estar ligada a la localizacin de la auditora interna operativa y financiera, pero con independencia de objetivos (aw q u e haya una coordinacin lgica entre ambos departam entos), de planes de form acin y de presupuestos.

00

www.FreeLibros.me
IJft MIKUttl.V IMOftMVnfA IV tN K H jll ITM IIK l La organizacin operativa tipo debe ver la J e un grupo independiente del de auditoria interna, con una accesibilidad total a los sistemas informtico* y de informacin, e idealm ente dependiendo de la misma persona en la empreu que la auditora interna, que debera set el director general o consejero delegado. Cualquier otra dependencia puede dar al traxte con la imagen del auditor informtico y consecuentemente con la aceptacin de su trabajo y de su conclusiones.

l-i dependencia, en todo caso, debe ser del mximo responsable operativo de U organizacin, nunca del departam ento de organizacin o del de sistemas (abundan b t casos en que esta dependencia existe), ni del departam ento financiero yA > administrativo. I.a gestin de la funcin, en la medida de que exista la experiencia, debe ser llevada a cabo por personal que haya o est trabajando en auditora informtica. Los recursos humanos con los que debe contar el departam ento deben contemplar una m e/cla equilibrada entre personas con formacin en auditora y organizacin y personas con perfil informtico. N o obstante, este perfil genrico debe ser tratado con un amplio programa de formacin en donde se especifiquen no slo lo* objetivos de b funcin, sino tambin de la persona. Este personal debe contemplar entre su titulacin la de CISA como u elemento bsico para comenzar su carrera corno auditor informtico. La organizacin interna tipo de la funcin podra s e r Jefe del departamento. Desarrolla el plan operativo del departamento. U$ descripciones de los puestos de trabajo del personal a su cargo, las planificaciones de actuacin a un afto. lo* mtodos de gestin del cambio en su funcin y los pw>gramas de formacin individualizados, as con gestiona los programas d e trabajo y los trabajos en s, los cambios en lo mtodo* de trahajo y evala la capacidad d e las personas a su cargo. Gerente o supervisor de auditora informtica. Trabaja estrechamente coa el Jefe del departam ento en las tarcas operativas diarias. Ayuda en la evaluacin del riesgo d e cada uno de lo* trabajo*, realiza lo* programas de trabajo, dirige y supervisa directamente a las personas en cada uno de los trabajos de los que es responsable. Realiza la formacin sobre el trabajo. Es responsable junto con su jefe d e la obtencin del mejor resultado del trabajo para el auditado, entroncando tos conceptos de valor aadido y gestin del cam bio dentro de su trabajo. Es el que ms "vende" la funcin con el auditado.

www.FreeLibros.me
CAPtTVI O -VOUGAXKAOON i I. tAKTASU.VTOD T-AlOtTOKA INFORMTICA 111 Auditor informtico. Son responsable* para la ejecucin directa del trabajo. Deben tener una especializacifl genrica, pero tambin una especfica, segn se com ent anteriormente. Su trabajo consistir en la obtencin de informacin, realizacin de pruebas, documentacin del trabajo, evaluacin y diagnstico de resultados.

El tamao slo se puede precisar en funcin de los objetivos de la funcin. pero en mi opinin, para una organizacin tipo, el abanico de responsabilidades debera cu b rir Especialista en el entorno informtico a auditar y en gestin de bases de datos. Especialista en comunicaciones y/o redes. Responsable de gestin d e riesgo operativo y aplicaciones. - Responsable de la auditora de sistemas d e informacin, tanto en explotacin com o en desarrollo. - En su caso, especialista para la elaboracin de programas de trabajo conjuntos con la Auditora l-inanciera. -

5.5. CUESTIO N ES DE REPASO

1. Cules son las lneas de evolucin d e la Auditora Informtica? 2. 3. 4. 5. 6. Qu diferentes acepciones existen d e la Auditora Informtica? Cul e s el perfil del auditor informtico general? Qu formacin debe poseer el auditor informtico? Cules son las funciones d e la Auditora Informtica? Qu aspectos pueden hacer ms compleja, en la actualidad, la funcin de Auditora Informtica? Cul debe ser la localizacin de la funcin d e Auditora Informtica en la empresa? Cules son las tareas del Jefe del Departamento de Auditora Informtica?

7.

8.

9. Qu tam ao debe tener el Departamento de Auditora Informtica? 10. Defina un plan de form acin para que un informtico pueda desempear sin problemas la funcin de auditor.

www.FreeLibros.me

CA PTU LO 6

E L M A R C O J U R D IC O D E LA A U D ITO R A IN FO R M TIC A
E m ilio d e l P eso N a v a rro

6.1. INTRODUCCIN
Los efectos de la incorporacin a nuestra Sociedad en un principio de la bformtica. posteriormente de la Telemtica y en la actualidad d e lo que se viene denominando Nuevas Tecnologas d e la Informacin y las Com unicaciones, han tramformado sta y el futuro que se vislumbra e s que el cambio ha de ser an mayor. La transformacin ha operado en todos los rdenes de la vida tanto pblicos romo privados, profesionales y particulares. La forma de vida ha cambiado bcalmcnie y no hemos hecho m is que empezar. Conceptos tan arraigados com o el de trabajo tenemos que empezar a conumplarloc <! otra nunc ra . c inclino In form i de S w lin w t. n ii im ocio, tambin ha quedado afectado. Estas nuevas tecnologas han incidido en el Derecho desde dos perspectivas: L* Contemplar estas nuevas tecnologa', com o una herramienta del operador jurdico de forma parecida a como ayudan a otros profesionales: arquitectos, mdicos, etc., lo que da lugar a la Informtica Jurdica. 2* Estudiar y analizar estas nuevas tecnologas como un objeto ms del Derecho, lo que hace emerger una ram a nueva del mismo: el Derecho

www.FreeLibros.me
I AUIMTOHUINHOtIMTtCA: UN BffOQlT. fUACTlCO Informtico o Derecho d e 1 Nuevas Tecnologas de la Informacin y la Comunicaciones. Esta dicotoma la volveremos a ver despus cuando estudiemos la contratacife e n la que nos encontraremos con un tipo de contratacin, la electrnica o por raedm electrnicos, y con otro, la informtica. La Informtica Jurdica la podemos contemplar desde tres categoras diferentes1 : 1. La Informtica Jurdica de Gestin que se presenta com o un efics instrumento en la tramitacin d e los procedim ientos judiciales, en b administracin de los despachos de abogados, procuradores, notaras, etc. 2. l-a Informtica Jurdica Documental que ex la utilizacin d e la Informtica pora facilitar el alm acenamiento de enormes volmenes de datos relativas i Legislacin. Jurisprudencia y Doctrina, con el fin de permitir posteriormeaie el acceso a la misma de una form a fcil, rpida y vegura. 3. La Informtica Jurdica Dccisional. por ltimo, e s la utilizacin de U Informtica como un instrumento para ayudar a la toma de decisiones. Tal e> el caso de los jueces ante las sentencias. Est basada, principalmente, a tcnicas de la denominada "inteligencia artificial'* con el em pleo de sistema expertos y herramientas similares. E l Derecho Informtico, a diferencia d e la Informtica Jurdica, es aquella pine del Derecho que regula el mundo informtico evitando que se convierta en una jungi donde siempre sale ganando el ms fuerte. Fruto del mismo son: la proteccin de datos personales, la proteccin jurdica d e los programas de computador, los dcliu informticos, el documento electrnico, el comercio electrnico, y la contratacifa electrnica e informtica entre otras materias. El auditor informtico, si quiere realizar bien mi labor y a la vez evitar situaciones desagradables y un tanto peligrosas, est obligado a conocer esta rama del Dercct. pues es la que regula el objeto de su trabajo. Desconocer las normas que regulan li proteccin de los datos personales, la piratera de los programas d e computador. 1 obligaciones contractuales, los delitos informticos, las responsabilidades civiles y penales en que puede incurrir puede tener consecuencias graves si. como es fcil que ocurra, dichas circunstancias se prevenan en el enlom o en que trabaja.

' Pan a fc fmmaciAn EMILIO DEL PESO NAVARRO y MIGUEL NGEL RAMOS GONZAt.KZ y ruruurf 4* U mformacin la LIMITAD i >u implmtcmtft u n w irtW i D lu de Swmov M*d> d 1994. [>** !0 / 11

www.FreeLibros.me
**H_______________ CAPfTlK) ( x Fl- MARCO)llnto~0 PC U\ AUDtTOftlA INK?RMATK~A 1 2 1 Si examinamos dichas norma* claram ente veremos que todas e l l a versan sobre indeterminado bien jurdico: la informacin. La informacin ha sido un bien valioso en todas las pocas, pero en ninguna haba alcanzado la importancia que tiene en el momento actual en el qur fcilmente se convierte en conocimiento. En el pasado no exista la posibilidad, com o ocurre ahora, de convertir informaciones parciales y dispersas en informaciones en masa y organinda. La aplicacin conjunta de la Informtica y las Telecomunicaciones, lo que se ha venido en denominar Telemtica, en la prctica ha hecho desaparecer los factores boapo y espacio. Para DAVARA RODRGUEZ': ~lx i informacin t i un bien <fte tiene unas caractersticas determinadas y determinantes es. n o cabe duda, un h ttn econmico, pero diftrtnte a los dems b itn ts econmicos existentes en un mercado tradicional". Jatica lo anterior en las siguientes afirmaciones: 1* 2* 3* 4' Se trata de un bien que no se agota con el consumo. Es un bien que puede ser utilizado por numerosas personas a li vez. Es la base del desarrollo de la nueva sociedad. Es el vehculo que circula por las autopistas d e la informacin.

Para definir este conjunto de circunstancias en el que nos movemos se ha acuado d trmino Sociedad de la informacin. La informacin puede ser muy variada, como veremos a continuacin, y no toda da wele tener el mismo valor.

LA PROTECCI N OE D A TO S DE C A R C TER PERSONAL

Q oiifvulsi 18.4 Oc nucMia Cutntit uviOii emplaza al legislador a lln liar el uso de U informtica para garantizar el honor, la intimidad personal y familiar de sus ciudadanos y el legtimo ejercicio de sus derechos. Froto de este mandato constitucional fue la promulgacin de la Ley Orgnica VI992 de 29 de octubre de Regulacin del Tratamiento Automatizado ce los Datos de arfctcr personal (L O R T A D ). Se trata de una ley d e las que en el Derecho

! MIGUEL NGEL DAVARA RODRIGUEZ. Dr la, aittpftn dr a injtinwvW a U m w k t Wtul toiaudi.Vrcftonx.

www.FreeLibros.me
i AUommlAiKtraMTiCA w enfoque reA cnco

Com parado se vienen denominando leyes de proteccin de datos, aunque en realidad I su objeto no sea la proteccin de tos datos sino la proteccin d e la intimidad v \ I p t i m u d a d de fas personas titulares c eso ciatos. En la Exposicin de Motivos de la Ley se hace una interesante distincin entre b que el legislador entiende por intimidad y por p rim eidad. Con independencia de que muchos autores hasta ahora no hacan distincin cent intimidad y el anglicismo privacidad se empieza a hacer corresponder aqulla eco k derechos defendidos en los tres primeros puntos del articulo 18 de la Constitucin, y U prim eidad. entendida como el derecho a la autodeterminacin informativa, con t punto 4.

I .a Ley Orgnica 15/1999. de 13 d e enero (LOPD) de Proteccin de Dato Carcter Personal, deroga la LORTAD. T anto la I.ORTAD como la LOPD se inspira en los siguientes principios: P rincipio de finalidad . Antes d e la creacin d e un archivo de datos de carcter personal' ha de conocerse el fin del mismo (ort. 4.1). Este principio, a su ver. engloba otros dos: el principio de pertinencia y el de utilizacin abusiva. P rincipio de p ertinen cia (a r t. 4.1). Los datos deben ser pertinentes, es do* estar relacionados con el fin perseguido al crearse el archivo. P rinc ipio d e utilizacin ab u siv a (a r t. 4.2). l.os datos recogidos no deben w utilizados para otro (in distinto a aquel para el que fueron recatados. P rincipio de exactitu d (a r t. 4 J y 4.4). El responsable del archivo debe poner tot medios necesarios para comprobar la exactitud de los datos registrados y asegurar a puesta al da. P rincipio de dere ch o al olvido (a rt. 4.5). Los datos debern desaparecer dd archivo una vez se haya cumplido el tin para el que fueron recatados. P rincipio del consentim iento (a r t. 6). El tratamiento automatizado de los <w requerir el consentimiento del afectado, salvo que la Ley disponga otra coa contemplndose algunas excepciones y teniendo el carcter de revocable.

' t)UM de caricwr pcrvxuJ wn cualquier inforatKin coKnucnie a penoou ftwcu. tretutam o ideniiticabiet tan ) i LOPD y RctoInciAn Agtncu Prctttofe de Diiw) (-.1 artlcato 1.4 el Rcfluncntu urffct 041 defin ifccmdo que o "Toda Mfontar* niwniu. uOaWfnv. trafica. otennffica. acstica o Je cuat'^uier upo smscepttbh Je recofuia. re % un rsaraiwriuo o tr&wmu/m concernientea unapertonafinca identificada o identificte*

www.FreeLibros.me
CAPtTVLOft H. MARCOlURlIMCOMI I.A At'DITtmU tSHWMAWC'A l}< Principio de los da to s n p n ia lm c n lt protegido (a rt. 7). Se debe garantizar de forma especial el tratamiento automatizado d e los d ito s d e carcter personal cuando ellos se refieran a ideologa, afiliacin sindical, religin o creencias del afectado, asi cee kis referentes a su origen racial, salud, vida sexual o a la comisin de fracciones penales o administrativas. Principio de seguridad (a rt. 9). El responsable deber adoptar las medidas oecesaras de ndole fsica, organizativa o lgica con objeto de poder garantizar la seguridad de los datos de los archivos. Principio de acceso individual (a r t. 14). Cualquier persona tendr derecho a Hber si sus datos son tratados de forma automatizada y a tener una copia d e los mismos En el caso de que stos sean inexactos o se hubiesen conseguido de forma ilegal tiene derecho a que sean corregidos o destruidos. Principio de publicidad (a r t. 38l. Es preciso que exista un archivo pblico en el que figuren los disertos de los archivos d e datos de carcter personal, tanto los de ttularidad pblica como privada. De estos principios se derivan los siguientes derechos: derecho de oposicin (art. 30). derecho de impugnacin de valoraciones (art. 13). derecho d e consulta al Registro General de Proteccin de Datos (art. 14). derecho d e acceso (art. 15). derecho de rectificacin y cancelacin (art. 16). derecho slc tutela (art. 18) y derecho de iaJetnnizacin (art. 19. Como rgano garante de estos derechos en la Ley figura la Agencia d e Proteccin de Datos, ente de derecho pblico con personalidad jurdica propia y plena capacidad pfcfaca y privada que acta con plena independencia slc las Administraciones Pblicas ca el ejercicio de sus funciones. El Estatuto de la A gencia de Proteccin de Datos fue aprobado por Real Decreto 428/1993 de 26 d e marzo y declarado subsistente por la oposicin transitoria tercera de la LOPD. Al frente de la A gencia figura un Direcior y consta de los siguientes rganos: Cornejo Consultivo. Registro General. Inspeccin y Secretara General. Las potestades de la Agencia son las siguientes: Potestad reguladora. Segn el artculo 5 del Estatuto colabora con los rganos competentes en el desarrollo normativo as como en la aplicacin de la Ley. Potestad inspectora. Segn el artculo 40 d e la Ley corresponde a la Agencia la h iptcrin de los archivos comprendidos en el mbito d e sta. Potestad sanclonadora. La A gencia puede im poner multas de hasta cien m illo nes de pesetas para los casos ms graves por las infracciones cometidas en el sector

www.FreeLibros.me
12 At DHORlA LNKHLMAUCA: UN EXIOQO. P RACTICO privado. Las san ci n correspondientes al sector pblico sern la cttablccid.it m b legislacin sobre el rgim en disciplinario de las Administraciones Pblicas. Potestad in m o v iliz a d o s. El Director de la Agencia. sgn el artculo 49. en ta supuestos constitutivos de infraccin muy grave podr, mediinte resolucin motivad* inmovilizar los archivos automatizados. La Ley fue desarrollada por un Reglamento aproKado por Real Dccrm 1332/1994 de 20 de junio, y el artculo 9 fue desarrollado p<r RD 994/1999. de II de junio que aprob el Reglamento d e Medidas de Seguridad, ambos declara** subsistentes por la Disposicin Transitoria Tercera de la LOPD.

6.3. LA PRO TEC CI N JURDICA D E LOS PPOGRAMAS DE COM PUTAD OR

Antes de hablar de su proteccin jurdica consideramos importante explicar qa se entiende por programas de computador y cul es su lugar entre las diferentes clases de bienes jurdicos dignos de proteccin en nuestro ordenamiento jurdico. En una primera aproximacin, un programa de computdor se puede considenr com o el conjunto de m ateriales elaborados conceptual mente para la solucin de a problema de tratamiento automatizado de dalos. El T exto Refundido de la Ley de la Propiedad Intelectual, aprobado por Rei D ecreto Legislativo 1/1996 d e 12 de abril, en su artculo 96.1 lo define como: secuencia de instrucciones o indicaciones destinadas a er utilizadas directa indirectamente en un sistema informtico, para realizar u /u funcin o una tarea * para obtener un resultado determinado, cualquiera que fu e ra su fo rm a de expresin fijacin. A las m ism os efectos, la expresin program as de ctm putador comprender tambin su documentacin preparatoria. La documentacin tcnica y los mamio!n d e uso de un programa gozarn de la misma proteccin que a te Ttulo dispensa a la program as de computador". Entre la categora d e los bienes, lo* programas de computador preseras peculiaridades que los diferencian de los bienes con una entidad material y susceptibles por tanto de una aprehensin fsica, Nuestro Cdigo Civil divide k bienes en corporales e incorporales. U n programa de computador, como una creacin de la mente que es. no puede kt incluido en ninguna de estas dos categoras, por lo que hay qtK acudir a una nueva q * e s la que se ha creado para este tipo de bienes, la d e los bienes inmateriales.

www.FreeLibros.me
m w ___________ CAPITULO6; >1,MARCOWKjt>KY>IMiIA AliPITOttlAPTOttMATKA 11 5 Un b*en inmaterial es: - Fruto o creacin de la mente. - Para que se haga perceptible para el mundo exterior es necesario plasmarlo en un soporte. - Puede ser disfrutado sim ultneamente por una pluralidad de personas. Por todo ello la apropiacin en los bienes inmateriales, por si sola, no es sificientc para garantizar su goce exclusivo, a diferencia de lo que ocurre con los Nenes materiales. Si queremos que el titular de un bien inmaterial disfrute en exclisiva del mismo es preciso, desde el punto de vi.su jurdico, que el Derecho prohba a todos los dems la utilizacin o la explotacin del mismo y otorgue al titular un derecho en exclusiva. Un programa de computador, corno se desprende de lo expuesto, es un bien inmxenal y en funcin de tal hemos de procurar su proteccin jurdica. La proteccin jurdica de los programas de computador, en priicipio. se puede instrumentar utilizando las siguientes instituciones jurdicas conocida.: estipulaciones ccocractualcs. secreto comercial, derecho de patentes, derecho de marcas y derecho de

Como fcilmente se desprende las cuatro primeras tienen una eficacia limitada, aeodo ms amplia la ltima, por lo que es ste el sistema elegido p o ' considerarlo, a pesar de las dificultades que presenta, el m s idneo. No obstante, li proteccin que ti derecho otorga a los programas de computador es compatible con U proteccin que se le pudiera otorgar por otra va. La proteccin de los programas d e computador est regulada en el Texto Refundido de la Ley de la Propiedad Intelectual (a partir d e ahora TRFI). El articulo 10 del TRPI al referirse al objeto d e la propiedad intelectual dice: "Son objeto de propiedad intelectual todas las creaciones origi,tales literarias, artticas o cientficas expresadas p o r cualquier m edio o soparle tangible o intangible. actualm ente conocido o que se invente en el f u t u r o y al enumerar las obras comprendidas incluye entre ellas los programas de computador. El TRPI regula la proteccin de los programas de computador e n el T tulo VII del Libro I (arts. 93 a 104). El artculo 95 seala que e l derecho d e autor sobre los programas de conpniador se regir po r los preceptos del presente Titulo y. en lo que n o est especficamente

www.FreeLibros.me
I AtTHTOftlA IVHHtSTK~A t.N KNHXAt PK-ACTKX) previsto en e l mismo, p or las disposiciones que resulten aplicables d e la presente Les". El autor por el voto hecho de crear una obra tiene una serie de derechos que k dividen en: morales y patrimoniales o d e explotacin. Los derechos morales, enumerados en el artculo 14. son irrcnunciabks e inalienables. Por contra los derechos patrimoniales o d e explotacin pueden ser transferid libremente. Segn el artculo 17 "corresponde a l autor e l ejercicio exclusivo de los derechos de explotacin de su obra en cualquier fo rm a y. en especial, los derechos t reproduccin, distribucin, comunicacin pblica y transformacin, que n o podri* ser realizados sin su autorizacin, salvo en los casos previstos e n la presente Ley~. El artculo 100 fija unos lm ites a los derechos de explotacin en funcin de las peculiaridades propias de los programas de computador principalm ente referidos a U copia de seguridad y la ntcroperabilidad. Por reproduccin, segn el articulo 18. "se entiende la fijacin de la obra en mi m edio que perm ita su comunicacin y la obtencin d e copias d e toda o parte d t ella". Distribucin, segn el artculo 19 e s "la puesta a disposicin del pblico del original o copias de la obra mediante su venta, alquiler o prstamo o de cualquier otra form a ". Segn el artculo 20.1: S e entender po r comunicacin pblica todo acto por d cual una pluralidad de personas p ueda tener acceso a la obra sin previa dislribuc * de ejemplares a cada una d e ellas. La transformacin de la obra, a tenor del artculo 21.1 "comprende su traduccin adaptacin y cualquier otra modificacin en su fo rm a d e la que se derive una obra diferente. En principio el titular exclusivo de los derechos de explotacin ex el propio auto (ait. 17). A la titularidad de los derechos sobre los programas de computador dedica d TRPI el artculo 97 presentndose los siguientes canos: /. Ser considerado autor del programa d e computador la persona o grupo t personas naturales que lo hayan creado, o la persona jurdica que sea contemplada com o titular d e los derechos de autor en los casos expresamente previstos p o r esta Ley.

www.FreeLibros.me
IU1H_______________ CArtn'LO 6 M. MARCOJl'RllCO DI: l-A AUI>fTt)HAtMOKAIAIKA I ?T 2. Cuando se ira it d e una obra colectiva tendr la consideracin de autor, sa h v pacto en contrario, la persona natural o jurdica ifue la edite o d iw lg u e bajo su nombre. i. Los derechos de autor sobre un program a d e computador que sea resultado unitario de a colaboracin entre varios autores sern propiedad comn y correspondern a todos stas en la proporcin que determinen. 4. Cuando un trabajador asalariado cree un program a de computador, en el ejercicio de las funciones que le han su fo confiadas o siguiendo tas instrucciones de su empresario, la titularidad d e os derechos d e explotacin correspondientes a l program a de computador a s i creado, tanto e l programa fuente como e l program a objeto, correspondern, exclusivamente, al empresario, salvo pacto en contrario. ~ CuncJ<> exista una relacin mercantil se estar a lo pactado en el contrato. 1 .a titularidad de los derechos habr d e demostrarse por alguno d e los medios de prueba admitidos en derecho. El articulo 6.1 dice: ~Se presum ir autor. sa !\o prueba tn contrario, a quien aparezca como ta l en la obra mediante su nombre, firm a o signo que lo identifique." 1.a inscripcin de un programa de computador en el Registro de la Propiedad Istelectual no es constitutiva de derechos, sino sim plemente declarativo de los derechos de propiedad intelectual sobre aqul, no constituyendo una prueba indestructible sobre la titularidad de una obra determinada, sino que constituye una nueva presuncin de dicha titularidad. Las infracciones del derecho de autor pueden ser perseguidas por la va civil y la va penal. El Ttulo 1 del Libro III e s ti dedicado a tas acciones y procedimientos para la fn tK c ijn d t lo derecho reconocido en la Ley. Como medidas de proteccin figuran: - Cese de la actividad ilcita (art. 139). - Indemnizacin de los d a to s materiales y morales causados (art. 140). - Medidas cautelares (art*. 141.142 y 143).

www.FreeLibros.me
i AUtxnmlA m o r -ma u c a i ..n i v h x x i inm co El articulo 102 M i referido a la infraccin de los derechos respecto a la programas de computador: ~a) Quienes pongan en circulacin na o ms copias de un programa t computador conociendo o pudiendo presumir su naturaleza ilegtima. b) Quienes tengan con fin es comerciales una o ms copias de un programa Jt computador, conociendo o pudiendo presum ir su n a tu ra le s ilegitima. i

c ) Quienes pongan en circulacin o tengan con fin es comerciales <uahfma instrumento cuyo nico uso sea facilita r la supresin o neutralizacin m autorizadas de cualquier dispositivo trem en utilizado para proteger m programa de computador. ~ En la va penal las infracciones del derecho estn tipificada* en los artculos 2T4 271 y 272 del Cdigo Penal* podiendo llegar las penas d e prisin a cuatro aftas y bt multa a veinticuatro meses p a n lo casos ms grave.

6.4.

LAS BA SES DE D A TO S Y LA MULTIMEDIA

Una base de datos, com o dice DA VARA RODRGUEZ, a quien seguiremos a este apartado, e s un depsito comn d e documentacin, til para diferentes usuarios; distintas aplicaciones, que permite la recuperacin de la informacin adecuada par ti resolucin de un problema planteado en una consulta. JAMES MARTIN define la base d e datos como una coleccin de duot interrelacionados almacenados en conjunto sin redundancias perjudiciales innecesarias; su finalidad es la d e servir a una aplicacin o ms, d e la mejor minen posible: los datos se almacenan de modo que resulten independientes de los programa que los usan: se emplean mtodos bien determinados para incluir datos nuevos y pan modificar o extraer los datos almacenados. Dicese que un sistema comprende un coleccin de bases de datos cuando sta son totalmente independientes desde el puae de vista estructural. Una base de datos se compone de un contenido y de una estructura de ese contenido. El contenido de una base de datos puede s e r textos, grficos, sonidos, imgenes fja se im genes en movimiento. En lenguaje informtico a esto se le suele denominar media, a la que iks referirem os especficamente ms adelante. 4Ley OrtfeK* I (VI995de 23de nonctritot

www.FreeLibros.me
HM_______________CArtTVtO6 O. MARCOil'RlMCO DE LA AUDITORIA IXKM>MATKA I Lgicamente cada uno de e*to* contenidos tendr un titular de los derechos de tor sofcre los mismos. Pero oon independencia de esto, que es importante > que habr de tenerse en ctenu a la hora de crear una base de dalos, lo que aqui tratamos d e buscar e s la proteccin jurdica de esa estructura para la que ha sid o necesaria una obra de creatividad al seleccionar, clasificar y ordenar sus respectivos contenidos. En definitiva % e trata de una obra de creatividad intelectual y. por tanto, objeto de proteccin Hay veces, sin embargo, que no se trata de una creatividad intelectual, y so obstante su valor econmico es grande. Las primeras bases estn protegidas por el derecho de autor y las segundas por un dered su gen tris al que se refiere la Directiva de la Unin Europea 96/9/C E del Parlamento Europeo y del Consejo d e 11 d e marzo d e 1996. Es importante analizar la funcin d e los diferentes autores que participan en la atarin. desarrollo y explotacin de una base de datos, sus relaciones contractuales y la proteccin jurdica d e la titularidad d e las bases d e dalos.' En un principio en una base de datos participan: el creador o promotor, el dstribuidor y el usuario. Creador o promotor es toda aquella persona fsica o jurdica que partiendo de una idea selecciona, clasifica y ordena un determinado tipo de informacin creando una ta e de dalos, la mantiene y la actualiza. Distribuidor es asimism o toda persona ffsica o jurdica que comercializa el producto Por ltimo, usuario es toda persona fsica o jurdica que utiliza y consulta la base. Entre m a d o r o promotor y distribuidor existe una relacin contractual en la que d primero se compromete a la creacin, mantenimiento y actualizacin de la base y el Kgaado a mi comercializacin, aunque en algn caso podra llegar a su distribucin pioiiu Los contratos entre el distribuidor y el usuario suelen ser de los denominados de adhesin, en las que el primero fija las condiciones y el segundo sim plemente se adhiere a ellas.

Pan urvfar d Kmi \ t r IORGF. PEZ MAN Hau, r Dato, JurU k* Cm ix CSIC.

www.FreeLibros.me
IX ALDrTORAINFORMATICA UNISTOOUBmACTlCO___________________________ t u La proteccin jurdica en nuestro ordcoim iento jurdico viene dada por el viyen* Texto Refundido de la l-cv d e la Propiedad Intelectual de 12 de abril de 1996 y por U Directiva de la Unin Europea, incorporad al ordenamiento jurdico espato) por b Ley 5/1998 de 6 de marzo. En definitiva lo que te protege en una base de dato* no ex simplemente d alm acenamiento de obra*. su ordenacin y recuperacin, u n o que e* todo d procedim iento de creacin y el resultado final de la misma, en cuanto a su contenida anlisis, almacenamiento, clasificacin, (eleccin, y ordenacin que caracteriza a li base de datos en si. Com o hemos dicho anteriormente, en lenguaje informtica se denomina media a las diferente* clases de archivo* que se pueden utilizar en un *i*tema: Siguiendo a MILL stos pueden ser los siguientes: a) A rchivos de textos. stos contienen la descripcin numrica de la informacin redactada mediante signo* alfanumrico*. A rchivos grficos. Contienen la descripcin numrica de un diseto. Archivos de sonidos. sonora. Contienen la descripcin numrica de una onda

b) c)

d)

Archivos de im genes fija*. Contienen la descripcin numrica de una imagen formada por pixele* ordenado* en columna* y filas. Archivos de im genes en movim iento. Contienen la descripcin numrica de im genes en movim iento y se llaman corrientemente vdeos.

e)

Estos archivo se pueden procesar sim ultneamente y alm acenar en el miuao soporte. Esta combinacin d e archivos permite producir creaciones multimedia. Multimedia se puede definir com o la combinacin de todo tipo d e sedales de vot dato*, imgene* y escritura. E* un concepto global que abarcar una gran diversidad de servicias. Entre la* obras multimedia encontramos: a) b) C) d) Videojuegos. Se suele tratar de obras creadas como multimedia y no suelen incorporar elem entos de obras ajenas. Educacin y entretenim iento. Programa* de emeAan/a y de entrenamiento t'tiuiainmeni. Productos que enseAan al usuario mientras juega. Revistas.

www.FreeLibros.me
CAPTULO 6: LL MARCOJURIDICO D F. LA AUDITORIA IVUW.MATKA I <I C) Publicidad. 0 Simuladores. I j obra multimedia Mielen ser producto de un equipo, se tr.ua d e obras colecti vas y su titularidad sud e tenerla una persona jurdica. En gran nmero de casos una obra multimedia ser una obra derivada, pues se trabajar sobre una obra ya existente de la que se debern tener los derechos cecrtjpondicntcs salvo que se trate de obras d e dominio pblico. Para la creacin de obras multimedia se suelen utilizar las llamadas herramientas, por ejemplo: lenguajes de autor. De estas herramienta. se deber tener licencia para so uso. Igualmente se suelen utilizar grficos, fotografas, etc. que existen e n archivos atados al efecto y tambin habr de contratarse su utilizacin. Puede suceder tambin que se incluyan obras de vdeo con interpretacin de anistas. con los que habr que contratar la necesaria autorizacin. En resumen, el m undo de la multimedia es un sector en gran auge que como todo 1o noeso plantea problem as en las relaciones entre los intervinientes que el derecho efeer resolver en aquello que an no est contemplado en el ordenamiento jurdico.

8.5. LOS D ELITOS INFORM TICOS

Fraude puede ser definido como engaflo, accin contraria a la verdad o a la rwwud. La definicin de delito puede ser ms compleja. Muchos estudiosos del Derecho Penal han intentado form ular una nocin de ehio que sirviese para lodos los tiempos y en todos los pases. Hslo no ha sido posible dada la ntima conexin que existe entre la vida social y la jurdica de cada pseblo y cada siglo, aqulla condiciona a sta. Segn el ilustre penalista CUELLO CALN los den tem o s integrantes del delito

a) El delito es un acto humano, es una accin (accin u omisin). b) Dicho acto humano ha de ser antijurdico, debe lesionar o poner en peligro un inters jurdicam ente protegido. c) Debe corresponder a un tipo legal (figura de delito), definido por la ley, ha de ser un acto tpko.

www.FreeLibros.me
! >.' Al'tHTORlA INWM.\Tlt'A l Nt-NKMJI I rW ACtlt O d) El acto ha de ser culpable, imputable a dolo (intencin) o a culpa (negligencia), y una accin es imputable cuando puede ponerse a cargo de una determinada persona. 1.a ejecucin u omisin del acto debe estar sancionada con una pena.

e)

Por tanto, un delito es: una accin antijurdica realizada por un ser hunum, tipificado, culpable y sancionado con una pena. Se podra definir el delito informtico com o toda accin (accin u omiue) culpable realizada por un ser humano, que cause un perjuicio a personas sin que necesariamente se beneficie el autor o que. por el contraro, produzca un beneficio ilcito a su auux aunque n o perjudique de forma directa o indirecta a la vctima tipificado por la ley. que se realiza en el enlom o informtico y est sancionado coa una pena. Contemplado el delito informtico en un .sentido amplio se pueden formar vario* grande grupos de figuras delictivas claram ente diferenciadas: a) b) c) Delitos contra la intimidad. Delitos contra el patrimonio. Falsedades documentales.

El Cdigo Penal vigente, al que nos referiremos a partir de ahora, fue aprobado por la Ley Orgnica KVI995 de 23 de noviembre.

Delitos co n tra la intim idad El T itulo X. Delitos contra la intimidad, el derecho a la propia imagen y U inviolabilidad del domicilio, dedica su Captulo Prim ero, que comprende los artculos 197 al 200. al descubrimiento y revelacin d e secretos. Este captulo, aparte de otras materias, viene a regular, en sede penal. I infncrum r* jii te convelan en el Ambito de la U y Orgnica 5/1992. de 29 de octutcc, LORTAD. El artculo 197. en su punto I. contempla la figura d e quien para descubrir los secretos o vulnerar la intimidad de otro se apodera de measajes d e correo electrnico o cualesquiera otros documentos. Aqu entendemos que. a tenor de lo que dispone el artculo 26 de la Ley. se encuentra comprendido cualquier tipo de documento electrnico. En el mismo punto tambin se comprende la interceptacin de Us comunicaciones, la utilizacin de artificios tcnicos de escucha, transmisin, grabacin o reproduccin del sonido o de la imagen o de cualquier otra scftal de

www.FreeLibros.me
Ilm i_______________ CArtUVO 6. bl. MARCOIL'RlDtCOPC AlOtTORA INXKMAT1CA I comunicacin. Pensamos que entre lo anterior se encuentra el pinchado de redes nformtkas. Es im portante advenir que en c a e punto no se hable para nada de datos de carcter per-axial ni de datos automatizados, a los que se refiere el m ism o articulo t e punto siguiente, sino a secretos y a vulneracin de la intimidad e n general. El punto 2 del artculo se refiere especficamente a datos d e carcter personal pero abarcando no slo com o actualmente hace la LORTAD. los archivos form ticos, electrnicos o telemticos, sino tambin los archivos convencionales. 'L as m ism as penas se impondrn a quien, sin estar autorizado, te apodere. M ttice o modifique, en perjuicio d e tercero, datos reservados d e carcter personal o faliar de otro que se hallen registrados en archivos o sopones informticos, dectrnicos o telemticos, o en cualquier otro tipo d e archivo o registro pblico o priwtdo. Iguales penas se im pondrn a quien sin estar autorizado acceda por cualquier medio a los mismos y a quien los aliere o utilice en perjuicio del titular de (m datos o de un tercero . " En los puntos siguientes del artculo las penas se agravan si los datos se difunden, revean o ceden. Asimismo se sanciona a quien conociendo su origen ilcito y sin hsfcer tomado parte en el descubrimiento los difunda, revele o ceda. El hecho de que quien cometa el delito sea el encargado o el responsable del archivo agrava la pena. Existen unas circunstancias agravantes que se dan en funcin de: a) b) El c a r ic ia de los datos: ideologa, religin, creencias, salud, origen racial y vida sexual. Las circunstancias de la vctima: menor de edad o incapaz.

13 hecho de que se persiga un fin lucrativo igualm ente eleva la pena La condicin de autoridad o funcionario pblico agrava las penas dada la situacin de pnvilegio e n que acta <ari. 198).

Delitos c ontra el patrim onio Los delitos contra el patrimonio y contra el orden socioeconmico figuran en el Ttulo XIII.

www.FreeLibros.me
I.M AUDITORIA IsaOftMVTKA: UX E.VPOQ1T PKCUCO Es importante, en el dom inio en que nos n w e m o s . lo que se dice en el artictk 239. al tratar de la llaves falsas, al considerar llaves las taijeta*. magntica o perforadas, y los mandos o instrumentos de apertura a distancia. Asi las tarjetas magnticas sustradas a sus propietarios se considerarn Iluso falsas, lis importante esta consideracin en relacin con el artculo 238 en que pan calificar un delito de robo con fuer/a en las cosas es necesario que concurra algn de varias circunstancias entre las que se encuentra el uso d e lia s falsas. Entre los delitos contra el patrimonio se encuentran: la estafa informtica. I defraudaciones, los daos informticos y la propiedad intelectual.

E stafas Inform ticas (a r t. 248.2) La estafa se puede definir'' como el petjuicio patrimonial realizado con nimo de lucro mediante cngaAo. El engaito e s elemento necesario de este delito. Consiste, segn CUELLO CALN, en aprovecharse del erre provocado o mantenido por el agente en la p e n o engatada. Hasta la entrada en vigor del nuevo Cdigo Penal ha sido difcil recondurir determinados fraudes informticos hacia la figura de la estafa debido a la inexistcnc del elemento de engaito a una persona. E l punto 2 del artculo 248 dice: Tambin se consideran reos d e estafa los tfiu. con nim o de tuero, y valindose d e alguna manipulacin informtica o artificio semejante consigan la transferencia n o consentida d e cualquier activo patrimonial rn perjuicio d e tercero."

D efraudaciones (a r t. 256) Se considera defraudacin el uso, sin consentimiento de su titular, de cualquier equipo terminal de telecomunicacin.

*F.UOENK) CUELLO CALN. Barixlon*. 1972. p%. 914.

O tr n h u

/Vnul //

iP a n rE ip r e ia l

\ W n

te p m o l

BokK

www.FreeLibros.me

_________________ CAPtn'IOft n . MARCOlURlDHt) IM -. I.A AUOfTOKlA INfOftMTICA 1)5

I Dien inform ticos (a rt. 264.2) Segn el articulo 264.2 se sanciona "al que p o r cualquier medio destruya, atiere. ' utilice o de cualquier otro m odo daAe los datos, program as o documentos dKtrfaicos ajenos contenidos en redes, sopones o sistemas informticos". Entre esa* situaciones se pueden incluir tos famoso* u r o s informtico*, bombas tnicas y h a d e n . Propiedad intelectual (art*. 270, 271 y 272) lo* delito* relativos a la propiedad intelectual c industrial, al mercado y a los cocBumidorc* *c contemplan en el Captulo IX. "Articulo 270. Ser castigado con la pena de prisin de seis meses a dos aos o i t mvka de seis a veinticuatro meses quien, con nim o d e lucro y en perjuicio de uretra reproduzca, plagie, distribuya o comunique pblicamente, en todo o en parte, wa obra literaria, artstica o cientfica, o su transformacin, interpretacin o ejecucin artstica fijada en cualquier tipo d e soporte o comunicada a travs de cualquier medio, sin la autorizacin de los titulares de los correspondientes derechos epropiedad intelectual o de sus cesionarios. U i misma pena se impondr a quien intencionadamenle importe, exporte o almacene ejemplares de dichas obras o producciones o ejecuciones sin la referida

Ser castigada tambin con la misma pena la fabricacin, puesta en circulacin ) tenencia de cualquier m edio especficamente destinado a fa c ilita r la supresin no orizada o la neutralizacin de cualquier disposit-o tcnico que se haya utilizado para proteger program as de computador. Es interesante advertir que no slo *c sanciona la fabricacin o puesta en circuicin. sino la sim ple tenencia de un dispositivo para saltarse las llave* lgicas o 1 famosas mochilas". Se elevan la* penas si el beneficio obtenido c* cuantioso o el darto causado es gnve. y adems se inhabilita al autor del delito para el ejercicio d e la profesin itbckxud* con el delito com etido (art. 271). Estos artculo* son. en sede penal, la respuesta a esa lacra de nuestro tiempo que es b piratera informtica.

www.FreeLibros.me
I AtDfTOKlA IMOftUnCA: U \ fc.NFOQlt PHACTK~Q___________________________ t u Esta resulta muy daAina para el desarrollo informtico, pero entendemos que tk con la am ena/a de una sancin penal n o se soluciona el problema. Es necesaria m labor educativa, pues hasta que no hayamos convencido al infractor de que cumio est copiando ilcgalmcnte un programa de computador ex com o si estuviese rotado la cartera a otra persona, difcilmente se hallar solucin. Insistimos: resulta vital ea labor educativa. D elitos de falsedades Las falsedades se contemplan en el T itulo XVIII del Cdigo. La asimilacin q e eI hace el artculo 387 de las tarjetas de dbito y de crdito a la moneda es irnj I im portante de cara a la defensa de stas frente al ataque criminal de que estn scenij objeto. En el artculo 3S6 se sanciona su falsificacin y puesta en circulacin. A la falsificacin de los documentos pblicos oficiales y mercantiles y de le# despachos transmitidos por los servicios d e telecomunicacin se dedica la Seccin 1 * del Captulo II de este Ttulo (aiu . 390 a 395 y 400). Com o decamos al principio d artculo 26 del Cdigo, al considerar documento todo soporte material que exprese o incorpore datos con eficacia probatoria o cualquier tipo de relevancia jurdica percitc que cualquier artculo del Cdigo que se refiera a un documento pueda ser aplicad) i ste aunque sea electrnico.

6.6. LOS C O N TR A TO S INFORM TICOS

El contrato informtico, segn DAVARA RODRGUEZ1 e s aquel cuyo objeto es un bien o un servicio informtico - o a m b os- o que una de las prestaciones de lar parte tenga p o r objeto ese bien o servicio informtico. ~ N o exiMe un ntonerus clausus d e los contratos informticos y pueden seguir multiplicndose, lo que viene sucediendo en funcin de los avances tcnicos y de mayor utilizacin por la sociedad. Los contratos informtico* se suelen dividir en tres grandes grupos: hardware, software y servicios. Entendemos que esto divisin no responde ya a la realidad, y para una mayor clarificacin del problema y una mayor homogeneidad esta clasificacin se debe ampliar del siguiente modo:

MIGUEL ANGEL DAVARA RODRGUEZ Ow V liformto. Aruva*. Pw*>lou. I99J. t*t 2H

www.FreeLibros.me
CAWTVhO liL MARCO IlIRlMCO Oti LA AUDTORAIXKMIMT1CA 137 1. 2. 3. 4. 5. Contratacin del hardware. Contratacin del software. Contratacin de datos. Contratacin de servicio*. Contratos complejos.

Hnvu el presente, el tercer grupo dedicado a los servicios venia siendo una opcoe de cajn de sastre donde iban a parar todo* los contratos que no se referan etpeoficamente al hardware o al software. Asf contemplbamos en ese grupo la cocKrcialiiKtn de los datos y una serie de contratos de cierta complejidad que comprendan en s mismos aspectos de hardware. de software y de servicios.

Contratacin del hardware El objeto de la contratacin en esta clase de contratos es el hardware, o sea, la pira fsica del computador y de sus equipos auxiliares. Este tipo de contratos no suelen presentar problemas especficos. Los contratos nis usuales son los siguientes: a) b) c) d) Compraventa Arrendamiento. Arrendamiento financiero (leasing) Mantenimiento.

Ccatratacin del software Ya nos hemos referido a esta categora de bienes anteriormente y a sus especiales peculiaridades. Los contratos ms com entes son los siguientes:

Desarrollo de software Se trata del caso en que una persona fsica, un colectivo o una empresa crean un teft**re especfico, a medida para otro. E l tipo de contrato puede ser: arrendamiento de servicio o de obra, mercantil o laboral.

Ucencia de uso Ei el contrato en virtud del cual el titular de los derechos de explotacin de un projranu de computador autoriza a o tro a utilizar el programa, conservando el cedente

www.FreeLibros.me
IU MlHTOftlA INKIWIMK'A I VHSHJtJtl. fHACTKO la propiedad del mismo. Esta autori*tkm, salvo pacto e n contrario, se entiende de carcter no exclu vo e intransfcriMc.

Adaptacin de un software producto Se trata le la contratacin de una licencia de uso d e un producto estndar q* j habr que adaptar a las necesidades del usuario.

M antenimiento El contrato de mantenimiento, en principio, tiene por objeto corregir cualquo error detectado en los programas fuera del periodo de garanta. Se consideran vina tipos de mantenimiento: correctivo, d e adaptacin, perfectivo y preventivo.

Garanta de acceso a l cdigo fuente Es aquel que tiene por objeto garantizar al usuario el acceso a un programa foeMt en el caso de que desaparezca la empresa titular d e los derechos de propoeda] intelectual. Consiste e n el depsito del programa fuente en un fedatario pblico, qx k> custodia, por si en el futuro es preciso acceder al mismo.

C o ntratacin de datos El valor de la informacin en esa sociedad del saber a la que nos referamos aetej aumenta cada da. La comercializacin de las bases de dalos e s ya muy importante, y la apertura de esav autopistas d e la informacin, d e las que tanto se escribe, har erees cxponencialm ente esc mercado. I-os principales contratos son los siguientes:

Distribucin de la informacin El contrato d e distribucin, segn PEZ MA* consiste en le comercializacin d e la base d e datos, durante un cierto perodo de tiempo a cambio de un precio, lo que origina la obligacin p o r p<irte d e l titular de la base d e aportar los datos que deben hacerse accesibles a los futuros usuarios, en una fo rm a adecuado para su tratamiento p o r el equipo informtico del distribuidor, y ceder a este ltimo.

' JORGE PEZ MA$. BasesdedatefurUiem. Cmdoc CSIC. MiilnJ. 1994. pig. ISfe

www.FreeLibros.me
CAPtTtLO fcL S tAKCORHItHCO D IA AI;HT<ilA INIOKMT1CA IW t* eiclusiva o compartidos con otros distribuidores, los derechos de explotacin que prt\ramente haya adquirido po r cesin o transmisin d e los autores d e las obras ",

Suministro de informacin Mediante este contrato el usuario puede acceder, siempre que k> precise, a Us toses de datos del distribuidor. Compra Es un contrato por el que el titular propietario de una base d e datos vende a otro ni copia de sta con b posibilidad de que el adquirentc. a su vez. pueda no slo siria uno mezclarla con otras propias para despus comerciar con ellas. Todo ello, por wpuesto, respetando lo dispuesto en la Ley 5/1992.

Cesin Es un caso parecido al a m enor salvo que slo se permite el uso por el cesionario de la base sin que se le permita la transmisin posterior.

Conpra de etiquetas En este caso no se permite al comprador la reproduccin d e las etiquetas y s su empleo para envos por correo.

Contratacin de servicios Los contratos de servicios informticos ms importantes son los siguientes: Consultara informtica. Auditoria informtica. Formacin. Seguridad informtica. Contratacin de personal informtica. Instalacin. Comunicaciones. Seguros. Responsabilidad civil.

www.FreeLibros.me
C ontrato* complejo* Lo* contratos complejos son aquello* que contemplan lo* m'tem as inforraidet como un todo incorporando al objeto del mismo, tanto el hardware como el to/ruarj alguno* servicios determinados. Lo* m i* usuales son lo* siguiente*: i)

Contratacin global o parcial d e te n i d o s informticos (outsourcing) Se trata de la subcontratackSn de lodo o de parte del trabajo informtico media., un contrato con una e m p ro a externa que se integra en la estrategia de la empraa; bu*ca disertar una solucin a los problema* existente*.

Contrato de respaldo (back-up) Su finalidad es asegurar el mantenimiento de la actividad empresarial en el ciso de que circunstancias prevista* pero inevitable* impidan que siga funcionando d sistema informtico.

Contrato de l!a\e en m ano (tum-key-packagc) n esta d a se de contratos el proveedor se comprom ete a entregar el siuen* creado donde el cliente le indique y asume la responsabilidad total de disrio, realizacin, prueba*, integracin y adaptacin al enlom o informtico del ctenle uro lgico com o fsico.

Contrato de suministro de energa informtica Com o se tala GETE-ALONSO y CALERA* es: aquel mediante el que una pont - e l sum inistrador- poseedor d e una unidad central q u e permanece en sus lcala pone a disposicin d e l usuario la misma, lo que le permite e l acceso a lo t 'softxare', a cambio de un precio ".

* MARIA DEL CARMIN GETE-ALONSO > CALERA. La (oainiiaeto tn mafrita La !< > ntm JOOS. NUdJ. nu>o 1992. plg 10

www.FreeLibros.me
8.7. EL INTERCAMBIO E LEC TR N IC O DE D A TO S

En la poca en que vivim os todas las organizaciones, tanto privad** como pfttkas. deben mejorar su productividad examinando los diferentes factores que pueden influir en los resultados. Entre estos fa c to r se encuentran algunos de especial importancia como la ftduccin de coste, la agilizacin administrativa y la eliminacin de errores. E tfo se foede mejorar eliminando intermediarios entre el origen y el destino de ios data*. Como fruto de esta necesidad d e comunicarse con rapidez y seguridad en el mando actual nace el Intercambio Electrnico d e D atos conocido intemacionalm cnte por sus siglas en ingls EDI (Electronic D ata Interehange) que e s un sistema informtico que permite las transacciones comerciales y administrativas directas a travs del computador sin necesidad d e realizar ningn trmite. Significa ahorro de betapo y de papel. Podemos definir el EDI com o el intercambio de datos en un formato normalizado ire los sistemas informtico de quienes participan en transacciones comerciales o faiafotrativas. Un menta de este tipo ha de cum plir tres requisitos bsicos: - El intercambio se ha de realizar por medios electrnicos. - El formato tiene que estar formalizado. - La conexin ha de ser de computador a computador. En un sistema EDI son las aplicaciones informticas de las empresas o de las Administraciones Pblicas las que "dialogan" entre si sin necesidad de intervencin besana. Significa, y esto e s lo que nos interesa, el reemplazo del papel como elemento nnuncial de la vinculacin y comunicacin ncgocial por un soporte informtico. Las razones que se pueden esgrimir para la im plantacin del EDI son: Precisin. Velocidad. Ahorro. Beneficios tangibles. Satisfaccin del diente.

www.FreeLibros.me
u : iM'WTOKlA INFORMATICA: UN F.VFOQtlEF*CTKt> FJ F.DI e s aplicable en el comercio, la industria, el trasp o rte > las diertski Administraciones Pblicas. La aceptacin legal del EDI es un tema de suma importm eia, sin dixla detris de la organizacin del mismo subyace un entendim iento entre la* partes que in te rn e n que estn dispuestas a aceptar una serie de obligaciones y de renunciar a cim a derechos a efectos del buen funcionamiento del sistema. listo derechos y obligaciones se plasman en los correspondientes contratos: d contrato de intercambio d e informacin y el contrato con las compartas ic comunicaciones.

6.8.

LA TR A N SFER EN C IA ELEC TR N IC A DE FONDOS

Una Transferencia Electrnica de Fondos (a partir de ahora THF> puede significa; muchas cosas. Si consideramos un concepto am plio de la mi-.ma puede abarcar iota tipo de envos de fondos que se realicen por medios electrnicos. Se puede definir como la transferencia d e fondos que de forma automtica a ejecutada inmediata y sim ultneamente a la orden dada por e l titular d e la coca bancaria por medio de un sistema electrnico. Podemos considerar que existen cuatro tipos principalci d e T E F que han id apareciendo en el tiempo, co n sisen y son operativos en la actuilidad: Transferencias entre entidades financieras. Transferencias entre otras organizaciones y las entidades financieras. H! usuario colabora y . mediante las tarjetas de plstico y los cajera automticos, obtiene una serie de servicios bancarios. Se potencia el sistema con term inales en lo s puntos c venta y el banco en casa.

Por su gran trascendencia social nos referirem os a continuacin al fenmeno de las tarjetas de plstico. Las tarjetas de plstico o tarjetas com o medio d e pago, por ahora fas denominaremos as. con su continuo y ascendente desarrollo, se estn conviniendo en un medio de pago cada vez ms im portante en el trfico mercaitil sustituyendo poco poco al dinero papel y el cheque. La Unin Europea siempre sensible a aquellos problemas que puedan tena alguna trascendencia de cara a la creacin del mercado tilico y asimismo a la constitucin de la Europa de los ciudadanos, ha dedicado una Comunicacin, d a

www.FreeLibros.me
CAP<niL06 H. .UAKCOJVKlDICO DE LA AUWTOKlA IStOHMTKA IO Rccccxndacioncs y una Directiva a aomufancin e intcropcrabilidad. los sistemas de pago electrnico, su

Aunque existen notas comunes entre los diversos tipos de tarjetas. la fereo: acin entre ellas viene dada por su contenido contractual (derechos y Mipciones) con independencia de la denominacin que les otorgue la entidad cstsora.

Tarjetas propiam ente de crdito Son aquellas que. com o su nombre indica, proporcionan un crdito al titular de la

Tarjetas de dbito Emitidas por Entidades de Crdito, permiten a sus usuarios realizar compras en los establecimientos comerciales y a la vez. ofrecen una gama de operaciones tacanas. En principio no estn limitadas a un solo establecimiento comercial vinculudo necesariamente la tarjeta a una cuenta corriente bancaria. Estos dos tipos de tarjetas nos permiten utilizar los cajeros automticos y los terminales puntos de venta. El Cdigo Europeo de Buena Conducta en materia d e pago electrnico contenido ea la Recomendacin de 8 de diciem bre d e 1987 respecto a los contratos dice: 'a l Los contratos celebrados entre los emisores o su representante y los prestadores o los consumidores revestirn la form a escrita y debern ser objeto de una peticin previa. Definirn con precisin las condiciones genrate y etpeeifieos J e t acuerdo. b) Se redactarn en la/s lengua/s oficiales d e l Estado miembro en <fue se haya celebrado. c) Cualquier tari faetn del baremo de cargas se fija r con transparencia te niendo en cuenta tas cargas y riesgos reales y n o supondr ningn obstculo a la Ubre competencia. d) Todas las condiciones, siempre que sean conforme a la Ley. sern libremente negociables y se establecern claram ente en e l contrato.

www.FreeLibros.me
e t I jis condiciones especificas d e rescisin d e l contrato se precisarn y cok* mearn a las partes d e la celebracin del contrato." E n sntesis !o que se hosca en esta Recomendacin transparencia, y que didas a las condiciones en que se establecen estos contratos, la pane ms fuerte no u lp I beneficiada. En el mundo empresarial la implantacin de esta* nuevas tecnologas por paite de las Entidades Financieras ha favorecido una evolucin histrica en el concepto de I que era la tesorera en las empresas, que ha pasado d e ser una tesorera porametfc administrativa a ser una tesorera de gestin que puede y debe generar beneficios por s misma. El conocimiento inmediato d e posiciones y operaciones y la transferencia ca instantnea permite reducir provisiones y al mismo tiempo situar el dinero en el lupr donde ms produzca.

6.9. LA C O N TR A TA C I N ELEC TRN IC A

En una primera aproximacin al tem a por contratacin electrnica o contraucia por medios electrnicos se puede entender todo intercambio electrnico de d<M o documentos cuyo objeto sea la contratacin. Sin embargo, en todos ellos no se pactan las clusulas del contrato en el milite momento del intercambio electrnico. As vemos en los epgrafes anteriores que un el intercambio electrnico de datos (EDI) como la transferencia electrnica de forado* (TEF) son el resultado de un macrocontrato anterior realizado por el siuesu tradicional en el que las partes han fijado los trm inos del mismo y e n el que m urta veces lo que hacen es renunciar a una serie de posibles derechos. En este epgrafe nos referiremos a otro tipo de contratacin electrnica: aqaellt en la que el contrato se establece en el momento de la transaccin electrnica sin que se tu y a |a.I a Iu nuda m xcvuiaincm c con anterioridad. M. SCHAUS" dice que en la form acin del contrato estas nuevas tecnologa influyen desde tres pticas diferentes: Desde el grado de inmediatez.

www.FreeLibros.me
CArtnilOfc EL MARCOJURDICODE LA AUttTORlA INFORMTICA MS - Desde la calidad del dilogo. - Desc la seguridad.

Desde ri grado de inm ediatez En nuestro derecho existe disparidad d e criterios entre el Cdigo Civil y el de Comercio a la hora de determinar en qu momento se perfecciona el contrato. El articulo 1262 del Cdigo Civil dice: "El consentimiento se manifiesta p o r e l m a rn o de la oferta y de la aceptacin sobre la cosa v la causa q u e han de constituir rl contrato, l a aceptacin hecha p o r c a n a no obliga a l que hizo la o ):n a sino desde fK lleg a su conocimiento. E l contrato, en ta l caso, se presum e celebrado en el Ufxr en qve se hizo la ofena. ~ Por su pane en el artculo 54 del Cdigo de Com ercio selala: "L 01 contratos que u ctlrbren por correspondencia quedarn perfeccionados cuando Us contratantes hieren aceptado su propuesta. "

Desde la calidad del dilogo Entre los diferentes procedimientos existentes hoy da el que m a y x se asemeja a na dilogo es la videoconferencia. E n ella lo interlocutores pueden preciar no slo d contenido del mensaje, sino tambin la entonacin, gestos y silencios El telfono ofrece idnticas posibilidades excepto que los iivcriocutores no {don verse.

Desde la seguridad Desde el punto de vista jurdico el concepto d e seguridad se refiere a la Beatificacin de la identidad del usuario y a las huellas que deja la transaccin y que fuedee ser utilizadas como prueba. Vemos que del grado del cumplimiento de estos tres aspectos, admitiendo que se d n en la contratacin electrnica, depende en gran pone su inclusin como una nueva forma de contratacin, con sus peculiaridades, pero dentro de u iu ortodoxia costra: tual. A fin de comprobar si existe un acuerdo de voluntades cMre las partes tratantes a los efectos del art. 1261 del Cdigo Civil es importarte clasificar los

www.FreeLibros.me
diferente), tipos de contratacin electrnica que se pueden presen lar e n funcin de cmo acta la parte contratante emisora y la pane contraame receptora. Pm sim plificar consideraremos que ambas parles actan d e la misma form a, aunque ro supondra ningn problema que esto no fuese asf. Sin desear ser exhaustivos consideramos que se pueden presentar los siguientes casos: a) b) c) d) e) Com unicacin entre dos computadores personales. Com unicacin entre varios computadores personales a travs d e un Centro de Compensacin. Com unicacin entre dos sistemas informticos. Com unicacin entre varios sistemas informticos mediante un Centro de Compensacin. Comunicacin entre dos Sistemas Expertos.

I x casos b) y d) sim plemente los apuntamos para dejar constancia de sa existencia. En los casos a) y b) el computador se lim ita a transferir una informacin qse contiene una expresin de voluntad contractual. En principio, salvo que existan problem as de autentificacin a los que n a referiremos ms adelante, entendemos que esta voluntad transmitida forma parte de ur negocio jurdico vlido. El problema se complica en los casos c) y d) cuando los que estn ea comunicacin son dos sistemas informticos (computadores) y lo que se transmite r se lim ita a ser slo una informacin que incorpora una voluntad contractual, sino que sta puede, venir alterada por una serie de aspectos que incorpora el propio sistema informtico. Problemas que se nos pueden presentar en la contratacin electrnica son: identidad de los contratantes, extensin o no de este tipo de contratacin a todos los contratos, cundo y dnde se concluye el contrato?, a u ten tica ci n , factor tiempo y confidencialidad. Los avances tecnolgicos y la adaptacin del Derecho a estas nuevas situaciocw deben superar los obstculos que la generalizacin de una forma de contratacin presenta.

www.FreeLibros.me
6.10. EL D OCUM EN TO ELECTRN ICO
E< com ente identificar documento con soporte papel y escritura, pero esto no skmffc es as, P j/a ROUANET M O SC A RD " un documento es: "Un objeto normalm ente a trito en el que. p or u n to , se plasm a a lgo mediante letras u otros signos trazados o impresos sobre e l papel u otra superficie, pero que e.xcepcionalmente puede n o ser escrito: y e t un objeto en e l que puede representarse un hecho natural o un acuerdo de wiiuntades (hecho w luntario. arte o negocio) o se r e l resultado de una actividad o de un procedimiento." PRIETO CASTRO define el documento como el objeto o materia en que consta por escrito una declaracin de voluntad o de conocimiento o cualquier expresin del pensamiento, segn resulta de los preceptos de la legislacin positiva. Los conceptos anteriores tienen e n comn que hablan de un escrito, aunque el pnmero admite la exccpcionalidad d e que no lo sea. Escribir, segn el Diccionario d e la le n g u a Espaola, es: Representar lar palabras o las ideas con letras u otros signos trazados en papel u o tra superficie. Por tanto, el documento no ha d e ser siempre papel, sino que puede ser otro objeto o materia y la representacin de las palabras o las ideas puede hacerse por otros signos distintos de las letras. Dichos signos pueden ser la codificacin binaria y la superficie distinta del papel puede ser un soporte informtico. De todo ello podemos deducir que el documento electrnico pertenece a la categora de los documentos e n sentido jurdico. El problema para una aceptacin generalizada d e este tipo de documento puede M v en la ncccsidod de la sefuridud <lc que la traduccin d*l l-inguaj a mquina i un lenguaje natural sea la correcta y no en la propia esencia del documento. Coincidimos con DAVARA RODRGUEZ cuando dice que el problema de la firma que conlleva, en muchos casos, la autenticacin del documento, puede ser. sin Ada, el caballo de batalla para una total aceptacin a efectos probatorios d e este tipo de documentos.

JAVIER ROCANETI MOSCARD

V a h ep r o b a to r ip n x n a tM

i v m m iqfiuiwilia.

www.FreeLibros.me
Un documento escrito c sti compuesto de datos y de impresin en un soporte, impresin comprende, la mayora de la* veces, la representacin d e un hecho y h firma. La firma suele tener tres funciones: idcnliftcaliva. declarativa y probatoria. Esto significa que sirve para identificar quin e s el autor fcl documento, declare que el autor de la firma asume el contenido del m ism o y permitir verificar si el ana de la firma e s efectivamente aquel que ha sido identificado c u n o tal en el cato de h propia firma. Notas im portantes de la firma son la habitualidad y ser autgrafa u olgraf* puesta de puo y letra por el firmante. Hasta el presente, ste ha sido uno de los principales sistemas de autentificacita, aunque no es el nico; pero en el futuro tendr que ser sustituido en nmeros ocasiones. I.os avances tecnolgicos estn obligando a que la firma manuscrita wa sustituida por otro sistema, en este caso electrnico. Una firma digital o electrnica es una seal digital representada por una cabra de bits. Este tipo de firma ha de ser secreta, fcil d e producir y de reconocer y difcil de falsificar. En el caso de la firma manuscrita el fedatario pblico d a k de la autenticidad dd documento. El em pleo de la firma digital obliga a la aparicin de una nueva figura: d fedatario electrnico, liste ha de ser capaz de verificar la autenticidad de lot documentos que circulan a travs d e las lineas de comunicaciones. En cualquier caso los avances tecnolgicos que se estn pr xluciendo quizs en w futuro cercano hagan aconsejable darle un carcter autnom o a este tipo de prueba coi todos los problem as que esto pueda conllevar.

6.11. L EC TU R A S RECOM ENDADAS

Das ara Rodrguez, Miguel ngel. D erecho Informtico. A ramadi. Pamplona. 1993. Pez M arti. Jorge. Bases de D atos ju rd ic a . Cinoc. CSIC. Madrid. 1994. Peso N avarro. Emilio del y Ramos Gonzlez. Miguel ngel. Confidencialidad y seguridad de la informacin: la IXRTAD y sus im plicacitnes socioeconmicas. Daz de Santos. Madrid. 1994,

www.FreeLibros.me
C H *_______________ CAPflVLQ6:O.MAItCO)tldD>COI)HI.A AUDrTOtU*P<TOKMAHCA l-W Ptso Navarro, Emilio <lel: Ramos Gonzlez, Miguel ngel; Fernndez Snchez. Carlos Manuel e Ignoto Azaustre, Mara Jos. M anual d e Dictmenes y peritajes informticos D a /d e Sanios Madrid. 1995. ftv> Navarro. Emilio del y Ramos Gonzlez. Miguel ngel. LO R IA D : Reglamento Je Seguridad. Daz de Sanios. Madrid. 1999. Pe Navarro, Emilio del. La Ley de Proteccin de Datos. L a nuevo LORTAD. Daz de Sanios. Madrid. 2000.

6.12.
1.

CUESTIO N ES DE REPASO
Cul e s la diferencia entre Informtica Jurdica y Derecho Informtico?

2. Cules son los principios de la LOPD? 3. Cules son los derechos patrimoniales en el derecho de autor? 4. Qu es U multimedia? 5. Qu es una estafa informtica? 6. Realice una clasificacin de las contratos informticos. 7. Qu e l EDI? 8. Cul e s la diferencia entre una tarjeta d e crdito y una de dbito? 9. Cul e s la diferencia entre contratacin informtica y electrnica? 10. Qu es un documento electrnico? contratacin

www.FreeLibros.me

CA PTU LO 7

D E O N T O L O G A D E L A U D ITO R ________ IN F O R M T IC O Y C D IG O S T IC O S
Jorge Pez Mu

7.1. INTRODUCCIN
En el denominado "nuevo orden mundial". caracterizado por unas directrices cmicas, en permanente cambio, estrechamente vinculada a lo* continuo* avances tecnolgico*, tratar tema* relacionado* con la dcoruotogfa. la tica o la moral, implica necesariamente hacer un alto en el camino, dejar al lado las mltiple* y a menudo abnjrdat motivaciones econmico-profesionales y. sin las premuras derivadas del ritmo de vida que aparentemente esta sociedad impone, reposadamente, con sosiego, ajercrw e en el mundo interno subjetivo de la conciencia para observar la concepcin himiBiuica que. com o persona*, sta pone d e manifiesto com o mximo exponente de b propia y autntica identidad. Una vez realizada dicha prospeccin interna se estar en condicione* de. dada la sriiueca naturaleza social del hombre, poder ati*bar en el mundo extem o, donde ste realiza *u convivencia, observando lo* valores morales imperantes, representativo* del p ulo de evolucin social de la comunidad que lo* ha asumido como propias. La primera observacin debera inducir a reflexionar obce lo* aspectos ms (Mimo* ligados a la vida interior de cada cual (creencias, sentimientos, finalidad Ideolgica, proyecto de vida. ele.), que globalmcntc considerados han de poner de aanifiesto la propia e intrnseca realidad individualizada, e s decir, la genuina identidad personal.

www.FreeLibros.me
I AUDrTCHUAtNKHtMTICA: l~NMWOQU . PBAtTICO Esta identidad. inherente a toda persona, debera estar sustentada en l principios morales socialmcntc acusados y preservado a lo largo de los tiemp* principios que. provenientes del espritu y susceptibles, en virtud del libre albedro, de servir o no de gua a la conducta exteriormente manifestida de los individuas, permiten diferenciar a stos del resto d e seres vivos, que caiecen de esa lib e rt de conciencia. Si bien la moral individual est enraizada en forma rica y personalizad, b necesidad de relacionarse y convivir unos individuos con otros en comunidad exije una cierta adaptacin de las diferentes concepciones morales individuales a utas determinadas normas ticas, socialmente asumidas por los miembros integrantes de b comunidad, que facilitan una convivencia pacfica y cnriquecedora comn. Estas normas sociales, reflejo de la idiosincrasia de las diferentes comunidades, ponen de manifiesto los usos y costumbres que regulan mcdi.icainentc las rclackocs entre las personas y grupos que las conforman, considerndose, sin precisar w normalizacin positiva, implcitamente aceptadas por todos, representativas de te principios sociales bsteos reguladores de dichas relaciones (buena fe, conest respeto, solidaridad, etc.). Conviene, en este punto d e la reflexin, resaltar el hecha de que los pri napas morales, en contraposicin con los preceptos normativos materiales, deben so asumidos individual y colectivamente com o propios en feema voluntaria y coi independencia de que se haya, o no. establecido expresamente la obligacin nuterul de cumplirlos, ayudando a configurar una concepcin tica interna de lo que est bie y lo que est mal que constituye la porte fundamental del patrimonio espiritual de ht personas y grupos integrantes de la sociedad que los aceptan c a n o suyos. E s precisamente esa caracterstica de voluntariedad, de ntimo convencimiento de su idoneidad, generada por una previa sensibilizacin pcrsociU y colectiva sobre validez para el cumplimiento de lo* fine* Ideolgicos de los individuos y sociedad que k>s asumen, lo que configura a los principios morales c o n fuente primordial del derecho positivo y eje genuino y autntico de la evolucin social de la humanidad. Junto a estas normas ticas inmateriales, coexisten otras positivas que regulan, es forma coactiva, los deberes y derechos de los ciudadanos integrado* en cadi colectividad. Esta* normas positivas, elaboradas en virtud d d "contrato social" que los ciudadanos implcitamente suscriben con sus gobernantes, se establecen cono reguladores de aquellos aspectos que se considera deben esta- clara y expresa torra: estipulados, a fin de determinar los prin d p io s legales que. de Migado cumpl mica, regulan los deberes y derechos que rigen en la sociedad y que. por ende, pueden ser imperativamente exigible* a cada uno de sus miembros.

www.FreeLibros.me
ca <t i ,u

) t dkin -to mx J a o i auixtow intohm Au c o y ccxgos Eticos t

U complejidad de las relaciones colectivas, la proleccin de 1 ms dbiles contra los abusos de los ms fu en es y la necesidad d e establecer unas normas de comportamiento precisas que. conocidas por todos, sirvan de cauce idneo para la otoctn efectiva d e los posibles conflictos personales qoc puedan generarse en el seno de la comunidad, ha fundamentado el establecimiento y legitim idad de dichos principios legales, si bien se exige d e estos que estn imbuidos por los principios morales, colectivamente asumidos, y que respeten los derechos humanos inKmacionalmcntc reconocidos como conformadores del derecho mundial. Ante esta dicotoma de normas morales y materiales, k cdigos deontolgicos presentan un cien o punto de acercamiento y encuentro entre ambas. Estos cdigos toman, de las normas morales, su faceta intrnsecamente tica, y reflejan el sentir mayoritaro de los profesionales a los que san dirigidos, de lo que se considera como un adecuado comportamiento tico-profesional, sirviendo de reprobacin moral d e aquellas conductas contrarias a lo regulado e n los mismos. Debe tenerse en cuenta que lodo cdigo d eontolgko. entendido co m o conjunto de preceptos que establecen los deberes exigibles a aquellos profesionales que ejerciten una determinada actividad, tiene como finalidad id eo l g ico la de incidir en m comportamientos profesionales estimulando que stos se ajusten a determinados prKiptos morales que deben serv irles de gua. El hecho de que los cdigos deontolgicos deban ser elaborados por los propios profesionales en el marco de los colegios, asociaciones o agrupaciones que los representen, y asumidos en forma generalizada como form a de autorregulacin tica de va actividad, permite que stos incidan en algunos aspectos -inaplicables al resto de odadaaos. ya que fuera de su especfico campo d e aplicacin seran ineficaces e imperantes . sobre los que. en beneficio de la propia comunidad, establecen unas dettiminadas pautas 1c conduca, a ftn V e evitar concuWai. por simple desconocimiento o apata tico intelectual, derechos de terceras personas. Los principios contenidos en los cdigos deontolgicos exigen asimismo, por su opecificidad moral, que k propios profesionales coadyuven a su difusin mostrando u comportamiento conforme a los mismos como medio de sensibilizacin y mejora del prestigio y calidad de su ofido. A este respecto los auditores han de ser conscientes, dada su alta especializacin ea un campo habitualmente desconocido por amplios sectores sociales, de la ctobpcfi que moral mente deben asumir respecto a advertir a la sociedad sobre los n o jos y dependencias que la informtica puede provocar y sobre las medidas que deben adoptarse para prevenirlos, debiendo servir los cdigos deontolgicos de

www.FreeLibros.me
m
auditoria in kwmuca : un kwwh^ ie K cn co

ejemplo y cauce idneo para transmitir. al resto de la sociedad, sin singulares y especficas percepciones, inquietudes y autolimitaciones. Debe tenerse muy presente que si bien los sistemas informticos, sometidas a auditoras, son un mero instrumento al servicio d e la poltica empresarial, el estudio de su estructura, y an ms el acceso a la informacin alm acenada en su seno, perra* i l< auditores obtener una visin y conocimiento tanto de la situacin global como de determinadas facetas de la empresa o sus empleados, e n ciertos casos superior a las de los propios auditados, razn por la cual el sometimiento d e los primeros a unos, a apariencia innecesariamente rgidos y detallados principios dcontolgicos propios de su oficio, resulta de obligada instauracin en favor de los segundos, aun cuando estos ltimos desconozcan tan siquiera la existencia de los mismos y se sorprendan de determinadas actitudes de los auditores acordes con ellos. Los cdigos dcontolgicos toman asimismo, de las normas materiales, las faceos reguladores de determinados comportamientos interpersonales com o salvaguardia de derechos individuales y colectivos susceptibles de proteccin institucional, sirviendo de cauce para coartar, en los m bitos profesionales correspondientes, aquellas conducta contrarias a lo regulado en sus preceptos mediante la imposicin de sanciones, contempladas stas desde una perspectiva disciplinaria merameme profesional. Conviene en todo caso matizar el alcance coercitivo d e las normas deontotgicas. Ya se ha indicado anteriormente que toda persona debe ccftir su conducta a im propias normas morales internas, consustanciales a su identidad, y aceptar la imposicin de unas normas coactivas externas, impuestas como medio de proteccite de la sociedad en la que se encuentra integrada. Sin embargo, e s u s ltimas normas no pueden regular, con total exhaustividad. d com plejo mundo de relaciones interpersonales y an menos profundizar en aspectt puntuales que slo afectan a un reducido grupo de individuos o actividades, so pena de constituir un corpus jurdico conformado por un nmero tan elevado de preceptos que, por su gigantismo, resultara del todo punto inasumiMe por la sociedad y. por ende, intil e inaplicable. L os cdigos dcontolgicos. por el contraro, al restringir su m bito subjetivo a determinados grupos de personas, los profesionales de reas concretas, y acotar su mbito temtico a sus especficos campos de actividad, permiten, sin causar p erjuk ni discrim inacin al resto de integrantes d e la comunidad, establecer, para el ejercicio de determinadas actividades, unos mnimos estndares de comportamiento tico y tcnico configurad ores, a tenor del estado d e la ciencia, de la moral colectiva dd grupo al que van dirigidos.

mu____ CAPftVlO DtxmOUXUA DEL AUTHTO IKIOfcMATICO Y CCTOOS lricos 1 55 Hay que tener presente que. mediante el ejercicio profesional, se pone de narifiesto una de las facetas de la personalidad que ms incide en la valoracin social 4c la actividad desarrollada por las personas a travs de la realizacin de su trabajo. Ciertamente existe un numeroso conjunto de precepto* incluidos en normas m etales provenientes del Derecho Constitucional. Civil, Laboral. Mercantil, etc.. regulan una grao variedad de actos relacionados con la actividad profesional, pero os all de dichos preceptos, y com o fundamento d e los mismos, debe existir una *acnl profesional" que sirva de gua pora determinar cundo un determinado comportamiento profesional es bueno o n u lo (morulmente admisible y beneficioso o ram ente inadmisible y perjudicial). La coercibilidad de los cdigos dcontolgicos debe, por u n to , constreirse a la posicin de medidas disciplinarias, correctoras de comportamientos contrarios a lo tipulado en los mismos, que pongan de manifiesto el rechazo, por el colectivo profesional correspondiente, de aquellas conductas profesionales indignas. E a n medidas suelen estar constituidas por apercibimientos, reprensiones ((Nicas o privadas y. en los casos de grave o reiterado incumplimiento, exclusiones telferajes o definitivas del infractor, del gm po profesional que las ha asumido como probas. Con esta perspectiva se hace preciso, en el momento actual, ir planteando, de forma crtica, la necesidad de sensibilizar a los auditores informticos, integrados en ta sector profesional dotado de una cierta autonoma y coo unas caractersticas muy particulares, de la conveniencia de reflexionar sobre la dualidad d e facetas alegradoras de su comportamiento profesional (comportamiento tcnico cualificado y cempwtamiento tico) a fin de elim inar el error d e creer que su actividad debe vibrarse nicamente en funcin de unos mnimos estndares tcnicos de calidad y fiabilidad obviando los condicionantes ticos que. en caso de conflicto con ooodicionantes tcnicos o de cualquier otra ndole (cientficos, econmicos, procrccioculcs. empresariales, etc.), deben ser considerados co m o prevalentes. Antes de entrar en una aproxim acin d e los diferentes principios deontolgicos q x normalmente ve asocian a la actividad de los auditores, no est d e ms recalcar qec en tanto en cuanto stos no estn plenamente asumidos, com o configuradores de la dimensin tica de su profesin, sera preferible apelar a los comportamientos Bonles individuales, como medio d e ir incidiendo en la sedimentacin de caxepciooes humansticas en el entorno profesional en que se desenvuelven, a pretender imponer unilateralm ente, a travs de agrupaciones, sociedades o colegios profesiceoies. dichos principios.

r .

www.FreeLibros.me

www.FreeLibros.me
7.2. PRINCIPIOS D E O N TO L G IC O S A PLIC A BLES A LOS A UD ITORES INFORM TICOS
1.0* principio deontolgicos aplicables a lo auditores deben ncccsariamo* estar en consonancia con los del resto d e profesionales y especialmente con 1 4 aquellos cuya actividad presente mayores concomitancias con la d e la auditoria, ru b por la cual, en equivalencia con los principio deontolgicos adoptado por difertou colegios y asociaciones profesionales d e nuestro entorno socio-cultural, y sin ncrodt exhaustividad. se pueden indicar com o bsicos, en un orden meramente alfabftkoy ajeno, por tanto, a cualquier ponderacin d e importancia, los siguientes:

7.2.1. Principio de beneficio del auditado

FJ auditor deber ver cm o se puede conseguir la mxima eficacia y rentabibM de los medios informticos de la empresa auditada, estando obligado a pro co * recomendaciones acerca del reforzam iento del sistema y el estudio de las solucxaa m s idneas segn los problemas detectado en el sistema informtico de esta ltm . siempre y cuando las soluciones que se adopten n o violen la ley ni los principia ticos de las normas deontolgicas. F.n ningn caso est justificado que realice su trabajo el prisma del fnopc beneficio, sino que por el contrario su actividad debe estar en todo momento orientadi a lograr el mximo provecho de su cliente. Cualquier actitud que anteponga intereses personales del auditor a los dd auditado deber considerarse com o no tica, ya que limitar necesariamente la aptitud del primero para prestar al segundo toda la ayuda que. a tenor d e su capacitaos, puede y debe aportarle. Para garantizar tanto el beneficio del auditado com o la necesaria independeec del auditor, este ltimo deber evitar estar ligado e n cualquier form a, a intereses de determinadas marcas, productos o equipos compatibles con los de su cliente, debiente eludir hacer comparaciones, entre el sistema o equipos del auditado con los de otro* fabricantes, cuando las mismas slo se realicen coa la intencin d e influir en I decisiones de su cliente y provocar un cam bio hacia esos otros sistemas o productos bien por intereses econmicos particulares del auditor o bien por el mayor conocimiento que tenga de ellos o desee tener. La adaptacin del auditor al sistema del auditado debe implicar una cicru sim biosis con el mismo, a fin d e adquirir un conocim iento pormenorizado de % m caractersticas intrnsecas.

www.FreeLibros.me
c * r fn :io r i)i :on' h > ixx;U m i . auditor informtico y cotcos ftnros i > t A partir de la adquisicin de dicho conocimiento, y con el grado de independencia indicado anteriormente. estar en condiciones d e indicar, si lo considerase pertinente en forma globali/ada o en forma particularizada, las ventajas y desventaja), que el sistem a ofrece respecto a otros sistemas o marcas, debiendo obtener de dicha comparacin una serie de conclusiones que permitan mejorar la calidad y prestaciones del sistema auditado. nicamente en los casos en que el auditor dedujese la imposibilidad de que el siuema pudiera acomodarse a las exigencias propias d e su cometido o considerase excesivamente onerosos los cam bios a introducir para obtener una suficiente fiabilidad acorto y medio plazo, ste podra proponer un cam bio cualitaiivamente significativo de determinados elementos o del propio sistem a informtico globalmenie oootempiado. Una vez estudiado el sistema informtico a auditar, el auditor deber establecer tes requisitos mnimos, aconsejables y ptim os para su adecuacin a la finalidad para la que ha sido diseado, determinando en cada caso su adaptabilidad, fiabilidad, limitaciones, posibles mejoras y costes d e las mismas, con objeto d e presentar al auditado una serie de opciones de actuacin en funcin de dichos parmetros a fin de q x ste pueda valorar las relaciones coste-eficacia-calidad-adaptabilidad de las diferentes opciones, facilitndole un abanico de posibilidades d e establecer una poltica a corto, medio y largo plazo acorde con sus recursos y necesidades reales. El auditor deber lgicamente abstenerse de recomendar actuaciones innecesariameme onerosas, dainas o que generen riesgos injustificados para el auditado, c igualmente de proponer modificaciones carentes de base cientfica contrastada, ineficientemente probadas, o de imprevisible futuro. Una de las cuestiones m s controvertidas, respecto de la aplicacin de este principio, es la referente a facilitar el derecho d e las organizaciones auditadas a la libre eleccin del auditor, lo que implica el deber moral de evitar generar dependencias de los primeros respecto de los segundos, aunque dicho condicionante perjudique determinadas expectativas econmicas de estos ltimos. Igualmente, si el auditado decidiera encomendar posteriores auditorias a otros profesionales, stos deberan poder tener acceso a los informes d e los trabajos anteriormente realizados sobre el sistema del auditado siempre y cuando con ello no se txbcraseo derechos de terceros protegidos con el secreto profesional que el auditor debe en todo momento guardar.

www.FreeLibros.me
15 AUDfTOHMIVKHtStATICA: IX F.NHX**: PttACTICO__________________________ t u

7.2.2. Principio de calidad

H1 auditor deber prestar sus serv icios a tenor de las posibilidades de la ciencia y medios a mi alcance con absoluta libertad respecto a la utilizacin d e dichos meoi y en unas condiciones tcnicas adecuadas para el idneo cumplimiento de .su labee. E n los casos en que la precariedad d e medios puestos a su disposicin impriano dificulten seriamente la realizacin de la auditoria, deber negarse a realizarla tata que se le garantice un mnimo d e condiciones tcnicas que no comprometan la calidad de mis servicios o dictmenes. Cuando durante la ejecucin d e la auditoria, el auditor considerase conven* recabar el informe de otros tcnicos ms cualificados sobre aljn aspecto o incidencia que superase su capacitacin profesional para analizarlo es idneas condiciono, deber rem itir el mismo a un especialista en la materia o re:abar m dictamen pan reforzar la calidad y fiabilidad global de la auditora.

7.2.3. Principio de capacidad

n i auditor debe estar plenamente capacitado para 1a rea i/aci n de la auditora encomendada, mxime teniendo en cuenta que. en la mayora de los casos, dada n espccializacin. a los auditados en algunos casos les puede ser extremadamente difcil verificar sus recomendaciones y evaluar correctamente la precisin de las mismas. Hay que tener muy presente que el auditor, al igual cue otros determinado profesionales (mdicos, abogados, educadores, etc.), puede incidir en la toma de decisiones de la mayora de sus d ie n tes con un elevado grade de autonoma, dada la dificultad prctica d e los mismos de contrastar su capacidad profesional y d desequilibrio de conocimientos tcnicos existentes entre el auditor y los auditados. Debe, por tanto, ser plenamente consciente del alcance de sus conocimientos y de su capacidad y aptitud para desarrollar la auditoria evitando que una sobrecstimaco personal pudiera provocar el incumplimiento parcial o total d : la misma, aun en los casos en que dicho incumplimiento no pueda ser d eted ad o ;o r las personas que le contraten dadas sus carencias cognitivas tcnicas al respecto. Conviene indicar que en los casos d e producirse, por el contrario, una subestimacin de su capacidad profesional, esta circunstancia podra afectar negativamente en la confianza del auditado sobre el resultado final de la auditoria, dejndole una innecesaria impresin d e inseguridad sobre las propuestas o decisiones

www.FreeLibros.me
CAffTVt-O T: DIOVTOIjOGI\DtL Al'MTOK IMOXMT1CO YCCHGOS CUCOS IW A efecto Se garantizar, en la medida d e lo posible, la pertinencia de mi* ccoocitniciKos. el auditor deber procurar que stos evolucionen, al unisono con el deorrollo de las tecnologas de la informacin, en una forma dinmica, evitando una pcmiciosa eMaticidad tcnico-intelectual que. en este cam po de la ciencia, origina tina d& tka reduccin de las garantas d e seguridad y una obsolescencia d e mtodos y tcnicas que pueden inhabilitarle para el ejercicio de su profesin. Conviene por ltimo llamar la atencin sobre la casustica d e la acreditacin de la capacitacin de los auditores con la p reg u n u clsica, adaptada a las circunstancias de ata profesin, de quin audiia a los auditores? Es deseable que .se fortalezca la certificacin profesional de la aptitud de los acdiuxcs para realizar unos trabajos de ndole tan compleja. Esta certificacin que deber tener un plazo de validez acorde con la evolucin de lu nuevas tecnologas de la informacin, debera estar avalada y garantizada por la metodologa empleada para acreditar dicha espccializacin. la independencia de las entidades certificadoras, y la solvencia profesional, objetivamente contrastada, de los frjanos. necesariamente colegiados, que en las mismas se creen con la finalidad de (preciar la form acin y molificacin profesional de los solicitantes de la misma.

72.4. Principio de cautela

El auditor debe en todo momento ser consciente de que sus recomendaciones deten estar basadas en la experiencia contrastada que se le supone tiene adquirid*, evxuxlo que. por un exceso de vanidad, el auditado se embarque en proyectos de futuro fundamentados en sim ples intuiciones sobre la posible evolucin de las nuevas tecnologas de la informacin. Si bien es cierto que el auditor debe estar al corriente del desarrollo de dichas tecnologas de la informacin c informar al auditado de su previsible evolucin, no es menos cierto que debe evitar la tentacin d e creer que. gracias a xas conocimientos, piede aventurar, con un casi absoluto grado de certeza, los futuros avances tccaoSgicos y transmitir, como medio d e demostrar su cualificada espccializacin. dias previsiones como hechos incontestables incitando al auditado a iniciar ilusorios cbsuficicncementc garantizados proyectos d e futuro. Debe, por tamo, el auditor actuar con un cien o grado de humildad, evitando dar la infresin de estar al corriente de una informacin privilegiada sobre el estado real de t> evolucin de los proyectos sobre nuevas tecnologas y ponderar las dudas que le j i n en el transcurso de la auditoria a fin de poner d e manifiesto tas diferentes

www.FreeLibros.me
[M I AUDITORIAISK>RMTKA:IINIl .NIoqi'fc PRACTICO posibles lneas de actuacin en funcin de previsiones reales y porcentaje* de riop calculado* d e las mismas, debidamente fundamentada*.

7.2.5. Principio de comportamiento profesional

H1 auditor, tanto en sus relaciones con el auditado com o con terceras pervx* deber, en todo momento, actuar conforme a las normas, implcitas o explcitas, de dignidad de la profesin y de correccin en el trato personal. Para ello deber cuidar la moderacin en la exposicin d e sus juicios u opinima evitando caer en exageraciones o atemorizaciones innecesarias procurando, en todo momento, transmitir una imagen de precisin y exactitud en sus comentarios qie avalen tu comportamiento profesional e infundan una mayor seguridad y c o n fu sa i sus clientes. El comportamiento profesional exige del auditor una seguridad en <u conocimientos tcnicos y una clara percepcin de su* carencias, debiendo eludir I I injerencias no solicitadas por l. de profesionales de otras reas, en lemas rclaciorudn I o que puedan incidir en el resultado d e la auditoria y. cuando precisase d d ' asesoram iento de otros expertos, acudir a ellos, dejando en dicho supuesto conuaadi I de esa circunstancia y reflejando e n forma diferenciada, en sus informes y dictimcao, las opiniones y conclusiones propias y las emitidas por los mismos. El auditor debe asim ismo guardar un escrupuloso respeto por la poltoa empresarial del auditado, aunque sta difiera ostensiblemente de las del resto dd sector en las que desarrolla su actividad, evitar comentarios extemporneos sobre b misma en tanto no estn relacionados o afecten al objeto de la auditora y analt u pormenonzadamente la* innovaciones concretas puestas en marcha por el audtalo i fin de determinar sus especificas ventajas y riesgos, eludiendo evaluarlas nicameetci tenor de los estndares medios del resto de empresas de su sector. Igualm ente debe evitar realizar actos que sim ulen aplicaciones de tratamiento ficticios, encubran comportamientos no profesionales o den publicidad a metodoJojs propias o ajenas insuficientemente contrastadas y garantizadas.

7.2.6. Principio de concentracin en el trabajo

En su lnea de actuacin, el auditor deber evitar que un exceso de trabajo smete sus posibilidades de concentracin y precisin en cada una de las tareas a d encomendadas, ya que la saturacin y dispersin de trabajos suele a menudo, si no est

www.FreeLibros.me
tu ._______CAPfflH O ?: ttBOVTOtjOGtAPUL AUDITOR IXPOKMXTICOYCOIGOS TICOS 1 * 1 deilamcoic controlada, provocar la conclusin de los mismos sin las debidas pnetas de seguridad. A C'te efecto, el auditor deber sopesar las posibles consecuencias de una cumulacin excesiva de trabajos a fin d e no asumir aquellos que objetivamente no tof. tiempo de realizar con las debidas garantas de calidad, debiendo rechazar o posponer los que en dichas circunstancias se le ofre/can. Asimismo deber evitar la desaconsejable prctica de ahorro de esfuerzos basada en la reproduccin de partes significativas de trabajos o conclusiones obtenidas de trabajos previos en otros posteriores elaborados com o colofn de nuevas auditoras. Por el contraro, s es admisible el que. una vez analizados e n profundidad los aspectos a tener en cuenta y obtenidas las correspondientes conclusiones, se contrasten las rmunas a tenor de la experiencia adquirida y reflejada en anteriores informes, ya que este modo de actuar permite detectar posibles omisiones en el estudio, completar les trabajos sobre el objeto de la auditora incompletamente ejecutado y cubrir las previsiones detectadas por medio de esta comparacin. Este comportamiento profesional permitir al auditor dedicar a su cliente la ttayor parte de lo* recursos posibles obtenidos d e sus conocimientos y experiencias prevu* con una completa atencin durante la ejecucin de la auditora n injerencias o d etenciones originadas por prestaciones ajenas a la misma.

72.7. Principio de confianza

El auditor deber facilitar c incrementar la confianza del auditado en base a una actuacin de transparencia en su actividad profesional sin alardes cen:ffico-tcnicos qoe. por su incomprensin, puedan restar credibilidad a los resultados obtenidos y a la directrices aconsejadas de actuacin. Ee principio requiere asimismo, por paite del auditor, el mantener una confianza ea las indicaciones del auditado aceptndolas sin reservas como vlid as a no ser que observe datos que la* contradigan y previa confirmacin personal de la inequvoca veracidad de lo* mismos. Para fortalecer esa confianza mutua se requiere por ambas partes una disposicin de diilojo sm ambigedades que permita aclarar las dudas que. a '.o largo d e la auditora, pedieran surgir sobre cualesquiera aspecto* que pudieran resultar eoflictivo*. todo ello con la garanta del secreto profesional que debe regir en su

www.FreeLibros.me
IfcJ M DHOKlA inh w m Ai k a un e\to q c e PRCIKO El auditor deber, en consonancia con esta forma d e actuar, adecuar su lenguije al nivel de comprensin del auditado, descendiendo y detallando cuanto haga falta c* mi explicacin debiendo solicitar, cuando lo considere necesario, la presencia de alguno de los colaboradores de confianza de su cliente que pudiera aprtei* determinados aspectos tcnicos cuando precise informarle sobre cuestione* de cm especial complejidad cientfica.

7.2.8. Principio de criterio propio

El auditor durante la ejecucin de I auditora deber actuar con criterio propo jr no permitir que ste est subordinado al d e otros profesionales, aun de reconocido prestigio, que no coincidan con el mismo. En los casos en que aprecie divergencias de criterio con dichos profesional sobre aspectos puntuales de su trabajo, deber reflejar dichas divergencias de jas plenamente d e manifiesto su propio criterio e indicando, cuando aqul est sustentado en metodologas o experiencias que difieran d e tas corrientes profesional mayoritaramctitc asumidas, dicha circunstancia. Lo defensa a ultranza del propio criterio no es bice para respetar las critica adversas de terceros, aunque el auditor debe evitar que. si una vez. analizadas concinta discrepando de tas mismas, stas puedan seguir influyendo en su trabajo, ya que li libertad de criterio impone al auditor la obligacin tica de actuar en todo momento es la forma que l considere personalm ente ms beneficiosa para e l auditado, aun cuan) terceras personas le inciten a desarrollar lineas diferentes de actuacin. Este principio exige asimism o del auditor una actitud cuasibcligcrante en k casos en que llegue al convencimiento de que la actividad que se le solicita, presuntamente para evaluar y mejorar un sistema informtico, tiene otra finalidad ajena a la auditora, en cuyo caso deber negarse a prestar su asistencia poniendo de m anifiesto el porqu de dicha negativa. De igual forma cuando el auditor observe que. de form a reiterada, el auditado * niega, sin justificacin alguna, a adoptar sus propuestas, deber plantearse U continuidad de sus servicios en funcin de las razones y causas que considere puedia justificar dicho proceder.

7.2.9. Principio de discrecin

El auditor deber en todo momento mantener una cierta discrecin en b divulgacin de datos, aparentemente inocuos, que se le hayan puesto de manifiesto durante la ejecucin de la auditora.

www.FreeLibros.me
CApm.nu ? DtovmtxKilA mu. A turro intokmatkt v coijos fenoos im Este cuidado deber extremarse cuando la divulgacin d e dichos d ito s pudiera afectar a derechos relacionados coo la intimidad o profesionalidad de las personas ceudas por los mismos o a intereses empresariales, y mantenerte tinto durante la realizacin le la auditoria como tras su finalizacin.

7.2.10. Principio de economa

El auditor deber proteger, en la medida d e sus conocimiento, tos derechos eMtfmfo de) audiiado evitando enerar gastos innecesarios en el ejercicio d e su actividad. En cumplimiento de este principio deber procurar evitar d ilaci n innecesarias en la realizacin de la auditora. E sta economa de tiem pos permitir al auditado reducir los plazos de actuacin tendentes a solventar los problemas detectados o a la adecuacin a los nuevos mtodos propuestos aportando un determinado valor aadido i) trabajo del auditor. De igual form a, el auditor deber tener en cuenta la economa d e medios sute rales o humanos, eludiendo utilizar aquellos que no se precisen. k>que redundar a reducciones de gastos no justificados. Conviene, e n virtud de este principio, delimitar en la forma m is concreta posible ab Uifu) el alcance y lm ites de la auditora a efectos de evitar tener que realizar estudios sobre aspectos colaterales no significativos, que detraen tiempo y medios para w anlisis, y emitir informes sobre temas circunstanciales o ajeno a la finalidad perseguid*. El auditor deber rechazar las ampliaciones del trabajo en m archa aun a peticin del editado, sobre asuntos no directamente relacionados con la auditora, dejando que de ellos se encarguen los profesionales a d hoc. y evitar entrar :n discusiones, comentarios, visitas de cortesas, etc. que no estn justificadas con la ejecucin de la

En las recomendaciones y conclusiones realizadas en base a su trabajo deber asmino eludir, incitar o proponer actuaciones que puedan generar gastos incccsanos o desproporcionados.

7.2.11. Principio de formacin continuada

Este principio, intimamente ligado al principio d e capacidad y vinculado a la ceotinua evolucin de las tecnologas de la informacin y la-, metodologas relacionadas con las mismas, impone a tos auditores el deber y la responsabilidad de

www.FreeLibros.me
IM M tUTOftU IVKIftVUHCA l'N I.M<XJll ntACTlCO mantener una permanente actualizacin Je sus conocimientos y mtodo a f e dt adecuarlos a las necesidades le la demanda y a Las exigencias le la competencia de h oferta. La progresiva especializacin de sus clientes exige asimismo d e k atxtecn^ para poder mantener el grado de confan/a que se precita p a n dejar en sus marte* d anlisis de las prestaciones de los sistemas informticos, un continuo piar dt form acin personal que implique un seguimiento del desarrollo y oportunidades de la nuevas tecnologas de la informacin para poder incorporar dichas innovaciones, um vez consolidadas, a los sistemas le sus clientes, evitando de esta forma a obsolescencia.

7.2.12. Principio de fortalecimiento y respeto de la profesin

l-J defensa de los auditados pasa por el fortalecim iento de la profesin de b auditores informticos, lo que exige un respeto por el ejercicio. globjJmette considerado. Je la actividad desarrollada por los mismos y un comportamiento ac<*e con los requisitos exigibles para el idneo cumplimiento de la finalidad de fai auditoras. En consonancia con e l principio de defensa de la profcsii de los auditores, to a debern cuidar del reconocimiento del valor de su trabajo y de la correcta valonad* le la importancia de los resultados obtenidos con el mismo. En cuanto a la remuneracin por su actividad profesional sta debera esta acorde con la preparacin del auditor y con el valor aadido q u ; aporta al auditado ca su trabajo, siendo rechazable el establecimiento de ac lerdos que impliques remuneraciones al auditor manifiestamente desproporcionada* tanto por insuficiente como por abusivas, ya que a largo plazo, tanto las unas com o lis otras redundan e* ta debilitamiento del reconocimiento y aprecio d e la profesin. El auditor deber, por tanto, en prestigio de su profesin, evitar competir deslealm ente con sus compaeros rebajando sus precios a lm ites impropios dd trabajo a realizar con la finalidad de eliminar competidores y reducir la competencia profesional, e igualm ente evitar abusar de su especializac.n para impooer un remuneracin com o contrapartida a su actividad profesin^ que manifiestamente exceda del valor objetivo de su trabajo. Com o integrante de un grupo profesional, deber promover el respeto mutuo y b no confrontacin entre compaeros. Este respeto no est rertio. sin embargo, coa b denuncia de comportamientos indebidos, parasitarios o dolos. en los casos en qsr stos le hayan quedado patentes, y a que estas denuncias dehen contemplarse eo d marco de la defensa te la propia profesin como forma de elevar su reconocimiento

www.FreeLibros.me
_______ CAHU I O 7. tHXATOLOPA PCI- AtlDTTO* IXOftMATKO YCODKXK ETICO* M En sus relaciones profesionales deber exigir asim ismo u m reciprocidad en el eocnpxumicnto (ico de sus colegas y facilitar b u relaciones de confraternidad y ano apoyo cuando asi se lo soliciten. Este mutuo apoyo no debe entender* en iiagn caso como conuaprestacin gratuita de asesoramiento, sino com o cauce de elaboracin en temas puntuales que precisen d e una cierta especializacin o coacratacio de opiniones.

7.2.13. Principio de independencia

Este principio, muy relacionado con e l principio d e criterio propio, obliga al adtfcc, tanto si acta com o profesional externo o con dependencia laboral respecto a b empresa en la que deba realizar la auditoria informtica, a exigir una total teoen-.ia e independencia en su trabajo, condicin sta imprescindible para permtete aduar libremente segn su leal saber y entender. La independencia del auditor constituye, en su esencia, la garanta de que los ereses del auditado sern asumidos con objetividad; en consecuencia el correcto tercio profesional de los auditores e s antagnico con la realizacin de su actividad tejo cualesquiera condicione que no permitan garantizarla. Esta independencia implica asimism o el rechazo de criterios con los que no est ptaamerte de acuerdo, debiendo reflejar en su informe final tan slo aquellos que CMMdcre pertinentes, evitando incluir en el mismo aquellos otros con los que disienta oque sea impelido a ello. El auditor igualmente deber preservar mi derecho y obligacin de decir y poner de manifiesto todo aquello que segn su ciencia y conciencia considere necesario, y ib o te n de adoptar mtodos o recomendar lneas de actuacin que. segn su etettiei. pudieran producir peijuicios al auditado, aunque ste asi se lo solicite. A efectos de salvaguardar su independencia funcional, deber eludir establecer dependencias con firmas que la lim iten a fin de evitar que. aun subjetivamente, pueda fm hcine una reduccin de su libertad de actuacin profesional. Conviene, sin embargo, diferenciar esta independencia en su trabajo de la oigeiKu de utilizar el resultado del mismo, lo que obviamente entra en el campo oompetencial de la potestad de actuacin del auditado, el cual puede seguir o ignorar, por las razone* que estime convenientes, sus informes, recomendaciones, ariettackots o consejos sin que ello suponga merma alguna en la independencia del

www.FreeLibros.me
Iftfc Al'DtTORlA IMORMATICA HX tM OQt'f WtCTKO

7.2.14. Principio de informacin suficiente

Este principio de prim ordial nteres para el auditado. obliga al auditor a ser plenamente consciente de mi obligacin d e aportar, en form a pormenori/julamente clara, precisa e inteligible pora el auditado, informacin tanto sobre todos y cada uno de los puntos relacionados con la auditora que puedan tener algn inters para L como sobre las conclusione* a las que ha llegado, c igualmente informarle sobre b actividad desarrollada durante la misma que ha servido de base para llegar a d ic ta conclusiones. Dicha informacin deber estar constituida por aquella que el auditor considere conveniente o beneficiosa para los intereses o seguridad de su d ie n te y estar ei consonancia con la utilidad que pueda tener, e n el presente o en el futuro, para d mismo. Junio a dicha informacin deber asimism o facilitar cualquier otra que le s a requerida por el auditado, aunque la considere intranscendente o poco significatisi siempre y cuando sta tenga una relacin directa y no meramente circunstancial con d objeto de la auditora y no afecte a datos nominativos cuyo deber de secreto le se exigibte. En dichas informaciones deber evitar aportar datos intrascendentes para ui cliente (datos que slo afecten a su propia imagen comercial o profesional del audilce -autopropaganda-, dalos comerciales n o pertinentes, etc.), que slo persigjo incrementar el volumen del informe o justificar la ausencia de determinad precisiones de singular importancia medanle la aportacin de otras de menor inters jr de ms fcil elaboracin pora el auditor. El auditor deber asimism o comprometerse con sus conclusiones, debiente indicar en ellas los defectos observados en el sistem a informtico, las lnea de actuacin que recomienda y las dudas que respecto a las mismas se le plantea* indicando en este ltimo caso si la causa excepcional que las produce se denva de uu insuficiencia de datos sobre el propio sistema, de una falta de conocimientos tcnica del propio auditor que le impide decidirse, con una mnima garanta de fiabilklid. sobre la conveniencia de inclinarse preferentemente por alguna de ellas, o de una inccrtidumbrc sobre posibles evoluciones a medio o largo plazo d e los avances tecnolgicos. Ciertam ente el auditor debe ser consciente de que la exp]citacin de sus dula afectar a la confianza del auditado, pero en cualquier caso es preferible transmitir o a informacin veraz, entendida sta como la que e s exigiblc a lodo huen profesional a el ejercicio de su actividad a tenor de sus conocimientos, que trasmitir, como opiiuii experta, una informacin de la que no pueda garantizar personalm ente su exactitud

www.FreeLibros.me
Ui_______ CArtIVIXH:DC<A'TOtOOUDfXAt'DaOIWXMTICX)YCOKOSfeTKX>S l7 fcs impon ante asim ismo que la informacin trasmitida al aud iu d o ponga de manifiesto una pnidcncia y senado de la responsabilidad, caractersticas estas que tuca deben esta reidas con los principios de suficiencia informativa y d e veracidad, vitando recrear los aspectos negativos o los errores humanos detectados que deben quedar reflejados con un cieno tacto profesional. El auditor debe evitar hacer rccacr la totalidad de inadaptaciones del sistema totee algunos elementos singulares (personales o materiales), ignorando aquellos otros que pudieran tener incidencia en los fallos o anomalas detectadas, por simple ccerwdidad en la elaboracin de sus informes, y huir del e re tism o tn cuanto a la expticiiacin de los m todos utilizados siendo inadmisible que se aproveche para ello de la buena fe del auditado. I-a Ubor informativa del auditor deber, por tanto, estar basada en la suficiencia, coom fa y mximo aprovechamiento de la misma por pone de su cliente, debiendo io&ar junto a sus juicios d e valor, la metodologa que le ha llevado i establecerlos pan. de esta form a, facilitar el que. e n futuras auditorias, puedan apovccharsc los cooodmkntos extrados de la as realizada, eludiendo m onopolio Tcticos y dependencias generadas por oscurantism o en la trasmisin de la informacin.

7.2.15. Principio de integridad moral

Este principio, inherentemente ligado a la dignidad de persona, obl ga al auditor a ser honesto, leal y diligente en el desempeo d e su misin, a ajustarse a las normas morales, de justicia y probidad, y a evitar panicipor. voluntara o inconscientemente, en cualesquiera actos de corrupcin personal o de terceras personas. El auditor no deber, bajo ninguna circunstancia, aprovechar los conocimientos adquiridos durante la auditora pora utilizarlos en contra del auditado o d e terceras personas relacionadas c on el mismo. Dorante la realizacin de la auditora, el auditor deber emplear la mxima diligencia, dedicacin y precisin, utilizando para ello todo su saber y ctender.

7.2.16. Principio de legalidad

En todo momento el auditor deber evitar utilizar sus cono;imientos para balitar, a los auditados o a terceras personas, la contravencin de la legalidad vigente. Eo ningn caso consentir ni colaborar en la desactivacin o eliminacin de positivos de seguridad ni intentar obtener los cdigos o claves de acceso a sectores rearingidos de informacin generados para proteger los derechos, obligaciones o Mereses de terceros (derecho a la intimidad, secreto profesional, propiedad iMekctual. etc.).

www.FreeLibros.me
iw auditora isKxmA'nCA: un ENFOQtt Htcnco________________________ eum De igual forma los auditores debern abstenerse de intervenir lincas de comunicacin o controlar actividades que puedan generar vulneracin de derecho) personales o empresariales dignos de proteccin. La primaca de esta obligacin exige del auditor un comportamiento acuso de oposicin a todo intento, por parte del auditado o d e terceras personas, tendee i infringir cualquier precepto integrado en el derecho positivo.

7.2.17. Principio de libre competencia

La actual economa de mercado exige que el ejercicio de la profesin se reala en el marco de la libre competencia, siendo rechazables, x ir tanto, las prfctk colusorias tendentes a im pedir o lim itar la legtim a competencia de otros profesional y las prcticas abusivas consistentes en el aprovechamiento ea beneficio propio, y ea contra de los intereses de los auditados, de posiciones predominantes. En la comercializacin de los servicio de auditora informtica deben eviune u n to los comportamientos parasitarios como los meramente desleales, entendidos lo< primeros com o aprovechamientos indebidos del trabajo y reputacin de otros a beneficio propio, y los segundos c o n intentos d e confundir a los demandantes de dichos servicios mediante ambigedades, insinuaciones o puMualizacioncs que sb tengan por objetivo enmascarar la calidad y fiabilidad de la oferta.

7.2.18. Principio de no discriminacin

El auditor en su actuacin previa, durante y posterior a la auditora, deber evitar inducir, participar o aceptar situaciones discriminatorias de ningn tipo, defecado ejercer su actividad profesional sin prejuicios de ninguna clase y con independencia de las caractersticas personales, sociales o econmicas de sus d ie tte s. Deber evitar cualquier tipo de condicionantes personalizados y actuar en lodw las casos con sim ilar diligencia con independencia d e los beneficias obtenidos del auditado, de las sim patas personales que tenga hacia ste o de cualquier otn circunstancia. Su actuacin deber asim ismo mantener una igualdad de rato profesional eco li totalidad de personas con las que en virtud de su trabajo tenga que relacionarse evo independencia de categora, esu tu s empresarial o profesional, etc.

www.FreeLibros.me
IX)7: OtONTOLOOtA DCL AlDtTOR INFORMATICOYCOPOOS ICTICOS tW

7.2.19. Principio de no injerencia

El auditor, dada la incidencia que puede derivarte de su tarca deber evitar gerencias en los trabajos de otros profesionales, respetar su labor y eludir hacer comntanos que pudieran interpretarse com o despreciativos de la m i na o provocar oa cieno desprestigio de su cualificacin profesional, a no ser que. por necesidades de la auditora, tuviera que explicitar determinadas nidoneidades que pueran afectar a las conclusiones o el resultado de su dictamen. Deber igualmente evitar aprovechar los datos obtenidos d e la auditora para entrar en competencia desleal con profesionales relacionados con ella de oras reas del conocimiento. Esa injerencia es mayormente reprobable en los casca en los que se ircida en aquellos campos de actividad para los que el auditor no se encuentre plenamente capacitado.

7.2.20. Principio de precisin

Este principio estrechamente relacionado con el principio de cald ad exige del auditor la no conclusin de su trabajo hasta estar convencido, en la medida de lo poble. de la viabilidad de sus propuestas, debiendo ampliar el estudio del sistema informtico cuanto considere necesario, sin agobios de plazos (coa la excepcin de lo ya indicado anteriormente respecto al principio de economa) siempre que se cuente ooo U aquiescencia del auditado, hasta obtener dicho convencimiento. En la exposicin de sus conclusiones deber ser suficientemente crtico, no efediendo poner de manifiesto aquellos aspectos concretos que coitsidcae puedan tener ura cierta incidencia en la calidad y fiabilidad de la auditora, ni quedndose en (tonalidades o indefiniciones que por su amplitud o ambigedad slo pretendan cubrir al auditor de los riesgos derivados d e toda concrecin en detrimento d e los derechos e intereses del auditado. Ex exigible asimism o del auditor que indique com o evaluado nicamente aquello qoe directamente, o por medio de sus colaboradores, haya comprobado u observado de i fenna exhaustiva, eludiendo indicar como propias y contrastadas las observaciones ! parciales o incompletas o las recabadas de terceras personas.

72.21. Principio de publicidad adecuada

La oferta y promocin de los servicios d e auditora debern en iodo momento ajotarse a las caractersticas, condiciones y finalidad perseguidas. sieado contrara a

www.FreeLibros.me
I AUDITORIA INFORMTICA UN llXHXftlt PRCTICO___________________________ >M U etica profesional la difusin de publicidad falsa o engaosa que tenga como objcvo confundir a los potenciales usuarios d e dichos servicios.

1.a defensa del prestigio d e la profesin obliga asimism o a los aminoro informticos a evitar las campaas publicitarias que, por su contenido, pueda desvirtuar la realidad de sus servicios, enmascaren los lim ites de los misad, oscurezcan sus objetivos o prometan resultados de imprevisible, cuando no impcoafcle, consecucin.

7.2.22. Principio de responsabilidad

El auditor deber, conto elemento intrnseco d e todo comportamiento profcHorul. responsabilizarse de lo que haga, diga o aconseje, sirviendo esta forma de actuar cccno cortapisa de injerencias cxtraprofeaonales. Si bien este principio aparentemente puede resultar especialmente gravoso a auditoras de gran complejidad, que por otra parte son las h a b itu a l encomendadas a los auditares informticos, es preciso tenerlo presente a fin de pote garantizar su responsabilidad en los caso* e n que. debido a errores humanos durante b ejecucin de la a uditora se produzcan daos a su cliente que le pudieran sor imputados. Por ello e s conveniente impulsar la ormalizacin y suscripcin de seguro, i adaptados a las peculiares caractersticas de su actividad, que cubrui h responsabilidad civil de los auditores con una suficiente cobertura a fin d e acrece la confianza y solvencia de su actuacin profesional. Obviamente las compaas aseguradoras podrn introducir determinados mWuta correctores del coste de suscripcin de las correspondientes plizas a tenor de Ib garantas que los auditores puedan aportar (certificaciones profesionales, aos de experiencia, etc.), lo que avalara una ms racional estructuracin de la oferta La responsabilidad del auditor conlleva la obligacin d e resarcimiento de 1 daos o perjuicios que pudieran derivarse d e una actuacin negligente o culposa i bien debera probarse la conexin causa-efecto originaria del dao, siendo aco n se j estipular a priori un tope mximo de responsabilidad sobre los posibles daos accede con la remuneracin acordada como contraprestacin por la realizacin de la auditorit

7.2.23. Principio de secreto profesional

La confidencia y la confianza son caractersticas esenciales de las relaci n ese el auditor y el auditado c imponen al primero la obligacin d e guardar en secretla

www.FreeLibros.me
c a Mt x i o

? nwxvrotocU uta. Atorro imohv t k o v cooas Eneos m

hectos e informaciones que conozca en e l ejercicio de su actividad profesional. ScCamente por im perativo legal podr decaer esa obligacin. F-vte principio, inherente al ejercicio de la profesin del auditor, estipulado en beneficio de la seguridad del auditado, obliga al primero a no difundir a terceras penon ningn dato que haya visto, odo, o deducido durante el desarrollo de su trabajo que pudiera perjudicar a su cliente, siendo nulos cualesquiera pactos coctrKtuaies que pretendieran excluir dicha obligacin. El mantenimiento del secreto profesional sobre la informacin obtenida durante k auditoria ve extiende a aquellas personas que. bajo la potestad organizadora del mux. colaboren con l en cualesquiera de las activ idades relacionadas con la misma. Si se produjese una dejacin, por parte de las personas que dependen del auditor. U obligacin de mantener vecreto vobre los datos obtenidos d e la auditoria, recaer tf r e ellos la correspondiente obligacin de resarcimiento por los dallos materiales o erales causados com o consecuencia de la misma, obligacin que compartirn nUiriamente con el auditor en virtud de la responsabilidad in eligendo o in vigilando p e ta c asume por los actos de sus colaboradores. Este deber de secreto im pone asimism o al auditor el establecimiento de las afeis y mecanismos de seguridad pertinentes para garantizar al auditado que la crmacio documentada, obtenida a lo largo de la auditoria, va a quedar alm acenada m etttenov o sopones que im pidan la accesibilidad a la misma por terceras persona* I autorizadas. El auditor tan slo deber permitir el acceso y conocimiento d e la ama a los profesionales que. bajo su dependencia organizativa, estn igualmente jos al deber de mantener el secreto profesional y en la medida en que. por las aeccsidxJct de informacin de los mismos, sea preciso. No debe considerarse, por el contrario, como vulneracin del secreto profesional, datos confidenciales del auditado a otros profesionales cuando eMa cunsxKia se origine por expresa peticin del mismo; la conservacin d e los formes durante un plazo prudencial, siempre y cuando se cuente con las medidas de pridad adecuadas; la difusin, con una finalidad cientfica, o meramente wlgativa. de los problemas detectados en la auditoria y las soluciones a los mismos previamente se disgregan los dato de forma tal que no puedan asociarse en ningn oso los mismos a persona o empresas determinadas; ni. por ltimo, la revelacin del creto por imperativo legal siguiendo los cauces correspondientes, debindose, aun as. mantener al mximo la cautela que impooc dicho levantamiento del secreto.

k tnesnuun de

En los casos en que el auditor acte por cuenta ajena en el marco contractual oblecido con la empresa por m edio d e la cual presta sus servicios al auditado, la tacwusn de la informacin recogida durante la auditora a su empresa deber

www.FreeLibros.me
Atron! jxyoRMncA: f x lixrogw practico

circunscribirte nicamente a los d a o s administrativos reguladores d e su actividad <precio de la auditoria, gastos g e nerados tiempo empleado, medios de la empresa utilizados, ele.), excluyendo de d k l u informacin los datos tcnicos observados en d sistema informtico o lo* relacionados con cualesquiera otros aspectos, a no ser que d auditado consienta fehacientemente en que dichos datos sean entregados a l* responvahles de la empresa que. en este caso, quedarn a su vez obligados a mantener el secreto profesional sobre los mismos.

7.2.24. Principio de servicio pblico

La aplicacin de este principio debe incitar al auditor a hacer lo que est ea n m ano y sin perjuicio de los intereses de su cliente, para evitar danos sociales como los que pueden producirse en los casos en que. durante la ejecucin de la audrtcri descubra elementos de software dainos (virus informticos) que puedan propagare i otros sistemas informticos diferentes del auditado. F.n estos supuestos el atxbur deber advertir, necesariamente en forma genrica, sobre la existencia de dichos vira a fin de que se adopten las medidas sociales informativas pertinentes para a prevencin, pero deber asim ismo cuidar escrupulosamente no dar indicio* qoe permitan descubrir la procedencia de su informacin. F.I auditor deber asim ismo tener presente la ponderacin entre sus criterios nea personales y los criterios ticos subyacentes en la sociedad en la que presta servicios, debiendo poner de manifiesto sus opciones personales cuando entren a contradiccin con la tica social que el auditado pueda presumir que mi implcitamente aceptada por el auditor. F.ste principio de adaptabilidad u oposicin constructiva tanto a los principa ticos sociales, asumidos como vlidos por la comunidad, como a las costuatm dimanantes de los mismos, facilita la necesaria y permanente crtica social sote dichos principios y costumbres, permitiendo su adaptacin a las nuevas necesidades y perspectivas abiertas con el progreso tecnolgico regional o mundial. La consideracin del ejercicio profesional de los auditores como servicio p M a globalmente considerado, exige igualmente una continua elevacin del arte de te ciencia en el cam po d e la auditoria informtica, lo que nicamente puede lograrse ea la participacin activa de los profesionales de dicho sector en la definicin de I* caractersticas y exigencias de su actividad profesional y. por ende, en la cUboraafc de los cdigos deontolgicos reguladores del ejercicio responsable de dicha activi*

www.FreeLibros.me
<M'IHH ) ~ DtOMtXCXiKDtl. At IMtOlt IMOKMVtltO VUHIMIS fTXTIS JJ

7.2.25. Principio de veracidad

El auditor en sus c om unicacin con el auditado deber tener siempre presente U obligacin de asegurar la veracidad de sus manifestaciones con los lmites infoestos por los deberes de respeto, correccin y secreto profesional. El principio de veracidad no debe, sin embargo, considerarse como constreido a expresar nicamente aquello sobre lo que se tenga una absoluta y total certeza, sino tfx implica, con el grado de subjetividad que esto conlleva, poner d e manifiesto aquello que. a tenor de sus conocimientos y d e lo considerado com o "buena prctica profesional", tenga el suficiente grado d e fiabilidad com o para ser considerado comnmente com o veraz mientras n o se aponen dalos o pruebas que demuestren lo contrano. Es conveniente tener presentes los criterios expuestos por nurstro Tribunal Constitucional al respecto, generalmente asociado con la actividad de kx profesionales de U comunicacin, que indican que la obligacin de veracidad impone un especfico deber de diligencia que se puede y debe exigir al profesional en la transmisin d e la nfcrtnacin sobre hechos que deben haber sido necesariamente contrastados con datos efejetivos. excluyendo por tanto d e dicha calificacin de veracidad a aquella formacin basada en conductas negligentes" del profesional y an m s a aquella r proveniente "de quien comunique como hechos simples rumores o . peor an. raer invenciones o insinuaciones insidiosas", considerando como admisible y presuntamente veraz "la informacin rectamente obtenida y difundida, aun cuando su Mal exactitud sea controvertible" (STC d e 21 d e enero de 1988). ya que. como la citada sentencia indica, "las afirmaciones errneas son inevitables en m debate libre, de tal forma que de imponerse la verdad como condicin para reconocim iento del derecho protegido por el artculo 2 0 .l.d ) de la Constitucin (a c o m u ik ar y recibir formacin veraz) la nica garanta de la seguridad jurdica sera el teicio ". Lo* criterios del Tribunal Constitucional sobre el alcance d e la obligacin de veracidad han sido reiterados animismo e n sucesivas sentencias en las que se expresa que informacin veraz, en el sentido del artculo 20. l.d ) significi informacin cemprotvida segn los cnones de la profesionalidad informativa, excluyendo venciones, rumores o meras insidias", y que una cosa e s efectuar tn a evaluacin pencoal. por desfavorable que sea. de una conducta y otra m uy dixinta es emitir expresiones, afirmaciones o calificativos claramente vejatorios desvinculados de esa formacin. y que resultan proferidos, gratuitamente, sin justificacin alguna" (STC l(6l990 de 6 de junio); que el derecho a la informacin no puede restringirse a la coeaunicjcin objetiva y asptica d e los hechos, sino que incluye tambin la vestigacio de la causacin de hechos, la valoracin probabilstica de rstas hiptesis y la formulacin de conjeturas sobre esa posible causacin" (STC 171/1990 de 12 de wriembre); que la descripcin de hechos y opiniones que ordinariameite se produce b t informaciones determina que la veracidad despliegue sus efectos legitim adores

www.FreeLibros.me
1 74 AtOCTUKA INtOKMTICA UN t.MOQt'H HtCIlCO en relacin con los hechos, pero no respecto d e las opiniones que los acoinpafett valoraciones que de los mismos se hagan, puesto que U* opiniones, cro en personales o juicios de salo r no son susceptibles de verificacin, y ello determina qoe el mbito de proteccin del derecho d e informacin quede delimitado, respecto de cw elementos salorativos, por la ausencia de expresiones injuriosas que rcvdua innecesarias para el juicio critico" (ST C 172/1990 de 12 de noviembre; y que Ti regla constitucional de la veracidad de la informacin no >a dirigida tanto a h exigencia de la total exactitud en la informacin cuanto i negar la garanta proteccin constitucional a quienes, defraudando el derecho de todos a m ito informacin veraz, actan co n menosprecio d e la veracidad o falsedad de I comunicado, comportndose d e manera negligente o irresponsible (STC 4(VI992de 30 de marzo. As pues, la aplicacin de este principio exige que el aud tor, en el marco de n obligacin de informar al auditado sobre el trabajo realizado, comunique a este ditas sus conclusiones, diferenciando los hechos consulados de las opiniones, propuesta y valoraciones personales, debiendo actuar en la comprobacin de los primeros y ea b fundamentacin de las restantes con una suficiente diligencia profesional pm garantizar el cumplimiento d e su obligacin de informar sera/ircnte.

7.3. CON CLUSION ES

FJ auditor informtico debe ser plenamente consciente de <ue su coenportanaen profesional presen la dos facetas. ntimamente ligadas, que configuran el rgim en de n responsabilidad frente a terceros. La primera corresponde a la aplicacin de sus conocimientos tcnicos coa b finalidad de determinar, en base a los mismos, las condiciones de seguridad, fiabilidad y calidad de kw medios, elementos o productos que conforman el sistema informtico auditado y recomendar las medidas que estime convenienies para su mejora o adaptacin a los objetivos pora los que ha sido disertado o que. > tenor de la coyurxsn actual y previsible a medio plazo, constituyan sus perspectivas de futuro. La segunda debe poner d e manifiesto la aplicacin de los fundamenten humansticos que como persona y com o profesional le son ticamente exigibes par, en funcin de los mismos, coadyuvar al desarrollo integral de la sociedad en la prestacin de sus servicios y d e b cual ha tomado, para la formacin de un conocimientos y desarrollo de su propia personalidad, las ideas integradas en d patrimonio cultural comn aportado por sus antecesores. lis. po r tanto, inexcusable tener presente dicha dualidad de facetas a efectos de no ignorar ninguna de ellas so pretexto d e que condicionamientos contractuales, jurdicos, sociales o m orales, le obliguen a excluir de su comportamiento profesional alguna de

www.FreeLibros.me
CaKTV'LO 1: IXOSTOtOCU DU. AtUXTOK IVFCKtM\TKX>YCOMOOS ETICOS 173 eflas debiendo tener siempre presente, que si bien la aplicacin de mi* conocim ientos tcnicos ayuda al desarrollo tecnolgico d e la sociedad, la aplicacin de su faldamentos humansticos ayuda a la configuracin de la conciencia moral d e la ni uni. sirviendo com o elemento de form acin d e los usos y costumbres que cwuituyen una de las fuentes del derecho regulador de la convivencia entre las peruxu* que la integran. En los casos de producirse algn conflicto entre ambas facetas, la ponderacin de t e derechos en juego deber dar primaca a los valores morales sobre los materiales, ja que el fundamento intim o d e las personas descansa en k primeros como oacaestacin de su propio (ttm vital, y que asimism o su transposicin al entorno social debe im poner su prevalcncia sobre los segundos, evitando que el desarrollo tecnolgico pueda desvirtuar el desarrollo social que es. en suma, el mximo expooentc del grado de evolucin de la humanidad. Como colofn a esos planteamientos cabe reflejar, como ejemplos representativos de la Normalizacin y aplicacin de cdigos de deontologia profesional, el "Cdigo de tica profesional" de la ISACF (Information Systems Audit and Control Foundation) para orientar la conducta de los auditores informticos miembros d e dicha asociacin, y d 'C digo de Conducta" de T he British Com puter Society, que establece los estndares profesionales de competencia, conducta y tica d e la prctica informtica ea el Reino Unido. La ISACF propone el siguiente Cdigo de tica Profesional para orientar a la coolucta profesional, personal de los miembros d e la Information System s Audit and Cauro! Association y/o de los poseedores del Certified Information System s Auditor *OSA). "Los Auditores Certificados de Sistemas de Informacin debern: 1. Apoyar el establecimiento y cumplimiento de normas, procedim ientos y controles de las auditoras de sistemas de informacin. Cumplir con las Normas de Auditora de Sistemas d e Informacin, segn las adopte la Information System s Audit and Control Foundation. Actuar en inters de sus empleadores, accionistas, clientes y pblico en general en forma diligente, leal y honesta, y no contribuir a sabiendas en actividades ilcitas o incorrectas,

2.

3.

www.FreeLibros.me
176 AUDITORIA IVHWMTK'A UN HMHiqCfc PKAtUCt 4. M antener la confidencialidad de la informacin obtenida en el curso de m deberes. La informacin no deber ser utilizada en beneficio propia * divulgada a terceros no legitim ados. Cumplir con mis deberes en forma independeme y objetiva y evitar todi actividad que comprometa o parezca comprom eter su independencia.

5.

6. M antener su capacidad en los campos relacionados con la auditoria y la

Memas de informacin mediante la participacin en actividades de capacitacin profesional. 7. Ejercer sumo cuidado al obtener y documentar material suficiente sobre d cual basar sus conclusiones y recomendaciones. Informar a las partes involucradas del resultado de los tarcas de auditoria q* se hayan realizado. Apoyar la entrega de conocimientos a la gerencia, clientes y al pblico a general pora mejorar su comprensin d e la auditoria y los sistemai de informacin.

8.
9.

10. M antener altos estndares d e conducta y carcter tanto en las actividads profesionales como en las privadas." The Bntish Com puter Society por su pane establece un Cdigo de Condu cuyos principios se esquematizan a continuacin. 1. Conduela Profesional: La conducta de los miembros de la Axociacifc m antendr la dignidad, reputacin y alta evaluacin social de la profesin. Integridad profesional: Ningn miembro intentar, e n form a desleal, realiza actos en detrimento d e la reputacin, inters o perspectivas de r miembros, y actuar, en todo momento, en forma ntegra con la Asociacin sus miembros y los miembros d e otras profesiones con los que pxdi relacionarse en su ejercicio profesional. Inters Pblico: Todo miembro en cumplimiento y/o exoneracin de a responsabilidad para con sus empleadores o clientes cuidar adecuadamertc los intereses pblicos y los derechos de terceras personas y. en particular, x asegurar de que los derechos de propiedad intelectual de terceros no se vea perjudicados por sus actos.

2.

3.

www.FreeLibros.me
CAKtn t o ; n o M iiiix iU m i. m m i im < v ik y c rto m o s m ro s 177 4. Fidelidad: Los miembro^ cumplirn sin obligaciones con sus empleadores o clientes con una completa fidelidad pora con los mismos. Asimismo evitarn divulgar la informacin confidencial relacionada con dichas personas. Competencia Tcnica: Todo miembro deber ofertar nicamente aquellos servicios para los que se considere competente e informar a sus empleadores o clientes sobre el nivel d e preparacin y capacitacin que l posee cuando sus servicios hayan sido solicitados. Imparcialidad: Los miembros, cuando trabajen para un determinado cliente, debern informarle fehacientemente y por escrito sobre aquellos intereses que tengan y que puedan perjudicar o incidir en la imparcialidad de su dictamen u originar conflictos d e inters entre ambos.

5.

6.

7.4. LECTURAS RECOM ENDADAS

(tasara Rodrigue/. Miguel ngel. Derecho informtico. Edit- Aranzadi. Pamplona. 1993. Ptso Navarro. Emilio del. Deoruologfa y seguridad en e l m undo informtico. Res isla Base informtica, n * 15. junio. 1991. Pe Navarro. Emilio del y Ramos Gonzlez. Miguel ngel: Confidencialidad y teguridad de la informacin: La LO fiTAD y tus implicaciones socioeconmicas. Ediciooes Dfaz de Santos. Madrid. 1994. Ramos Gonzlez. Miguel ngel. Contribucin a la mejora d e las tcnicas de auditoria Informtica mediante la aplicacin d e m todos y herramientas de Ingeniera del Conocimiento. Tesis docioral. Facultad de Informtica de la Universidad Politcnica de Madrid, septiembre. 1990. Vzquez. Jess Marta y Barroso. Porfirio. Deontologa d e la informtica (Esquemas). Instituto de Sociologa Aplicada. Madrid. 1993.

7.5.

CUESTIONES DE REPASO

1. Principios deoniolgicos aplicables a los auditores informativos. 2. Principio de calidad. 3. Principio de criterio propio.

www.FreeLibros.me
I AUPtTORlA INFORMTICA: L~XENFOQCE PRACTICO 4. 5. Qu significa d principio d e economa? Importancia de la formacin continua del auditor informtico. G rado de independencia del auditor informtico. Qu es el prncipto de legalidad? Responsabilidad del auditor informtico. A qu obliga el secreto profesional?

6.
7. |

8.
9.

10. Facetas que configuran el rgim en de responsabilidad frente a terceros.

www.FreeLibros.me

CA PTULO 8

LA A U D ITO R A FSIC A
fa b r itl Desmonto Basilio

8.1.

INTRODUCCIN

Lo fsico en Informtica. hasta ahora, ha tenido una im portancia relativa: n o en loo Je ha visto siempre como algo que soporta lo que. en realidad, es la Informtica, y que ocupa un lugar en la mesa. La UCP (enorme), la pantalla, el teclado, la impresora. cables... y . adems, el rata con su alfombrilla que im piden extender libros y papeles sobre un espacio que. incomprensiblemente. por grande que sea. no existe. Pero lo fsico en Informtica n o se reduce nicamente a lo expuesto. esto es: dar m soporte tangible, un continente o vehculo a lo etreo del software, verdadera cseacia informtica. T odo cuanto rodea o se incluye en el computado-, tambin este Btuno. sen lo fsico como tal. as como otros conceptos o virtualidades que. de una u etn forma, influyen o toman su razn de ser en el Hntomo Fsico d :l computador como generalidad o en el del CPD com o Unidad Fsica Informtica. Si se ha dicho que lo fsico e s algo tangible que proporciona un cortincnte. medio o vefcxulo y que. adem*. acoge al CPD dentro de su entorno, una vez conseguido y establecido debera dejar de preocupar. El paso siguiente es asegurar d e que va a seguir dando servicio siempre que se le necesite y de una manera segura ya que. como ta toda actividad, se mezcla lo fsico con lo funcional y con lo humano. La Auditora es el medio que va a proporcionar la evidencia o no de la Seguridad finca en el mbito en el que se va a desarrollar la labor profesional. Es por tanto. asumir que la Auditora Fsica no se debe lim itar a compraba! la existencia

www.FreeLibros.me

" 1

112 AUDITORIAtNromAnCAr t.X RNIOOCE PRACTICO___________________________ t u de lo* medios fsicos, sino tambin su funcionalidad. racionalidad y seguridad, patita esta ltima que puede resumir o incluir a las anteriores y llevar a un subttulo de eat capitulo que prolongue el ya establecido de Auditoria Fsica con el d e Auditoria J t la Seguridad Fsica.

8.2. LA SEGURIDAD FfSICA

No eu n muy claras las fronteras que delimitan, si es que lo hacen, los domina y responsabilidades de los tres tipos de seguridad que a los usuarios de la Informa deben interesar: seguridad lgica, seguridad fsica y seguridad de las ComunicacKoa. Quiz fuera m is prctico aunarlas y obtener una seguridad integral, aunque hay qte reconocer las diferencias que, evidentemente, existen entre sofi. hard. hard-sofi, her que soporta al sofi y so fi que mueve al hard. La seguridad fsica garantiza la integridad de los activos humanos, lgKO j materiales de un CPD. Si se entiende la contingencia o proximidad de un d a io cas la definicin de Riesgo de Fallo, local o general, tres serian las medidas a prepanr para ser utilizadas en relacin con la cronologa del fallo:

8.2.1.

Antes

Obtener y mantener un Nivel adecuado de Seguridad Fisica sobre los activos. El Nivel adecuado de Seguridad Fsica, o grado de seguridad, e s un conjunto e accione utilizadas para evitar el Fallo o . en su caso, aminorar las consecuencias qce de l se puedan derivar. Es un concepto general aplicable a cualquier actividad, no slo informtica, ea la que las personas hagan uso particular o profesional de entornos fsicos. Ubicacin del edificio. Ubicacin del CPD dentro del edificio. Compartirne ntacin. Elementos de construccin. Potencia elctrica. Sistemas contra incendios. Control de accesos. Seleccin de personal. Seguridad de los medios. Medidas de proteccin. Duplicacin de medios.

www.FreeLibros.me
12-2. Durante
Ejecutar un PUn <le Contingencia adecuado En general, desastre e s cualquier evento que. cuando ocurre, tiene la capacidad de aiemimpir el normal procedo de una empresa. La probabilidad de que ocurra un d esabre e s muy baja, aunque. si se diera, el iapKto podra ser tan grande que resultara fatal para la organizacin. Com o, por otra pire, ao es corriente que un negocio responda por s mismo ante un acontecim iento ccrao el que se comenta, se deduce la necesidad de contar con los medios necesarios pwa afrontarlo. Estos medios quedan definidos en el Plan de Recuperacin de Desastres que. junto con el Centro Alternativo de Proceso de Datos, constituye el Plan te Contingencia que coordina las necesidades del negocio y las operaciones de recuperacin del mismo. El Plan de Contingencia inexcusablemente debe: Realizar un Anlisis de Riesgos d e Sistemas Crticos que determine la Tolerancia de los Sistemas. Establecer un Perodo Crtico de Recuperacin en el cual los procesos deben ser reanudados antes de sufrir prdidas significativas o irrecuperables. Realizar un A nlisis de Aplicaciones Crticas por el que se establecern las Prioridades de Proceso. Determinar las Prioridades de Proceso, por das del arto, que indiquen cules son las Aplicaciones y Sistemas Crticos en el momento de ocurrir el devastre y el orden de proceso correcto. Establecer Objetivos de Recuperacin que determinen el perodo d e tiempo (horas, das, semanas) entre la declaracin de Desastre y el momento en que el Centro A lternativo puede procesar las Aplicaciones Crticas. Designar, entre los distintos tipos existentes, un Centro Alternativo de Procedo de Datos. Asegurar la Capacidad de las Comunicaciones y Asegurar la Capacidad de los S e n icios de Back up.

www.FreeLibros.me
m AIlHTOUlA IMOttMATKA: l'V l'MOQtl, PKACllCO

8.2.3. Despus
Los Contratos de Seguros vienen a compensar, en mayor o menor prdidas, gasto o responsabilidades que se pueden derivar para el CPD ora detectado y corregido el Fallo. De entre la gama de seguros existentes, se pueden sealar: Centros de proceso y equipamiento: Se contrata cobertura sobre da fio fsico el CPD y el equipo contenido en l. Reconstruccin de medios software: Cubre el dafto producido sobre medw soft tanto los que son propiedad del tomador del seguro como aquellos que constituyen su responsabilidad. G astos extra: Cubre lo s gastos extra que se derivan de la continuidad de la operaciones tras un desastre o dao en el CPD. Es suficiente para coinpenur los costos de ejecucin del Plan de Contingencia. Interruf/cin d e l negocio: Cubre las prdidas de beneficios netos causadas p* las cadas d e los medios informticos o por la suspensin de las operaciones. Documentos y registros valiosos: Se contraa para obtener una compcnsxi en valor metlico real por la prdida o dao fsico sobre documentos y registros valiosos no amparados por el seguro de Reconstruccin de Medios Software. Errores y omisiones: Proporciona proteccin legal ante la responsabilidad en que pudiera incurrir un profesional que cometiera u n acto, en o r u omisin que ocasione una prdida financiera a un cliente. Cobertura de fidelidad: Cubre las prdidas derivadas d e actos deshonestos o fraudulentos cometidos por empleados. Transporte de medios: Proporciona cobertura ante prdidas o d a to s a tos medios transportados. Contratos con proveedores y d e mantenim iento: Proveedores o fabricantes que aseguren la existencia de repuestos y consumibles, as como garantas de fabricacin.

www.FreeLibros.me
Ca HTUX>K LA AlCTOIlUt<aCA I Contratos de mantenimiento que garanticen la asistencia tcnica a los equipos e instalaciones una vez extinguidas las garantas de fabricacin. N o son realm ente Seguros, ya que: Los primeros se ubicaran en Nivel adecuado de Seguridad Fsica (el antes). Los segundos pueden localizarse tanto en el Nivel adecuado (el ante) como e n el Plan (el d u ran te ).

N o obstante, dada su forma y su control administrativo, se les puede considerar como Seguros.

8.3. REAS DE LA SEGURIDAD FSICA

Se ha expuesto, hasta el momento, un estudio de las tres medidas a preparar para icr utilizadas segn el momento del Fallo: n e sg o de que se produzca, si se es t produciendo y cuando ha pasado. T odo ello partiendo, como primer paso, d e la tocacin del edificio y las circunstancias externas e internas que le afectan. Nada se ha dicho del edificio en s mismo: sera capaz el Auditor Informtico de revisar la construccin y el estado actual de su infraestructura con sus defectos, vicios y posibles enferm edades? Ms an: es cap o / d e diagnosticar en este tema? Evalentemente. com o tal auditor, carece de la capacidad y preparacin necesarias pora (o. Por tanto, debe considerarse al edificio como la primera de las reas a tener en cuenta en una Auditora Fsica y prever para ella el auxilio de Peritos independientes que den respuestas a las preguntas a plantear durante la Fase 2 del Procedim iento de Ac&ora Adquisicin d e Informacin G eneral y certificaciones que puedan ser ischi idas como pruebas, en uno o en otro sentido, en la Fase 9 Informe Final tras la Discusin con los Responsables si hubiera lugar. Las reas en las que el Auditor ha d e interesarse personalmente, una vez que la pine del edificio ha sido encargada al juicio del Perito, tendrn relacin directa con el hecho informtico, siempre considerando el aspecto fsico d e la seguridad, y que sern Ufes como:

Organigrama de la em presa ir l ve conocern las dependencias orgnicas, funcionales y jerrquicas de los imcntos y de los distintos cargos y em pleos del personal podiendo analizar, con

www.FreeLibros.me
I At'DITOttlA IKHOKMAUCA: t~KEXIOQtt PRACTKX) ayuda de documentacin histrica. I apropiadas Separacin <!e Funciones y RotaoJi en el Trabajo. Da la primera y ms amplia visin de conjunto del Centio de Proceso.

A uditora in te rn a

Departamento independiente o subordinado al de Auditora Financiera, si use, y colaborador de ste e n cualquier caso, debe guardar las auditoras pasad, la Normas, Procedimientos y Planes que sobre la Seguridad Fsica y su Auditor 4 > emitido y distribuido la Autoridad competente dentro de la Enpresa.

A dm inistracin de la seg u rid ad a Vista desde una perspectiva general que ampare las funciones, dcpcadcnci, cargos y responsabilidades d e los distintos componentes: Director o Responsable de la Seguridad Integral. Responsable de la Seguridad Informtica. Administradores d e Redes. Administradores d e Bases d e Datos. Responsables de la Seguridad activa y pasiva del Entorno fsico.

N orm as. Procedim ientos y Planes que. desde su propia responsabilidad hqa emitido, distribuido y controlado el departamento.

C e ntro de proceso de da to s e instalaciones

Entorno en el que se encuentra incluso el CP D como elemento fsico y eo t qae debe realizar su funcin informtica. Las instalaciones son elem entos accesorios que deben ayudar a la realizante fc la mencionada funcin informtica y. a la sez. proporcionar seguridad a las per*, al soft y a los materiales. Sala del Host. Sala de Operadores. Sala de Impresoras. Cm ara Acorazada. Oficinas.

www.FreeLibros.me
Almacenes. Sala de aporamenta elctrica. Sala de Aire Acondicionado. rea de descanso y servicios...

Equipos y comunicaciones Son los elementos principales del CPD: Host. terminales, computadores penotulev. equipos de alm acenamiento masivo de datos, impresoras, medios y aterras de telecomunicaciones... El Auditor debe inspeccionar su ubicacin dentro del CPD as com o el Control de Acceso a los mismos com o elementos restringidos.

Computadores personales Especialmente cuando estin en red. son elementos muy potentes e indiscretos que peeden acceder a prcticamente cualquier lugar donde se encuentren los Datos (prim er objetivo de toda seguridad ). por lo que merecern especial atencin tanto desde el p ulo de vista de acceso a los mismos com o a la adquisicin de copias (hard .v so fu no aitoruadas. Es especialmente delicada su conexin a los medios de telecomu nicaciones.

Seguridad fsica del personal Accesos y salidas seguras as como medios y rutas de evacuacin, extincin de Bctojos y medios utilizados para ello (agua en lugares con conducciones y aparatos elctricos, gases asfixiantes...). sistemas de bloqueo d e puertas y ventanas, zonas de descanso y de servicios... Normas y Polticas emitidas y distribuidas por la Direccin referentes al uso de lu ftttibciones por el personal.

14. DEFINICIN D E AUDITORIA FISICA

La Auditora Fsica, interna o externa, no e s sino una auditora parcial, por lo que difiere de la auditora general m is que en el Alcance d e la misma.

www.FreeLibros.me
IM AliPnOUlA IMOWMTKA UN NFOQtt PV A C ~TK ~Q Riesgo -------C o n tro l------ Pruebas

8.5. F U EN TES DE LA AUDITORA FSICA

Ya se ha comentado, brevemente en kw prrafos anteriores. cules pueden jo a lg n de las Fuentes donde la Auditora va a encontrar la informacin necesaria p organizar y desarrollar la Fase 4 del Procedim iento o Ciclo de Vida de la AodiKra "Plan de Auditora" que le llevar a realizar las pertinentes FYuehas de C'umpliroeru y Sustantivas. Un CPD. en esencia, sigue un modelo organizativo m is o menos estndar. * a q x debido a diferentes causas, como puede ser el tipo de empresa a la que pcncnect, situacin econmica, disponibilidades d e espacio, actitud de la Direccin, etc. hace* que. en realidad, los C'PD's difieran bastante los unos d e los otros. Se sealan a continuacin algunas Fuentes que deben estar accesibles en tote Centro de Proceso de Datos. Polticas. Norm as y Planes sobre Seguridad emitidos y distribuidos tanto por la Direccin de la empresa en trminos generales co n o por el Departamento de Seguridad siguiendo un enfoque ms detallado. A uditorias anteriores, generales y parciales, referentes a la Seguridad Fsica a cualquier otro tipo de auditora que. d e una u otra manera, est relacieaadi con la Seguridad Fsica. Contratos de Seguros, d e Proveedores y de Mantenimiento. Entrevistas con el personal de segundad, personal informtico y de otnt actividades, responsables de seguridad de otras empresas dentro del ediftnoj V la vgurid ad p i y r j l del m itm o. penconal contratado para la Unifica j mantenimiento de locales, etc.

Actas e Informes d e tcnicos y consultores. Peritos que diagnostiques d estado fsico del edificio, electricistas, fontaneros, tcnicos d d ais acondicionado, especialistas en electrnica que infornen sobre la calidad y estado de operatividad de los sistemas d e seguridad y alarma, agencias de seguridad que proporcionan a los Vigilantes jurados, bomberos, etc. Plan de Contingencia y valoracin de las Pruebas.

www.FreeLibros.me
Informes sobre accesos y visitas. Fjtistencia <le un sistema d e control de entradas y salidas diferenciando entre reas Pcrimetral. Interna ) Restringida. Informes sobre prueh** de evacuacin ante diferentes tipo de amenaza: incendio, catstrofe natural, terrorismo, etc. Informes sobre evacuacin?* reales. Polticas de Personal. Revisin de antecedentes personales y labrale*, procedimientos de cancelacin de contratos y despidos, rotacin en el trabajo, planificacin y distribucin de tareas, contratos fijos y temporal;*. Inventarios de Sopones (papel y magnticas): cintotcca. back-up. procedimientos de archivo, controles d e salida y recuperacin de soportes, control de copias, etc.

16- OBJETIVOS DE LA AUDITORA FSICA

Ms arriba, en reas de la Seguridad Fsica prrafo Com putadores Personales, se dx qoe los Datos son el primer objetivo de toda seguridad. Bien entendido que hac referencia a toda seguridad informtica, la Segundad Fsica es ms am plia y aloraa otros conceptos entre los que puede haber alguno que supere en importancia a ks propios datos. Sin otro nimo ms que el mero orden basado en una lgica "de fie ra adentro". ?Kdn indicados estos Objetivos como sigue: Edificio. Instalaciones. Equipamiento y telecomunicaciones. Datos. Personas.

17. TCNICAS Y HERRAM IENTAS D EL AUDITOR

Como se ver, no se diferencian de las tcnicas y herramientas ts ic a s de toda toerfa y. como en ellas, su fin e s obtener la Evidencia fsica.

www.FreeLibros.me
KO At'DTORlA INFORMTICA LX rxrOQlT PHACDCO Tcnicas: O b se n w i n J e las instalaciones, sistema*, cumplimiento de Nctmu jProcedim ientos, ctc. no ik> como espectador sino u m bin co n KMr,; comprobando por si mismo el perfecto funcionamiento y utilizacin de ta" conceptos anteriores. Revisin analtica de: Documentacin sobre construccin y preim ulacionos. Documentacin sobre secundad fsica. Polticas y Normas de Actividad de Sala. Norm as y Procedim ientos sobre seguridad fsica d e los dalos. Contratos de Seguros y de Mantenimiento.

Entrevista r con directivos y personal, fijo o temporal, que no d la *cr.saci4t de interrogatorio pai vencer el natural recelo que el auditor suele despertara los empleados. Consultas a tcnicos y peritos que formen pane de la plaatilU o independientes contratados.

H erram ien ta s: C uaderno J e cam po / grabadora J e audio Mquina fotogrfic a /c m a ra de video

Su uso debe ser discreto y siempre con el consentimiento del personal si ste m quedar identificado en cualquiera de las mquinas.

8.8. RESPONSABILIDADES DE LO S AUD ITORES

El Auditor Informtico, en especial el Interno, no debe desarrollar su activid como una mera funcin policial dando la im presin a los usuarios informticos y 4 resto de em pleados de que se encuentran permanentemente vigilados. Esto crej ix ambiente tenso y desagradable que en nada favorece ni a las relaciones personales* al buen desarrollo del trabajo. El auditor debe esforzarse ms en dar una imagen de colaborador que a to a ayudar que en la de fiscalizador o caza-infractores. Para ello e s necesario que n la Normas y Procedimientos emitidos por la Direccin figuren las funciones j responsabilidades de los auditores y que anrfws sean distribuidas y conocidas por lo la plantilla de la empresa.

www.FreeLibros.me
CAPfTfLO: LA AL DfTORlA HSICA ll Dentro del cam po de responsabilidades de los auditores, las referentes a Segcridad Fsica, quedan establecidas las siguientes para cada tipo de auditor:

Aaditor inform tico in terno Revisar los controles relativos a Seguridad Fsica. Revisar el cumplimiento de los Procedim ientos. Evaluar Riesgos. Participar sin perder independencia en: - Seleccin, adquisicin c implantacin d e equipos y materiales. - Planes de Seguridad y d e Contingencia, seguim iento, actualizacin, mantenimiento y pruebas de los mismos. Revisin del cumplimiento de las Polticas y Normas sobre Seguridad Fsica asi como de las funciones de los distintos Responsables y Administradores de Seguridad. Efectuar auditorias programadas e imprevistas. Emitir informes y efectuar el seguimiento de las recomendaciones.

Aaditor inform tica externo Revisar las funciones de los auditores internos. Mamas responsabilidades que los auditores internos. Revisar los Ptanes de Seguridad y Contingencia. Efectuar Pruebas. Emitir informes y recomendaciones.

U FASES DE LA AUDITORA FSICA

Siguiendo la Metodologa EDPAA y sin perjuicio de alguna peque Aa diferencia, fe que nada en el orden o el m bito d e las fases, el Ciclo d e Vida quedara: Fase 1: Alcance de la Auditora Fase 2: Adquisicin d e Informacin General Fase 3: Administracin y Planificacin Fue 4: Plan de Auditoria Fase S: Resultado de las Pruebas Fase 6: Conclusiones y Comentarios Fase 7: Borrador del Informe Fase 8: Discusin con los Responsables de rea Fase 9: Informe Final

www.FreeLibros.me
m AtpmmU nhmimiica un k m o q u p* chcu Informe Anexo al Informe Carpeta de Evidencias

1-aselO: Seguimiento de las Modificaciones acordadas.

8.10. DESARROLLO DE LA S FAS ES DE LA AUDITORA FSICA

Resulta clara la prctica identidad entre el Ciclo de V ida de la Auditoria Roa con cualquier otro de una auditoria diferente. Con la intencin de ofrecer algo prctico dentro d e tanta teora, se expone i continuacin el desarrollo de la Fase 2 Adquisicin de Infom un um rclcicntc a un P de Contingencia, siguiendo la tcnica del check-list para un n x jo r ctik-ndim kaio los conceptos. La lista ex. naturalm ente, orientatisa y en ningn caso se puede oonudem completa.

Auditora del plan de contingencia

Fase 2 A dquisicin d e Inform acin

A cuerdo de Empresa para e l Plan d e Contingencia Hay algn acuerdo oral o escrito por paite de la Direccin? Ha em itido y distribuido la empresa Polticas o Normas dirigidas al Plan de Contingencia? Qu persona o departam ento tiene la responsabilidad del Plan? Estn las responsabilidades de Planeamiento bien definidas, difundidu j entendidas por todo el personal? Se mantiene una estrategia corporativa en el Plan? Todos los depanametm deben cooperar en el Plan desde su propia especialidad o responsabilidad.

www.FreeLibros.me
CAHniX) LAAtDCTOItlArtSICA l> Incluyen los presupuestos empresariales fondos destinados l desarrollo y mantenimiento del Plan de Contingencia?

cutrdo Je un Proceso A licnw /iro Est el Acuerdo obligado e impuesto legalm ente cuando * produce un desastre? Es compatible el equipamiento del Proceso de Datos en el C crtro Alternativo con el e quipamiento en el CPD? Proporciona el Centro Alternativo suficiente capacidad? Cundo fue la ltima ve* que se prob el Centro Alternativo? Cules fueron tos objetivos y el alcance de la prueba? Cules fueron los resultados d e la prueba?, quedaron tos resultados bien documentados? Han sido implementadas acciones correctivas o estn previstas para una futura implementacifl? Est prevista una prxima prueba de uso del Centro Alternativo? Utiliza la empresa algn equipamiento de proceso que pueda no estar soportado por el Centro Alternativo?

Prtteccin Je Dalos Tiene la empresa un Centro Externo para el almacenamiento de los back-up? Se ha realizado alguna vez una auditora de las cintas y disccs almacenados en el Centro Back-up Externo? * Cul es el Procedim iento de A cceso al Centro Extem o para li obtencin de Jos back-up en el caso de un desastre? Cul es el Procedim iento de Transporte de los back-up desde el Centro Externo al Centro de Proceso Alternativo?

: i

www.FreeLibros.me
C ul e s la estrategia para la Restauracin de programas?. serie ihm nadas las aplicaciones simultneamente o en fases basadas en prioridad? Ha .sido asignada prioridad de restauracin a cada aplicacin? Han sido identificados todos los archivos crticos? I

Se han creado los back-up de los archivos crticos segn una base m tttial Existe un mnimo de tres ciclos de copias d e bck-up en el Centro Euera? Existen copias actualizadas de los Informes del Sistema de Gestin de Cu almacenadas en el Centro Back-up Extemo?

M anual d e l 'tan de Contingencia Cm o est estructurado el Plan? Ex fcil de seguir el Plan en el caso de un desastre? Indica el Plan quin es el responsable de desarrollar tarcas especficas?

Cm o se activa el Plan ante un desasir? Cmo e siin contenidos estos procedimientos de procedimientos de emergencia normales d e la empresa? activacin en fai

Han sido probados estos procedimientos en un test d e desastre simulado? Contiene el Plan procedim ientos que fijen los daos en las etapas iniciales* las Operaciones de Recuperacin? Incluye el Plan procedimientos para trasladar el proceso desde el Can Alternativo al Centro Resiaurado o Nuevo? Contiene el Plan lisiados del Inventario del proceso de datos y hard de coa nicaciones, software, formularios preimpresos y stock de popel y accesorios? Estn actualizados los listines telefnicos del personal d e Recuperacin a como empleados del Proceso de D atas, alta direccin, usuarios finales y vendedores y suministradores?

www.FreeLibros.me
m u Cmo est mantenido d Plan? Quin es el responsable de actualizar el Plan? Se mantiene el Log d e distribucin del Plan? Cundo fue actualizado el Plan por ltima vez? Existe una copia del Plan en el Centro Externo de Back-ttp? CAPtnu> l a Att>wolA Hsic*

8.11. LEC TUR A S RECOM ENDADAS

Thxnai. A. J. y Douglas. I. ). Auditora Informtica. Contingtncy Ptanning. Auerbach Publisherx. Paraninfo. Madrid. 1987.

8.12. C UESTIONES DE REPASO

1. Diferencie entre seguridad lgica, seguridad fsica y seguridad de las comunicaciones, poniendo varios ejemplos de cada tipo. Explique el concepto de "nivel adecuado de seguridad fsica. Cmo definira lo que constituye un "desastre"? Qu tipos de seguros existen? Qu medios d e extincin de fuego conoce? Por qu e s importante la existencia de un sistema de control de entradas y salidas? Qu tcnicas cree que son las ms adecuadas para la auditora fsica?

2. 3. 4. 5.

6.
7-

8. Cules suelen ser las responsabilidades del auditor inforntico interno

respecto a la auditora fsica? 9. Qu aspectos considera ms im portantes a la hora de auditar el plan de contingencia desde el punto de vista d e la auditora ffsica?

10. Qu riesgo* habra que controlar en el centro de proceso alternativo?

www.FreeLibros.me

CA PTULO 9

A U D ITO R A DK LA O FIM TIC A

M a n tel G mez Vaz

9.1. INTRODUCCIN
El trmino ofimtica, comnmente utilizado en diferente* mbitos profesionales, so apvecc definido, sin embargo, en el diccionario de la Real Academia Espartla de b Lengua. Aunque el objetivo de este captulo no consiste en determinar el concepto de ofimtica ni en profundizar sobre el mismo, resulta imprescindible disponer de una deakin que sirv a de punto de partida para el desarrollo del tema que nos ocupa. A Jo efectos, partiremos de la definicin realizada por Schill. entendiendo ofimtica am o el sistema informatizado que genera, procesa, almacena, recupera, com unica y presenta dos relacionados con el funcionamiento de la oficina. El concepto de ofim itica nace a comienzos de la posada dcadi y las primeras {tocaciones se desarrollan sobre los computadores centrales de las organizaciones. Ataque las oficinas siempre han sido consideradas como pioneras en la utilizacin de herramientas informticas para el desarrollo de sus actividades; desde comienzos de les noventa se ha producido un espectacular crecim iento en la demanda d e sistemas (Amlicos que todava contina acrecentndose. Ejemplos de ello son: las apbcarne* especficas para la gestin de tareas, como hoja} d e clculo o procesadores de textos: herram ientas para la gestin de documentos, como control de expedientes o sistemas de almacenamiento ptico de informacin: agenda* y bases de do* personales; sistemas de trabajo en grupo como el correo electrnico o el control de flujos de trabajos: etc. Ij evolucin sufrida en el entorno m kroinform iico ha condicionado el desarrollo de los sistemas ofimticos actuales. El aumento de la potencia de clculo, b alta calidad de los productos y la reduccin de costes d e k s computadores

www.FreeLibros.me
i Ainnrau isroM\Tic,i un e *h x ?w rnXrnco___________________________ e m personales y las estaciones <le trabajo, ha desplazado el desarrollo d e aplicaciones ofinticas a plataformas mieroinformticas y redes de rea local. Hoy en da. partee incuestionable que los productos desarrollados en plataformas microinfonnUai ofrecen unas prestaciones y una relacin coste/beneficio muy superior a las soluciono sobre computadores centralizados. Este desarrollo de sistemas ofimticos h> mantenido dos paradigmas fundamentales: el escritorio virtual y el trabajo cooperato (CSCW. Contpuiftl Supported C ooperis* Work). Podemos aproxim ar el concepto de escritorio virtual como un nico pand representado por la pantalla del computador, que sustituya la mesa de tratap tradicional, y donde *c encuentren disponibles todas las herramientas necesarias pao desarrollar las actividades del oficinista. La interfaz debe parecer natural al usuario y debe ser fcil de aprender y utilizar. Las d ise a s aplicaciones, adems de realizar las tareas para las que han sido diseadas de un modo eficaz y eficiente, deben integrare perfectamente entre s. El CSCW podra considerarse como una extensin del concepto de integracin de aplicaciones. De acuerdo con Kracmer, podram os definirlo com o una multiplicidad de aclividades coordinadas, desarrolladas por un conjunto d e participantes y soportadas por un sistema informtico. Por consiguiente, el enlom o ofinitiro. adems de posibilitar la realizacin del trabajo personal de cada empleado, debe permitir intercambiar la informacin necesaria en los d ise rto s procesos de la organizacin, a s como posibles interacciones con otras organizaciones. La prctica totalidad d e los paquetes ofimticos presentes en el mercado h desarrollado siguiendo el paradigma del escritorio virtual alcanzando un grado de desarrollo aceptable incluso facilitando la integracin con otros producios de diferentes fabricantes. Asimismo, durante los ltimos artos se ha incrementado la oferta de aplicaciones CSCW . debido principalm ente al desarrollo espectacular sufrido en las comunicaciones. Este tipo de aplicaciones han incrementado s funcionalidades y estn avanzando en la implantacin de estndares para la integracin entre sistemas ofimticos d e distintas organizaciones.

9.2. C O N TR O L ES D E AUDITORA
La mayora de los problemas que se producen en la informatizacin de oficinal no difieren su vtanc talm ente de los encontrados en otros mbitos de la organiz*.-i& Sin embargo, existen dos caractersticas peculiares d e los entornos ofimticos: la distribucin de las aplicaciones por los diferentes departamentos d e la organizacin et lugar de encontrarse en una nica ubicacin centralizada: y el traslado de la responsabilidad sobre ciertos controles de los sistemas d e informacin a usuarios

www.FreeLibros.me
CATfTVtO AUDtTOftlAIX lAOMMMKA 1 9 9 fiMks no dedicados profesionalm ente a la informtica. que pueden no comprender de m ndo adecuado la importancia de los mismos y la forma d e realizarlos. Como consecuencia de los dos factores enunciados, se ha generado una peeNemhca propia en este lipo d e emomos: adquisiciones poco planificadas: desarrollos ineficaces e ineficientes, incluso ea procesos crticos p a el correcto (unciocamcnto de la organizacin; falta de conciencia de los usuarios acerca de la eguridad de la informacin; utilizacin de copias ilegales de aplicaciones; procedimientos de copias de seguridad deficientes; escasa formacin del personal; t w u u de documentacin suficiente; etc. Considerando los problem as expuestos y dejando al margen los conceptos desarrollados en el captulo correspondiente a la auditora de redes para evitar sebjumientos. hemos elaborado una relacin de controles de auditoria bsicos. Los (trotes seleccionados, sin conformar una relacin exhaustiva, han sido descritos de Ul modo que puedan ser de aplicacin a cualquier organizacin, a d atn d o lo s a las canctcrfsticas de la misma. En algunos entornos ser necesario algn control adicional que no se encuentre entre los propuestos y en otros entornos alguno de los (entrles puede no resultar adecuado. Los controles, que se presentan agrupados siguiendo criterios relacionados con aspeaos de economa, eficacia y eficiencia; seguridad y condicionantes legales, son lo suficientemente generales para servir de base en la elaboracin del guin de trabajo de lt labor del equipo auditor.

9.2.1. Economa, eficacia y eficiencia

D eterm inar si el inve n tario ofim tico refleja con ex actitu d lo equipos y aplicaciones existentes en la organizacin. A causa del bajo coste de muchos componentes, resulta difcil mantener un registro fiable de todas la* compras que realiza la organizacin. Con frecuencia ilgunos departamentos sortean los procedim ientos de autorizaciones d e compra establecidos dentro de la organizacin, por ejemplo, utilizando factu r* de adquisicin de material no inventariable. Un inventario poco fiable puede repercutir en el balance d e a organizacin, posibilitando que no se detecten sustracciones d e equipamiento informtico o de hcetKias de programas contratadas. Hemos seleccionado este control en primer lugar, y qee la fiabilidad del inventario resultar indispensable para auditar otros controles presentados posteriormente.

www.FreeLibros.me
no
AimWHKUlMOHMTICA fNrMOQUEHtCnCO El equipo auditor comprobar que se han definido mecanismos para garanta que todo* lo* equipos adquirido en la organizacin w n d c b td an crtc inventariado! Despus, constatar la conciliacin realizada en la ltin a auditora financien entre el inventario oficial y las adquisiciones efectuadas. Ms tarde, revisando Kdu las dependencias, almacenes y archivos, elaborar una relacin exhaustiva de k* equipo informticos y de las aplicaciones y archivos que residen en los mismo Ea esta relacin debe quedar reflejada tambin la versin correspondiente a cada uxu de las aplicaciones instaladas. Finalm ente, identificar las diferencias reales entre la rebein elaborada por d equipo auditor y el inventaro oficial para proceder a la subsanacin d e tas errores detectados. D eterm ina r v e v alu a r el p ro ced im ien to d e adquisiciones d e equipos j aplicaciones. Una poltica de adquisiciones descentralizada en la que cada departamento se encargue de realizar sus compras, ofrece ventajas en cuanto a fexibilidad y capacidid de reaccin de los mismos, pero podra acarrear significativa! prdidas econmicas para el conjunto de la organizacin. El equipo auditor comprobar que en el procedimiento de adquisicin se valona aspectos relativos a la necesidad real de los equipos solicitados y a la integracin de dichos equipos con el sistema existente. En el caso de c o n tra de paquetes o de contratacin de desarrollos externos, determinar si las prestaciones ofrecidas pe* d producto solicitado se ajustan a las actividades que se pretenden desarrollar con l; s las plataformas en las que van a ser instaladas las aplicaciones tienen suficiente capacidad pora soportarlas de un m odo eficiente: si los nuevos productos pueden configurarse, en c ato de necesidad, pora obtener suficientes pistas de auditora que permitan efectuar un seguimiento de las anomalas producidas durante su ejecucin; y la experiencia y solvencia del proveedor. P u litn d o . dl inventario actualizado, analizar lo-. proccdincoiot pora la adquisicin de los productos seguidos en los diversos departamentos de b organizacin y determinar la existencia d e equipos y aplicaciones similares. En caso de que los diversos departam entos de la compaa realicen pedidos sobre equipos y complementos de manera independiente, estudiar si se est desaprovechando U posibilidad de negociar descuentos mediante la aplicacin de una poltica centralizad! de compras. Del mismo modo, considerar otros mecanismos que pudieran reducir k costes de la organizacin com o podra ser la negociacin centralizada de compra de licencias de aplicaciones.

www.FreeLibros.me
c u m __________________________________ CATfTVlX) AtlDnOHlADgLAOtlMATK'A 3>l D eterm inar y e v alu a r la p oltica d e m a n ten im ien to definid i en la Or e a lizacin. Los procedim ientos dcscentraliz-idos han pfopicixlo que. en ocasiones, los eqoipos adquiridos no sean incluidos ni en el inventario ni en los contratos de manienimicnto. Incluso podra llegar a suceder que el personal d e ki organizacin encargado del mantenimiento no dispusiera d e los conocimientos recesarios para levarlo a cabo. El equipo auditor examinar la utilizacin de las garantas de los productos adquiridos. comprobando que no se realizan pagos innecesarios por asistencias de eqpos y aplicaciones que se encuentren en garanta. Para ello, deber verificar que le usuarios finales conocen el estado de las garantas de cada uno de los productos (fie uilizan y los mecanismos para hacerlas efectivas. Por lo que respecta a productos cuya garanta haya caducado, determinar cules disponen de contratos de mantenimiento vigentes con empresas e x tenu s y cules son aquellos en los que la responsabilidad del mantenimiento recae en la propia organizacin. En las contrataciones de mantenimiento con empresas externas, verificar si se han incluido e n el contrato aspectos com o el tieirpo mximo de respuesta, recambios y mano de obra, mantenimiento preventivo, etc. Tambin comprobar que el personal, tanto interno com o externo, asignado en tareas de mantenimiento tiene suficientes conocimientos de las plataformas que debe mantener, y que recibe la form acin adecuada sobre los nuevos productos instalados en la organizacin. En relacin con la gestin de incidencias producidas, el equipo auditor ccmpeobar la existencia d e un registro de las mismas, los procedimientos establecidos para asignar recursos para solucionarlas, los guiones preparados para solventar las incidencias ms frecuentes y el seguimiento d e las mismas hasta su radiacin. Tam bin valorar si el tiempo em pleado para atender las solicitudes y resolver las incidencias producidas puede llegar a afectar al funcionamiento de la organizacin. E valuar la calidad de las aplicaciones del e n to rn o ofim tico d esarro llad a p o r personal de la pro p ia organizacin. La utilizacin de herram ientas clim ticas por los usuarios finales aa propiciado el desarrollo de aplicaciones, en muchos casos sin las debidas garantas de fiabilidad, covo real funcionamiento puede repercutir significativamente en la actividad de la organizacin cuando se trate de aplicaciones que gestionen procesos ctico s. Por otra pane, tambin es comn que los desarrollos en estos entornos n o luyan seguido los controles de calidad y seguridad suficientes, posibilitando que algn programador haya introducido "puertas traseras", bombas lgicas o cualquier otro mecanismo que putera perturbar el buen funcionamiento de la aplicacin desarrollada

www.FreeLibros.me
XC AtPnOItlN IMORMA1KA: L~ NKNKXJCE PBAtHOO El equipo auditor determinar la existencia d e un departamento responsable de controlar el desarrollo de aplicaciones d e toda la orgam zaoa. y que se han cfm tk procedim ientos generales de peticin, autorizacin, asignacin de prioridad* programacin y entrega de aplicaciones, o bien si los departamentos han desarrollad aplicaciones de uso interno, bajo sus propios criterios, sin cortrol de un depam nea responsable. En el caso de desarrollos realizados por p:rsonal de los peopo departamentos, el equipo auditor tendr que determinar si la metodologa empcate y los test de pruebas se ajustan a lo dispuesto en la organizacin. A l igual que en el caso de las aplicaciones adquiridas o desarrolladas fuera deti organizacin, comprobar que las aplicaciones desarrolladas internamente puedes configurarse para obtener las suficientes pistas de auditoria q je permitan efectuar seguim iento de las anomalas producidas durante su ejecucin. Asimismo, verificad que los desarrollos se realizan sobre un entorno de desarrollo, evitando opa* directamente sobre los datos reales d e explotacin. Tambin e s tarea del equipo auditor examinar el repone de incidencias de 1 aplicaciones, as com o las reclam aciones manifestadas por los clientes y u s u r como indicios para detectar aquellas aplicaciones que podran rstar funcionando de u m odo anmalo. Kv a lu a r la correccin del p ro ced im ien to existente p a ra la realizacin de le cam bios d e versiones y a plicaciones. Los cambios de aplicaciones o de versiones pueden prodicir situaciones de ika de integracin y de incompatibilidad entre los nuevos productos instalados y ka existentes con anterioridad. Prcticamente la totalidad d e las nuevas versiones n t capaces de manejar los formatos utilizados por versiones anteriores, pero no sieiapct ocurre en sentido contrario. E l equipo auditor determinar la existencia de procedimientos formal roen* establecidos para la autorizacin, aprobacin, adquisicin de nuevas aplicaciones y cambios de versiones. Asimismo, comprobar que las aplicaciones instaladas y Im i~mhrw A t v m m m bis segiiirfn trwtnv los trmites exigid) en el procedimxato establecido. Tam bin se ocupar d e determinar si se han analizado los problemas de integracin y las incompatibilidades que pueden plantear los nuevos productos previamente a su implantacin; si se ha establecido algn plan para la formacin de los usuarios finales que vayan a utilizar estos nuevos producs; y si los encargados de mantenerlos han adquirido los conocimientos suficientes para cue los cam bios que va a producirse no impacten negativamente en el funcionamiento de la organizacin.

www.FreeLibros.me
ItVLO AlPtTOKA l>F. t-AOFlMATKA D eterm ina r si los u suario s cu en ta n con suficiente form acin y la docum entacin de apoyo necesaria p a ra d e sa rro lla r tu s ta re a s de un m odo eficaz y eficiente. Un conocimiento deficiente d e las funcionalidades de las aplicaciones por parte & los usuarios finales o de los encargados del mantenimiento, picdc ocasionar prdida de eficacia y eficiencia en la utilizacin d e las mismas. N o debemos olvidar que carecer de los conocimientos necesarios puede ser debido tanto a qoc los usuarios to han sido formados como a que no han aprovechado debidamente los cursos de formacin recibidos. FJ equipo auditor determinar la exiMencia de un plan de formacin para garantizar que todo el personal conoce los productos que tiene que utilizar, incluyendo bs nuevas aplicaciones y las versiones instaladas. Tambin comprobar que tras la b o d n de los cursos, se aplica algn mecanismo para determinar el aprovechamiento conseguido por los alumnos, y si se entrega a los usuarios documentacin bsica de la operativa del producio. o si pueden acceder a ella fcilmente en caso de necesidad. Igualmente, comprobar que los empleados utilizan las posibilidaJes que ofrece el producto y no sim ulan procedim ientos utilizados en versiones previas o en afcacioncs utilizadas con anterioridad. Asimismo, evaluar los mecanismos y rcalos establecidos para solucionar las dudas y problem as planteados determinando a la responsabilidad de solucionarlos corresponde a un equipo de soxirte com n a toda la organizacin, o bien, recae sobre el propio departamento. D eterm inar si el sistem a existente se a ju sta a las necesidades reales d e ln trpnizacin. La exigencia de equipos obsoletos o infrautilizados puede ocasionar situaciones qce, por nu la distribucin de los equipos a las necesidades de la organizacin, irpcreuun en el correcto funcionamiento d e la misma. El equipo auditor valorar el uso que se realiza de los equipos existentes, elaborando una relacin de aquellos computadores que n o se encuentren operativos. Asimismo, revisar las actividades que se ejecutan en cada equipo, determinando apello* puestos de trabajo que. por las u rca s que desempean, necesitan ser atomatizados o precisan actualizar los equipos existentes: as como lucilos puestos qoe, debido a su escasa actividad, se encuentran sobredimensionados. A la vista de los resultados obtenidos, elaborar una relacin con ecsendacioocs sobre descatalogacin de productos obsoletos, redistribuciones y adquisiciones de nuevos equipos y aplicaciones.

www.FreeLibros.me
X MIPtTWtlA INKXtMTKA C N *t-NWXJt1 *: MlCTtOO___________________________ IUIU

9.2.2. Seguridad
D eterm inar d existen K iian liiH su firicn trs p a ra p ro teg e r lov acceso no autorizados a la inform acin reserv ad a d e la e m p resa y la in tegridad de b misma. Las aplicaciones ofim ineas gestionan informacin reservada com o agendas de contactos, informes sobre temas confidenciales, estadsticas obtenidas coa informacin extrada de la base de datos corporativa, etc. Los accesos no autorizad o las inconsistencias en este tipo d e informacin pueden comprom eter el boa funcionamiento de la organizacin. A l margen de los requerimientos que. en un futuro, disponga el reglamento de seguridad en desarrollo del articulo 9 de la Ley Orgnica 5/1992. d e regulacin dd tratamiento automatizado de datos de carcter personal, pendiente d e aprobacin, h organizacin ha de establecer las polticas y procedimientos de seguridad necesario* pora garantizar la confidencialidad, integridad y disponibilidad d e la informacia almacenada. Las funcionalidades en materia de segundad de las aplicaciones climticas y loa sistema operativos de los computadores personales se han incremntalo significativamente en h ltimos artos, ofreciendo un nivel de seguridad aceptable. No obstante, garantizar el cumplimiento de algunas de las medidas de seguridad expuestas a continuacin exigir recurrir a la adquisicin d e paquetes adicionales y. sobre todo, la adopcin de medidas organizativas. FJ equipo auditor examinar la documentacin en materia d e seguridad existente en la organizacin y comprobar que han sido definidos, al menos, procedimientos de d a sifica d n de la informacin, control d e acceso, identificacin y autenticacin, gestin de sopones, gestin d e incidencias y controles de auditoria. Coa posterioridad, pasar a comprobar si las medidas de seguridad definidas se encuentras realm ente operativas. En primer lugar, determinar si el procedim iento J e lanificacin de U informacin establecido ha sido elaborado atendiendo a la sensibilidad e importancia d e la misma, y comprobar que toda la informacin se ha clasificado en funcin de loa criterios establecidos. Tras verificar que las fundones, obligaciones y responsabilidades, e n materia de seguridad, de cada puesto de trabajo estn claram ente definidas y documentadas, comprobar que se han adoptado las medidas necesarias para que todo el personal conozca tanto aquellas que afecten al desempeo d e su actividad como las responsabilidades en que pudiera incurrir en caso d e incumplirlas.

www.FreeLibros.me
rA HTtLO AUOrTORlA IXi LA o i m h c a a Examinando la relacin actualizada d e usuarios del sistema y de derechos de ioeo establecidos, comprobar que cada usuario tiene autorizacin para acceder incamemc a aquellos datos y recursos informticos que precisa para el desarrollo de u t funciones. El equipo auditor deber comprobar si se han establecido procedim ientos de identificacin y autenticacin para el acceso al sistema. Cuando el mecanismo de Mtnticacin se base en contraseas, determinar si el procedimiento d e creacin, nacenamiento. distribucin y modificacin de las mismas garantiza su confidencialidad. Tam bin, determinar si los usuarios desconectan sus puestos de tatujo al finalizar la jom ada, y si existe algn mecanismo que produzca la escooexin automtica de un usuario tras un periodo de inactividad determinado, o lien, que precise introducir una contrasea para poder reanudar el trabajo. En ningn caso olvidar verificar el cumplimiento de los procedim ientos estiblecidos para solicitar nuevos accesos o modificaciones sobre los derechos definidos para un usuario, y que. exclusivamente, e l personal autorizado se ocupar de cooceder. alterar o anular los derechos de acceso sobre los datos y recursos rfocmiticos. El equipo auditor analizar el procedimiento d e notificacin y gestin de incidcncias definido en la autorizacin, determinando cules son las incidencias registradas, el momento en que se producen, la persona que realiza la notificacin, a quta le son comunicadas, el responsable asignado para revisarla y corregirla, los eectos producidos y las actuaciones que ha provocado. Finalmente, comprobar que lodos los sopones informticos permiten identificar b informacin que contienen, son inventariados y se alm acenan en un lugar con icceso restringido nicamente al personal autorizado. Igualm ente, verificar que la uU a de sopones informticos fuera d e la organizacin es debidamente autorizada. Determ inar si el procedim ien to d e generacin d e las copias d e resp ald o es fuble y garantiza la recuperacin d e la inform acin e n caso d e necesidad. La informacin generada por el sistema debe estar disponible en todo momento. U no disponibilidad de datos, especialmente de aquellos procedim ientos crticos para b organizacin, adems de las consabidas prdidas econmicas, podra llevar, en el urtmo. a la paralizacin del departamento.

12 equipo auditor examinar el procedimiento de copias de seguridad seguido en borginizacin. verificando la suficiencia de la periodicidad, la correcta asignacin de mpontabilidadex y el adecuado alm acenamiento de los soportes.

www.FreeLibros.me
g DITORU ISKHtMATK V UN IVKXX'f HtCTICP bit primer lugar, comprobar que la responsabilidad de realizar las copias de seguridad est asignada y que cada responsable realiza copias d e la informacin que k encuentra bajo su responsabilidad, de tal forma que lodos los datos ica salvaguardados. A continuacin, verificar la existencia de un inventario de 'a soportes que contienen las copias d e seguridad y de la informacin salvaguardada. Posteriormente, determinar si la seguridad im pkm entada para garantizar h confidencialidad e integridad d e las copias de salvaguarda ofrece ginota equivalentes a las definidas p ira la informacin que contienen, tanto en los sopona que ve mantienen en los locales de la empresa como en aquellos que se trasladan a a ta ubicacin externa. l-inalmcnie. controlar la eficacia del procedim iento definido para la recuperado de las copias de seguridad, determinando si los soportes contienen la informacin qse est previsto que contengan, y si es posible la recuperacin de la misma, d e fo rro 9a el resultado final sea un fiel reflejo de la situacin anterior. D eterm in a r si est g a ra n tiz ad o el fu n cionam iento ininterrum pido d e aquella s aplicaciones cuy a c ad a p o d ra su p o n e r p rd id a s d e in tegridad de b inform acin y aplicaciones. E n las organizaciones se desarrollan procesos en los que una cada de tenst podra ocasionar prdidas de integridad de la informacin y aplicaciones ituncpju, en ocasiones irrecuperables. El equipo auditor determinar la existencia de sistemas de alimentante ininterrumpida, y si stos cubren el funcionamiento de aquellos equipos en ios que k ejecutan procesos cuya intemipcn podra ocasionar graves repercusiones. A simismo, debe ocuparse de sim ilar una cada de tensin, verificar si los equpa de alimentacin ininterrumpida entran en funcionamiento y comprobar si el tiempo de actividad proporcionado por el sistema d e alimentacin ininterrum pida e s sufwieaie. para la finalizacin de los procesos crticos y la desconexin del sistema. D eterm inar el g rad o d e exposicin an te la posibilidad d e in tru si n de virus. Los costes derivados de la intrusin de virus informticos se han multiplicado a k * ltimos artos: prdida de la informacin y em pleo de recursos y tiempo pm restablecer el sistema, llegando en algunos casos a la paralizacin temporal dd departamento. El equipo auditor analizar la proteccin establecida en cada uno de los piona del sistema por los que podran introducirse virus: disqueteras. mdem, accesm a

www.FreeLibros.me
CAPiiVLO Atom m iAi. ia o u m m ic a xi? les. etc.: y revisar la normativa para la instalacin y actualizacin peridica de prodo:tos antivirus, prestando especial atencin a aquellos casos en que la formacin manejada puede ser crtica para el funcionamiento de la organizacin. Asimismo, analizar la configuracin d e los equipos y la iMtalacin de ffogramas que permitan detectar la existencia d e virus, evitar su ir tm i n en el Ksicrru y elim inar aquellos que se hayan introducido. En caso de que detectara algn virus en alguno de los equipos, el equipo auditor itfc*mar inmediatamente al responsable autorizado sugiriendo las medidas que estime pertinentes pora evitar la propagacin del mismo.

9.2.3. N orm ativa v ig en te

D eterm inar si en el e n to rn o o fim itico se p ro d u cen situaciones q u e p uedan apo n er infracciones a lo dispuesto en la ijt y O rg n ica 51/1999. de proteccin de latos de ca r c te r pe rso nal (I.OPD ). La I.OPD establece una serie de principios y derechos de los ciudadanos en dacin con sus datos de carcter personal incluidos en archivos automatizados. Adems, aquellos afectados que sufran daAo o lesin en sus bienes o derechos coco consecuencia del incumplimiento de k> dispuesto en la LOPD. purden reclamar h correspondiente indemnizacin ante los T ribunales d e Justicia. El equipo auditor deber comprobar la existencia d e un inventar) d e archivos qoe manejan datos de carcter personal y constatar que este inventario contiene todos bs archivos gestionados en los entornos ofimticos. Aunque en la mayora d e los casos estos entornos gestionan archivos que se constituyen com o meramente auxiliares * otros existentes en la organizacin, en algn supuesto podran tratarse datos personales que no se encontraran incluidos en ninguno de los archivas o bases de *os corporativas. La tarea del equipo auditor consistir en determinar que los chivos que gestionan datos personales en entornos ofimticos se encuentran bajo oirol y que han sido notificados al Registro General de la Agencia d e Proteccin de Dmos. Los controles para verificar que los archivos existentes cumplen los preceptos otibiecidos en la LOPD no pueden excluirse de los procedim ientos generales para lodi la organizacin, excediendo, por consiguiente, del alcance del presente capitulo.

www.FreeLibros.me
y * AtlMTOKtAINIOHMTK'A UN fc-OQt-'E HtACTKO___________________________ CU* Basic recordar que el equipo auditor deber comprobar la adecuacin y valida* los proced miemos establecido* en la organizacin pora garantizar el cumplimiento* los principios (calidad de los datos, informacin en la recogida, consentimiento dri afectado para el tratamiento y la cesin, seguridad de datos, deber de secreto, ele.); derechos (acceso, rectificacin y cancelacin) recogidos en la mencionada Ley. D eterm ina r si en el e n to rn o ofim tico se p ro d u cen situaciones q u e potda suponer infracciones a lo disp u esto en el Real D ecreto le g isla tiv o 1/19%, i t U de a b ril, sobre la prop ied a d intelectual. La mayorfa de las copias ilegales utilizadas en las organizaciones corresponde! aplicaciones m kroinftxm ticas. en especial a aplicaciones ofim ticas. Este hetto puede provocar que aquellos afectados que sufran algn tipo de d a to o perjuicio ccot consecuencia del incumplimiento d e lo dispuesto en el Real Decreto Legislativo sobit la propiedad intelectual, presenten reclamaciones ante lo s Tribunales de Justicia puedan derivar incluso causas crim inales. El equipo auditor deber elaborar una relacin exhaustiva de las aplicackoa, residentes en equipos ofimtico s. que precisen licencia para su utilizacin. bu relacin se contrastar con el inventaro d e la organizacin para verificar <pe coinciden, y. en caso contrario, deber averiguar cules son las copias ilegalmetft utilizadas. FJ equipo auditor se ocupar d e verificar la definicin y aplicacin de medri* con carcter preventivo, tales como: la existencia de un rgimen disciplinario if* ta conocido por todos los empleados, la inhabilitacin d e las disqueteras y otros pucm de entrada y salida, y las limitaciones en el acceso a redes externas a la organizante. Igualm ente, verificar las medidas defectivas existentes u le s como: la asignad* de responsables que se ocupen de efectuar exploraciones peridicas d e las aplicacin contenidas en cada computador y d e analizar los niveles d e utilizacin de la aplicaciones compartidas en la red. Finalm ente, comprobar la definicin de medidas correctivas tales cocnoc h eliminacin de las copias ilegales que se localicen: los procedim ientos pora detereior el modo de intrusin y. en consecuencia, definir medidas para evitar que esta sitwci* se repita: y adoptar las acciones disciplinarias pertinentes.

9.3. CONCLUSION ES
La mayora de las aplicaciones de auditora en entornos ofimticos no difiot sustancial mente de las actuaciones necesarias para auditar sistemas centralizados Fi ambos casos, la experiencia profesional del auditor supone el elemento fndame!

www.FreeLibros.me
ctH__________________________________ CAPtTVlO AUDTKXtlA DE LA (X1MTICA

3 0 V

pus U seleccin de los controles objeto de verificacin y la adecuacin de los mismos 1 sistema a auditar, teniendo presente en lodo momento que la evolucin sufrida por tos enlomo ofimticos exigir conocimientos especficos y tcnicas novedosas. La presentacin de los controles muestra una secuencia e n las actuaciones a (alizar en la auditora. Com o paso previo al inicio de la auditora propiamente dicha, el equipo audito debe comprender en profundidad el funcionamiento del sistema y del so que se hace del mismo, ari como analizar los riesgos a los que est expuesto. Para cada uno de los aspectos a revisar, debe comprobar la definicin d e controles preventivos, defectivos y correctivos. A cto seguido, debe verificar si los controles defendos son realm ente aplicados por los usuarios durante el desarrollo de sus wividades. Finalm ente, deber emitir una valoracin acerca de la suficiencia y adecuacin de los controles definidos c implantados para la prevencin de los riesgos a k que se encuentra sometido el sistema. Dorante la exposicin de los controles, nos hemos referido con frecuencia a | documentos, procedim ientos y polticas de actuacin definidas e im plantadas en la organizacin; sin embargo, e s un hecho habitual que algunos d e ellos n o hayan sido definidos. Es labor del auditor, adems de constatar tales deficiencias en su informe, pwxipur en la elaboracin de los mismos. Es decir, el auditor debe ocuparse de detectar las deficiencias presentes en el funcionamiento de la organizacin, pero, adems. debe contribuir con su experiencia y conocimientos en la elaboracin de los procedimientos y recomendaciones que permitan subsanarlas. Como consideracin final, recomendar que la auditora o fim itica no debe tta'-msc de un modo independiente. Nos parece ms adecuada la integracin d e los esetroles ofimticos dentro de un plan de auditora de mayor alcance, principalm ente per activos de eficacia y eficiencia en la preparacin y desarrollo de la misma.

9.4. LECTURAS RECOM ENDADAS

Itocus, A J Douglxs, I. J. Auditora informtica. Paraninfo. 1987. Roa Weber EDP auditing. 1988. Conceptual foundations a n d practice. McGravv Hill.

tremer, K. L.. King. J. L. Compute r-B ased systems fo r Cooperalive Work and H Groap Dectsions M oking. ACM Comp. Survcys, so l. 20. n.* 2. junio 1988. pp. ; 115-146.

B l a c tte c h PuNicactions. ED P Auditing. 1993. Captulos 74-01-01. 74-01-05. 74 >01744)1-30.74-01-65. 74-01-71 y 75-01-15. , Alexander. Cooperative office systems: Concepts. Prentice Hall. 1995.

www.FreeLibros.me
9.5.
I-

C UES TIO N ES DE REPASO

Qu elementos d e un sistema informtico se contemplan dentro de k ofi m tica? Explique el paradigma de escritorio virtual. Qu distingue la auditora de ofim tica de la ce otros entornos tafom ticos? Analice la repercusiones que poede tener en un empresa un inventan poco fiable bajo las perspectivas de la economa, la eficacia y la eficiencia. Cmo debera ser un procedim iento para la realizacin d e cambio it versiones de paquetes ofim ticos? Calcule el coste real de un computador personal p a n una empresa deagt et cuenta el hardware, software, mantenimiento, formacin, d e .). Qu mecanismos de seguridad d e los que conoce se pueden aplicar a k* computadores personales? Escrba un procedim iento para la utilizacin de equipos ofimitico* q* pueda ser entendido por usuarios finales. Analice las principales "vacunas'' existentes en el mercado contra virus <pe afecten a computadores personales.

2. 3.

4.

5.

6.
7.

8.
9.

10. Qu consideraciones al entorno ofimtico se encueitran en la LOPD?

www.FreeLibros.me

CAPTULO 10

A U D ITO R A DK LA D IR E C C I N
Juan M iguel Ramos Eseobout

10.1. INTRODUCCIN
S*mpre se ha dicho que una organizacin e s un reflejo de las caractersticas de direccin. Los modo* y maneras de actuar de aqulla c u n influenciados por la fibwfa y la personalidad de la segunda. Obviamente, los departamentos informticos no son una excepcin. Aunque fuede argumentarse con razn, que. a su vez. estos departamentos estn integrados en crpeuacioncs mayores y que. por tanto, son destinatarios de un sinfn de estmulos de las mismas, qu duda cabe de que. dado el mbitq tecnolgico tan particular de la Somtica, la principal influencia que dichos departam entos reciben viene inducida desde la propia direccin de informtica. F.n cualquier caso, e s e n lo que se centra este aplalo: en la auditora de la Direccin entendida como gestin (en el resio del ciftaiSo se intercambiarn los dos trm inos) de la Informtica. Las enormes sumas que las empresas dedican a las tecnologas de la informacin cu un crecimiento del que no se vislumbra el final y la absoluta dependencia de las sumas al uso correcto de dicha tecnologa lu cen muy necesaria una evaluacin independiente de la funcin que la gestiona. Rilo constituye, de hecho, la razn piKipal de este libro. La direccin de informtica no debe quedar fuera: e s una pieza cinc del engranaje. Sin entrar en discusiones profundas sobre el alcance y significado detrs del voto dirigir (no es el objetivo de este libro y existen multitud d e plumas ms preparadas que la ma para disertar adecuadamente sobre este apartado), de una

www.FreeLibros.me
211 AUDITORA INFORMTICA- UN KSKIQt'E WtCnCO

"1
vm

manera general, se podra decir que algunas de las actividades hisicas Je todo pw a de direccin son: Planificar Organizar Coordinar Controlar

10.2. PLANIFICAR
En grandes lneas, se trata de prever la utilizacin d e las tecnologas de b informacin en la empresa. Existen varios tipos de planes informticos. El priaripl y origen de todos los dems, lo constituye el Plan Estratgico d e Sistemas 6c Informacin.

10.2.1.

Plan Estratgico de Sistemas de Informacin

Es el marco bsico d e actuacin de los Sistemas de Informacin en la empeca Debe asegurar el alineamiento de los mismos con los objetivos de la propia empresa. Desgraciadamente, la transformacin de los objetivos de la empresa en objetiva informticos no es siempre una tarea fcil. Mucho se ha escrito sobre el contenido) las ventajas e inconvenientes d e las diversas metodologas de realizacin de este 6po de planes. N o se trata en estos breves apuntes de terciar en dicha polmica. El leda encontrar abundante bibliografa sobre la materia. E l auditor deber evaluar si lia metodologas se estn utilizando y/o pueden ser d e utilidad para su empresa. Estrictamente hablando, estos planes n o son responsabilidad exclusiva de b Direccin de Informtica. Su aprobacin final probablemente incumbe a cor estamentos de la empresa: Comit d e Informtica (ver ms abajo) e incluso en ltia trmino de la Direccin General. Sin embargo, la Direccin de Informtica debe ser d permanente impulsor de una planificacin d e Sistemas de Informacin adecuadi y i tiempo. Aunque se suele definir la vigencia de un plan estratgico como de 3 a 5 aAos,de hecho tal plazo es muy dependiente del entorno en el que se mueve la empresa. Kij muchos factores que influyen: la cultura de la propia empresa, el sector de actividad e s decir, si la empresa se encuentra en un sector en el que el uso adecuado de h tecnologa informtica es un factor estratgico - e l sector financiero, por ejemplo . Ix acciones de la competencia, etc. Cada empresa tiene su equilibrio natural y el ao& r deber evaluar si los plazos en uso en su empresa son los adecuados.

www.FreeLibros.me
En cualquier caso, independientemente de la metodologa, 1 plazo y la roones concretas, lle v ad a cabo, debe existir un proceso, con participacin activa te los usuarios, que regularmente elabore planes estratgicos de Sistemas de kfcmucin a largo plazo, cualquiera que vea ese largo, y el auditor deber evaluar su tocacin.

C w de auditora El auditor deber examinar el proceso de planificacin de sistemas de fcrmxia y evaluar si razonablemente se cumplen los objetivos pora el mismo. Etttc otros aspectos, deber evaluar si: Durante el proceso de planificacin se presta adecuada atencin al plan estratgico de la empresa, se establecen mecanismos d e sincronizacin entre sus grandes hitos y los proyectos informticos asociados y se tienen en cuenta aspectos como cambios organizativos, entorno legislativo, evolucin tecnolgica, organizacin informtica, recurvo*, etc., y sus impactos estn adecuadamente recogidos en el Plan Estratgico de Sistemas de Informacin. Igualmente, el auditor deber evaluar si se presta adecuada consideracin a nuevas tecnologas informticas, siempre desde el punto de vista d e su contribucin a los fines de la empresa y n o com o experimentacin tecnolgica. Las tareas y actividades presentes en el Plan tienen la correspondiente y akcuada asignacin de recursos para poder llevarlas a cabo. Asim ismo, si tienen plazos de consecucin realistas en funcin d e la situacin actual de la empresa, de la organizacin informtica, del estado de la tecnologa, etc. Entre las acciones a realizar, se pueden d e scrib ir Lectura de actas de sesiones del Comit de Informtica dedicadas a la planificacin estratgica. Identificacin y lectura de los documentos intermedios prescritos por la metodologa de planificacin. Lectura y comprensin detallada del Plan e identificacin de las conudc raciones incluidas en el mismo sobre los objetivos empresariales. cambios organizativos, evolucin tecnolgica, plazos y niveles de recursos, etc. Realizacin de entrevistas al D irector d e Informtica y a otros miembros del Comit de Informtica participantes e n el proceso de elaboracin del Plan Estratgico Igualm ente, realizacin de entrevistas a representantes d e los usuarios con el fin de evaluar su grado d e participacin y sintona con el contenido del Plan.

'

www.FreeLibros.me
' AKUTOKlA IMOMTK~A UN tM o q c ii H u m e o Identificacin y comprensin de lo* mecanismos existentes d e seguimiento; actualizacin del Plan y de su relacin con la evolucin de la empresa.

10.2.2.

Otros planes relacionados

Com o se ha comentado ms arriba, normalmente, deben existir otros plua i informticos, todos d io s nacidos al amparo del Plan Estratgico. Entre otros, le* ttk habituales suelen s e r Plan operativo anual Plan de direccin tecnolgica Plan de arquitectura de la informacin Plan de recuperacin ante desastres

Algunos de ellos (Plan tecnolgico. Plan d e arquitectura) aparecen a vera integrados en el propio Plan Estratgico. En este capitulo, se tratarn slo dos de e* planes, los ms comunes y que. adems, siempre tienen vida propia: Plan operativo y Plan de recuperacin.

Plan ope ra tivo anual El Plan operativo se establece al comienzo de cada ejercicio y e s el que marca la pautas a seguir durante e l mismo. Debe estar, obviamente, alineado con d Ra Estratgico. Asimismo, debe estar precedido d e una recogida d e necesidades de Va usuarios. El Plan operativo de Sistemas de Informacin describe las actividades a reatar durante el siguiente ejercicio natural. Entre otros aspectos, debe sealar los aiien u de informacin a desarrollar, los cambios tecnolgicos previstos, los recursos y I plazos necesarios. e(c.

El auditor deber evaluar la existencia del Plan y n i nivel de calidad Debed estudiar su alineamiento con el Plan Estratgico, su grado de atencin a I* necesidades de los usuarios, sus previsiones d e los recursos necesarios pora llevar * cabo el Plan. etc. IV b e ri analizar si los plazos descritos son realistas teniendo a cuenta, entre otras cosas, las experiencias anteriores en la empresa, etc.

www.FreeLibros.me
> IO ALDITtmlA Dfc 1.ADHtfcCqN II? Han de recuperacin an te desastres Una instalacin informtica puede v e n e afectada por desabres de variada W unlc/a: incendio, inundacin, fallo d e algn componente crtico de hardware, robo, ubotaje. acto de terrorismo, etc., que tengan como consecuencia inmediata la disponibilidad de un servicio informtico adecuado. La Direccin debe prever esta potabilidad y. por tanto, planificar para hacerle frente. En otro captulo de este libro se cubren los aspectos relativos a la auditora d e un Plan de recuperacin ante desastres. Sin embargo, se quiere sealar aqu que dicho Flu es responsabilidad directa de la Direccin y no del responsable d e la seguridad

10.3. ORGANIZAR Y COORDINAR

El proceso de organizar sirve para estructurar los recursos, los flujos de (formacin y los controles que permitan alcanzar los objetivos marcados durante la (Unificacin.

10.3.1.

Comit de Informtica

Una de las acusaciones m is comnmente lanzadas contra la informtica y los nformticos es la falta de comunicacin y entendim iento que se establece entre el departamento de informtica en la empresa y el resto de la misma. El Comit de Momifica es el primer lugar de encuentro dentro d e la empresa de los informticos y m usuarios: es el lugar en el que se debaten los grandes asuntos de la informtica que tfectan a toda la empresa y permite a los usuarios conocer las necesidades del coajunto de la organizacin - n o slo las d e su rea- y participar en la fijacin de prioridades. Se evitan as acusaciones de favoritismo entre unas reas y otras, en csanoo al trato recibido de informtica, y. en definitiva. se atiende a la mejor Bfcacio de los recursos informticos. tradicMnalmente escasos. Si toen estrictamente el nombramiento, la fijacin d e funciones, etc. del Comit 4c Informtica no son responsabilidades directas de la Direccin de Informtica, sino de la Direccin General fundamentalm ente, la Direccin de Informtica se ha de ftovertir en el principal impulsor de la existencia d e dicho Comit. Aunque no existe regla fija, e l Comit debera estar formado por pocas personas y fMidido por el director ms snior, dentro de la empresa, responsable en ltimo iriao de las tecnologas de la informacin. El D irector de informtica debera k o m como secretario del Comit y las grandes reas usuarias deberan estar ftptxttadas al nivel de sus directores ms snior. Asimismo, el director de Aitoria lr:cm a debera ser miembro del Com it. O tras personas de la organizacin

www.FreeLibros.me
tambin pueden integrarse en el Comit conto miembros temporales cuando se tra asuntos de su incumbencia o de su especialidad. Se ha escrito mucho sobre las funciones que debe realizar un Coecit 4 Informtica y parece existir un cien o consenso en. al menos, los siguientes aspectoci Aprobacin del Plan Estratgico d e Sistemas de Informacin. Aprobacin de las grandes inversiones en tecnologa de la informacin. Fijacin d e prioridades entre los grandes proyectos informticos. Vehculo de discusin entre la Informtica y sus usuarios. ! ^ ^

Vigila y realiza el seguimiento d e la actividad del Departamento de Informtica.

G ua de a u d ito ra A l tratarse del mximo rgano decisorio sobre el papel de las tecnologa de k informacin e n la empresa, ninguna auditora de la Direccin de Informtica deberlt soslayar su revisin, lil auditor deber asegurar que el Com it d e Informtica existe j cumple su papel adecuadamente.

Para ello, deber conocer, en primer lugar, las funciones encomendadas 4 Comit. En este punto, difieren los accione* concretas que el auditor debed emprender ya que dependern, en gran manera, del grado de Normalizacin impera* en la empresa. En unos casos, existir una normativa interna explicando los objetivo, j responsabilidades, componentes, etc. del Comit y en otros no existir nada de eso y ' no habr ms que reuniones aperidicas del mismo. Entre las acciones a realizar, figuran: Lectura de la normativa interna, si la hubiera, para conocer las funciones qx debera cumplir el Cocnill d* Informtica. Entrevistas a miembros destacados del Comit con el fin d e conocer 1* funciones que en la prctica realiza dicho Comit. Entrevistas a los representantes de los usuarios, miembros del Comit, pin conocer si entienden y estn de acuerdo con su papel en el mismo.

Una vez establecida la existencia del Comit de Informtica, habr que evahur U adecuacin de las funciones que realiza. Para ello, el auditor, mediante un conjunto de entrevistas, lecturas de documentacin interna del Comit, etc., deber establecer a juicio sobre la validez, adecuacin, etc. de las actuaciones del Comit. Uno de kt

www.FreeLibros.me
ispectos. furxlamenules que deber revivar ev el que hace referencia a la presencia y pxticipacin efectiva de las reas usuarias. Entre las acciooes a realizar, figuran: Lectura de las actas del Com it y entrevistas a los miembros del mismo, con especial incidencia en los representantes d e los usuarios para comprobar que: El Comit cumple efectivamente con las funciones enunciadas ms am ba. Los acuerdos son tomados correctamente y lo puntos de vista de los representantes de los usuarios son tenidos en cuenta.

10.3.2. Posicin del Departamento de Informtica en la empresa

El secundo aspecto importante a tener en cuenta a la hora de evala el papel de li informtica en la empresa, e s la ubicacin del Departamento de Informtica en la euriKtura organizativa general de la misma. El Departamento debera estar nficientemente alto en la jerarqua y contar con masa critica suficiente para disponer de M ondad c independencia frente a los departam entos usuarios. Tradicionalmcntc. la informatizacin en las empresas comenz por el epiumcnio financiero o de administracin y. por tanto, el esquema tradicional era caconirar al departamento de informtica integrado dentro del financiero o idninistrativo. Hoy en da. la informtica d a soporte a un conjunto mucho mayor de k m empresariales y. por ello, cada vez e s ms habitual encontrar a departam entos de afcrmtica dependiendo directamente de Direccin G eneral. Incluso, en las grandes pnizacioncs. el Director de Informtica es miembro de derecho del Comit de Direccin u rgano semejante. Siempre que el departam ento de informtica est Migrado en algn departam ento usuario, pueden surgir dudas razonables sobre su ecMJnmidad a la hora de atender las peticiones del resto de departamentos de la espesa Usa vez ms. estrictamente hablando, la posicin del Departamento de fcfccmlicj no incumbe su Direccin sino a otros estam entos empresariales. (Rtiblemente, la Direccin General. Sin embargo, se trac a colacin en este captulo. prqoe el auditor debe evaluar si las necesidades de los diferentes departam entos de la a p e s * son tratadas equitativamente por Informtica y no existe un sesgo demasiado lito hacia en departamento de la misma. Si esto ltimo ocurriera, una de las primeras para ello puede ser la ubicacin incorrecta de dicho Departamento.

www.FreeLibros.me
H AUEHTOWAIVFOHMAIKTA IV h.\K>QCK HlCtKX) G ua de a u d ito ra ^

El auditor deber revisar el emplazam iento organizativo del Ocpirumcao di Informtica y evaluar su independencia frente a departam entos usuarios. Para a proceso, ser muy til realizar entrevistas con el D irector de Informtica y direetsm de algunos departamentos usuario* pora conocer su percepcin sobre el grado dt independencia y atencin del Departamento de Informtica.

10.3.3. Descripcin de funciones y responsabilidades del Departamento de Informtica. Segregacin de funciones

E s necesario que las grandes unidades organizativas dentro del De partimento dt Informtica tengan sus funciones descritas y sus responsabilidades claran* delimitadas y documentadas. Igualm ente, e s necesario que este conocimimo x extienda a todo el personal perteneciente a Informtica: todos ellos deben conocer a funciones y responsabilidades en relacin con los sistemas de informacin. Y x> ello e s una labor que compete, en gran medida, a la Direccin de Informtico. Por otro lado, e s de todo punto ciencia! para tener un entorno controlado qae exisla una divisin de funciones y responsabilidades. La filosofa bsica que d* orientar e*ta separacin de papeles es impedir que un so lo individuo pueda traslow un proceso crtico. Adems, se debera asegurar que el personal de Informtica act nicamente dentro de la descripcin de las funciones existente pora su puesto de trabajo concreto. En particular, se debera asegurar la segregacin entre las funciones de de<arrcU) de sistemas de informacin, la d e produccin o explotacin y los depanamentm de usuarios. Adems, la funcin d e administracin de la seguridad debera a a claram ente separada de la de produccin.

A seguram iento de la C alidad I-i calidad de los servicios ofrecidos por el Departamento de Informtica deSt estar asegurada mediante el establecimiento de una funcin organizativa de Aseguramiento de la Calidad. Cada vez ms hoy en da. se asiste, en te (vgM i/aticm ts M /armt-JS ryvfw rorudxr. a h jfitric n fn d e e s a n K 'a <ie cocad de calidad de los servicios informticos, a imagen y semejanza de las organizara* en c\ mundo industrial. E sta funcin de control l u d e sct independiente de la actividad diaria del departam ento y ha de depender directamente de la Direccin de Informtica.

www.FreeLibros.me
Es muy im prtame que n u funcin, de relativa nueva aparicin c i el mundo de 1 organizaciones informticas, tenga el total respaldo de la Direccin y vea percibido i por el resto del Depariamemo.

Cu de auditora No es propsito de este captulo describir las funciones de un dcMrtamcnm de informtica. Ello se describe en otros captulos de este libro, adems d e que existe una pisim a bibliografa sobre la materia. El aspecto fundamental que queremos resaltar aqu e s que el auditor deber comprobar que las descripciones estn documentadas y son actuales y que Uv unidades organizativas informticas las comprenden y desarrollan su labor de acuerdo a las mtsmav. Entre las tareas que el auditor podr realizar, figuran: Examen del organigrama del Departamento d e Informtica e identificacin de las grandes unidades organizativas. Revisin de la documentacin existente pora conocer la descripcin de las funcionen y responsabilidades. Realizacin de entrevistas a los directores de cada una de las grandes unidades organizativas para determinar su conocimiento d e las responsabilidades de su unidad y que stas responden a las descripciones existentes en la documentacin correspondiente. Examen de las descripciones de lav funciones para evaluar si existe adecuada segregacin de funciones, incluyendo la separacin entre desarrollo de sistemas de informacin, produccin y departam entos usuarios. Igualm ente, ser menester evaluar la independencia d e la funcin de segundad. Observacin de las actividades del personal del Departamento pora analizar, en la prctica, las funciones realizadas, la segregacin entre las mismas y el grado de cumplimiento con la documentacin analizada.

Aseguramiento de la C alidad Ei auditor deber evaluar la independencia de la funcin frente al retto de reas eperatisas del Departamento de Informtica, su dotacin de recursos humanos, la experiencia de los mismos, la existencia de mtodos y procedimientos formales de

www.FreeLibros.me
actuacin, las posibilidades reales de realizar mi trabajo, el contenido de lo* nonto elaborados por la funcin, etc. Entre las acciones a llevar a cabo, se pueden considerar Conocimiento de la posicin de la Funcin en el organigrama dd Departamento de Informtica. Anlisis del grado d e cumplimiento de las actividades del Departamento es relacin con las polticas, estndares y procedim ientos existentes tasto generales del Departamento com o especficos de sus funciones organizatim De particular im portancia e s el grado de cumplimiento de la metodoioga dd ciclo de vida de los sistemas de informacin, d e los procedimientos qoc gobiernan la explotacin del computador y de la investigacin de la calidad de los datos que se envan a los usuarios. Revisin de algunos informes emitidos por la Funcin con el fin de evaluir su estructura y contenido son adecuados. Analizar la existencia d e acciones de seguimiento basadas en dichos informes.

10.3.4. Estndares de funcionamiento y procedimientos. Descripcin de los puestos de trabajo

Deben existir estndares de funcionamiento y procedimientos que gobiernen li actividad del Departamento de Informtica por un ludo, y sus relaciones con k departam entos usuarios por otro. Estos estndares son el vehculo ideal p*i transmitir al personal de Informtica la filosofa, mentalidad y actitud hacia bs controles necesarios con la finalidad de crear y mantener un entorno controlado para U vida de los sistemas de informacin d e la e m p reo . De particular importancia son los aspectos relacionados con la adquisicin de quipos o material pun el Deprtamenlo. con el d ix fu y el cMniulIsVinodificaciOnd; sistemas de informacin y con la produccin o explotacin. Adems, dichos estndares y procedimientos deberan estar documentados, actualizados y ser comunicados adecuadamente a todos los departam entos afectados. La Direccin de Informtica debe promover la adopcin de estndares y procedim ientos y dar ejemplo de su uso. Por otro lado, deben existir documentadas descripciones d e los puestos de trabajo dentro de Informtica delimitando claramente la autoridad y responsabilidad en cada

www.FreeLibros.me
CAiiwt.u :o M ixnmlA m-1 a ntuFcrirtN ::i caso. Las descripciones deberan incluir los conocimiento tcnicos y/o experiencia secciono* para cada puesto de trabajo.

Guia de aud ito ra U auditor deber evaluar la existencia d e estndares de funcionamiento y procedimiento y descripciones de puesto* d e trabajo adecuados y actualizado*. Entre las acciones a realizar, se pueden c ita r Evaluacin del proceso por el que los estndares, procedimientos y puestos de trabajo son desarrollado, aprobados, distribuidos y actualizados. Revisin de los estndares y procedimientos existentes para evaluar si transmiten y promueven una filosofa adecuada de control. Evaluacin de su adecuacin, grado de actualizacin, y nivel d e cobertura d e las actividades informticas y de las relaciones con los departam entos usuarios. Revisin de las descripciones de los puestos de trabajo para evaluar si reflejan las actividades realizadas en la prctica.

10.3.5. Gestin de recursos humanos: seleccin, evaluacin del desempeo, formacin, promocin, finalizacin
La gestin de los recursos humanos e s uno de los elementos crticos en la esreciura general informtica. La calidad de los recursos humanos influye directamente ca localidad de los sistemas de informacin producidos, mantenidos y operados por el Departamento de Informtica. Adems, parte d e los recursos humanos necesarios en ni instalacin informtica son grandes expertos tcnicos. Seleccionarlos, mantetrios y motivarlos adecuadamente puede ser crucial pora la buena marcha de la tfamltica y su papel en la empresa.

Geia de a uditoria Entre otro aspectos, el auditor deber evaluar que: La seleccin de personal se basa en criterios objetivos y tiene en cuenta la formacin, experiencia y niveles de responsabilidad anteriores. El rendim iento de cada empleado se evala regularmente en base a estndares establecidos y responsabilidades especficas del puesto d e trabajo.

www.FreeLibros.me
AUWTOHA INFORMTICA- UN ENFOQUE PKCTICO___________________________ m Existen procesos para determinar las necesidades de formacin de loa empicados en bate a su experiencia, puesto de trabajo, responsabibdad y desarrollo futuro personal y tecnolgico de la instalacin. Se p lanilla cobertura ordenada de estas necesidades y se lleva a la prctica. Existen procesos para la promocin del personal que tienen en cuenta n desempeo profesional. Existen controles que tienden a asegurar que el cam bio de puesto de trabajo y la finalizacin de los contratos laborales no afectan a los controles internos y 1 la seguridad informtica.

Adems, el auditor deber evaluar que todos los aspectos anteriores estn en lnea las polticas y procedimientos de la empresa. Entre las acciones a realizar, se pueden citar: Conocimiento y evaluacin d e los procesos utilizados para cubrir vacante* ea el D epartamento d e Informtica, bien sea por promocin interna, bvjoeda directa de pervonal extem o, utilizacin de empresas de seleccin de personal o de trabajo temporal. Anlisis de las cifras de rotacin de personal, niveles de absentismo laboral y estadsticas de proyectos term inados fuera de presupuesto y de plazo. Si kt nmeros son anormales (muy altos), podran constituir una seal de falta de liderazgo por parte de la Direccin de Informtica y/o d e motivacin por pane del personal. Realizacin de entrevistas a personal del Departamento para dctcrnurur a conocimiento de las responsabilidades asociadas a su puesto d e trabajo y de los estndares de rendim iento, y analizar si los resultados de sus cviluackoes de desempeo han sido comunicadas de una manera acorde coe ta procedimientos establecidos. Revisin del calendario d e cursos, descripciones de los mismos, mtodos y tcnicas de enseanza, para determinar que los cursos son consistentes coa los conocimientos, experiencia, responsabilidades, etc. asignadas al persona! y con la estrategia tecnolgica marcada para los sistemas de informacin de U empresa. Revisin de los procedimientos para la finalizacin de contratos. Evaluar i dichos procedimientos prevn que los idcnhficadorcs de usuario, passwoedsy prevn otros dispositivos necesarios para tener acceso a los locales y sistema

www.FreeLibros.me
I > informtico* son cancelados, devuelto*, ele., con efectividad inmediata tras la finalizacin del contrato de un empleado.

W.3.6. C om unicacin
Es necesario que exista una comunicacin efectiva y eficiente entre la Direccin fc hform itica y el resto del personal del Departamento. Entre lo* aspecto* que c* hpcrur.te comunicar se encuentran: actitud positiva hacia lo* controles, integridad, (ta. cumplimiento de la normativa interna -en tre otra*, la d e seguridad informtica-, tanpronuso con la calidad, etc.

Ca de auditora El auditor deber evaluar las caractersticas de la comunicacin entre la Direccin

7 el personal de Informtica. Para e llo se podr servir de tareas formale* como la*
facntas hasta ahora y de otras, por ejemplo, a travs de entrevistas informales con el penonal del Departamento

10.3.7.

Gestin econmica

Eue apartado de la* responsabilidad?* d e la Direccin de Informtica tiene varas Ktus: presupueMacin. adquisicin de bienes y servicios y medida y reparto de

113.7.1.

P m u p u estac i n

Como todo departam ento d< la empresa. el d e Informtica debe tener un presupuesto econmico, normalmente en base anual. Los criterios sobre cules deben ser l* componentes del mismo varan grandemente. Un ejemplo tpico son lo* coste* de b s comunicaciones: en uno* casos es el propio Departamento quien corre con ellos j, es otros casos, puede ocurrir que la poltica de la empresa indique que sean pagados por los departamentos usuario*. En otro ejemplo, tambin puede ocurrir que los reinales (pantallas e im presoras) sean costeados por los usuarios en vez de serlo por bfonniica. Sea cual sea la poltica .seguida en la empresa, el Departamento de hfonnitica debe seguirla para elaborar su presupuesto anual. No vamos a entrar aqu en los diversos mtodos existentes de presupoestacin. pero d auditor deber juzgar si son apropiados. Lo que sf debera d a e en todo proceso de presupuestacin de un Departamento de Informtica es una previa peticin fc necesidades a los departam entos usuarios. Adicionalm ente. el Departamento tendr

www.FreeLibros.me
ili AIIDWOKiA IMOHMTICA US ENFOQth HtCTXX) sus propias necesidades: cam bio o ampliacin del computador o d e los dita*, instalacin de un robot manejador d e cartuchos, de una unidad de comunicaciones, etc. que te debern integrar e n el presupuesto. L o ms lgico e s elaborar al mismo tiesyo el presupuesto econmico y el Plan operativo anual.

C u ta d e a u d ito ra El auditor deber constatar la existencia de un presupuesto econmico, de proceso para elaborarlo -q u e incluya consideraciones de los usuarios- y aprobarte, j que dicho proceso est en lnea con las polticas y procedimientos d e la empresa y cc* los planes estratgico y operativo del propio Departamento.

10.3.7.2. A dquisicin de b ienes y serv icios Los procedimientos que el Departamento de Informtica siga para adquinr b bienes y servicios descritos en su plan operativo anual y/o que se demuestra necesarios a lo largo del ejercicio han de estar documentados y alineados c o kx procedimientos de compras del resto d e la empresa. Aqu, la variedad es infinita, coa lo que es im posible dar reglas fijas.

G ua d e audito ra U na auditora de esta rea n o debe diferenciarse d e una auditora tradicional dd proceso de compras de cualquier otra rea de la empresa, con lo que el auditoc dehal seguir bsicamente las directrices y programas de trabajo de auditora elaborados p a este proceso.

I 0 J . 7 J . M edida y re p a rto de costes La Direccin d* Informtica Aeb* en lodo momento gestionar loa ota asociados con la utilizacin de los recursos informticos: humanos y tecnolgicos. Y ello, obviamente, exige medirlos. Un aspecto muy relacionado es el reparto d e los costes del Departamento erot los usuarios. Esta medida no est im plantada en (odas las empresas y . adems, ticte sus ventajas e inconvenientes que. tambtn. se encuentran fuera del alcance de eflt libro. Normalm ente, la existencia o ausencia d e un sistema de este upo suele ettr muy asociada a la propta cultura d e la empresa. En cualquier caso, es cierto que,* estar presente, se da en general, con mayor frecuencia, e n grandes organizaciones coi

www.FreeLibros.me
caWuujO lo AUPrrowU tx: i a d ire c o n

pede* centros de proceso de dalo* centralizados. Es raro encontrar un sistema de pino de costes en centros informticos de departamentos. I Coa de audito ria El reparto de costes suele ser un tem a delicado. En realidad, el asunto espinoso tx e ser el llamado precio de transferencia, o te a el coste interno que el Departamento de Informtica repercute a los departam entos usuarios por los servicios que les presta. El auditor deber evaluar la conveniencia d e que exista o no un sistema de reparto de cotes informticos y de que ste sea justo, incluya los conceptos adecuados y de que d precio de transferencia aplicado est en lnea o por debajo del disponible en el aerado. Entre las acciones a llesar a cabo, se pueden m encionar Realizacin de entrevistas a la direccin d e los departam entos usuarios para evaluar su grado de comprensin de los componentes de coste utilizados en la frmula de c k u lo del precio de transferencia. Anlisis de los componentes y criterios con los que est calculado el precio de transferencia para esaluar su ecuanimidad y consistencia, y acudir al mercado externo y a o fe ru s de centros de proceso d e datos independientes para compararlas con dichos costes internos. Conocimiento de los diversos sistemas existentes en el Departamento para recoger y registrar la actividad del mismo (consum o de recursos d e mquina, nmero de lincas im presas, horas de programacin, de help-detk. etc.), para procesarla y obtener la informacin de costes y para presentarla de una manera apropiada.

10.3.8. Seguros
La Direccin de Informtica debe tomar las medidas necesarias con el fin de tener sufickete cobertura de seguro* para los sistemas informticos. Aqu se incluyen no (k> las coberturas ms tradicionales com o la de lo* equipos (el hardware) o la de ii& elidid de los empleados, sino tambin otro tipo de coberturas normalmente ms itccitdis a la repentina interrupcin del serv icio informtico por causa de algn desutrc Estas coberturas amparan riesgos tales como la posible prdida de negocio denv*t de dicha interrupcin, los costes asociados al hecho d e tener que ofrecer tenido informtico desde un lugar alternativo por no estar disponible el sitio primario

www.FreeLibros.me
:6 AtlOtTOttlA INFORMTICA UNI .S I W I . 1HACUCO los costes asociados a la regeneracin de datos por prdida o inutilizacin de los a originales. etc.

G ua de a u d ito ra El auditor deber estudiar las plizas de seguros y evaluar la cobertura existente, analizando si la empresa est suficientemente cubierta o existen huecos en dkh cobertura. Por ejemplo, algunas plizas slo cubren el reeniffazo del equipo, pero k los otros costes mencionados, etc.

10.4. C O N TR O LAR
1.a tarca de dirigir no puede considerarse completa sin esia faceta que forma pwc indisoluble de tal responsabilidad.

10.4.1.

Control y seguimiento

Un aspecto comn a lodo lo que se ha dicho hasta el m onento e s la obligacin de la Direccin de controlar y efectuar un seguimiento permaneno: d e la distinta actividad del Departamento. Se ha de v igilar el desarrollo de los planes estratgico y operativo y de los proyectos que los desarrollan, la ejecucin del presupuesto, la evolucin de b caera de peticiones de usuario pendientes, la evolucin de los costes, los planes de formacin, la evolucin de la carga del computador y de los otros recursos (espacio ca disco, comunicaciones, capacidad de las impresoras..., etc. En esta labor, e s muy conveniente que existan csindare? d e rendim iento con k* que comparar las diversas tareas. Son aplicables a las div e rs facetas de la actividad del Departamento: consum o de recursos del equipo, desarrollo operaciones, etc.

G ua de a u d ito ra Entre las acciones a realizar, se pueden mencionar: Conocimiento y anlisis d e los procesos existentes e i el Departamento pm llevar a cabo el seguimiento y control. Evaluacin de la periodicidad de k* mismos. Analizar igualmente los procesos d e represupuestadn.

www.FreeLibros.me
M M W _________________________________ CAWnjLO 10 AtOCTKtlA Dti LADIRECCIN

r >

Revisin de planes. proyectos, presupuestos de aftos anteriores y del actual para comprobar que son estudiados, que xc analizan las d e sv iaci n y que se toman las medidas correctoras necesarias.

10.4.2.
k

Cumplimiento de la normativa legal

La Direccin de Informtica debe controlar que la realizacin d e sus actividades lleva a cabo dentro del respeto a la normativa legal aplicable. En particular, se coonderan fundamentales los relativos a la seguridad c higiene en el trabajo, lormiva laboral y sindical, proteccin de datos personales, propiedad intelectual del software, requisitos definidos en la cobertura d e seguros, contratos d e comercio electrnico, transmisin de datos por lneas de comunicaciones, as com o normativa eaitidi por rganos reguladores sectoriales. Asimismo, deben existir procedimientos para vigilar y determinar permanen temente la legislacin aplicable.

(ka de auditora El auditor deber evaluar si la mencionada normativa aplicable se cumple. Para ello, deber, en primer lugar, entrevistarse con la Asesora Jurdica d e la eaptesj. la Direccin de Recursos Humanos y la Direccin de Informtica con el fin de conocer dicha normativa. A continuacin, evaluar el cumplimiento d e las normas, en particular e n los afectos ms crticos mencionados ms arriba. Si el auditor no es un tcnico en los dstiatos aspectos legales, deber buscar asesoram iento adecuado interno a la empresa o externo.

10.5. RESUMEN
La auditoria de la D ireccin de Informtica es una tarca difcil. Sin embargo, la ccotribucin que dicha Direccin d e Informtica realiza (o debe realizar) al ambiente de control de las operaciones informticas de una empresa e s esencial. Desde un pumo de vista de auditora, la calidad del marco d e controles impulsado c inspirado per U Direccin de Informtica tiene una gran influencia sobre el probable comportamiento de los sistemas de informacin. Por parte del auditor, son ms ecesarias las capacidades, de evaluar la *ts o n que las capacidades tcnicas muy profundas.

www.FreeLibros.me
a
auxtoe Ia informtica un ENFOQCF. PRACTICO

10.6.

L EC TU R A S RECOM ENDADAS
Ron W cbcr. McGraw-W,

FJ)P Auditing. Conceptual Foundation* a n d Practict. I993.

Control O bftrtives fo r Information a n d R tla ttd Trchnology. and Control Foundation. 1996. Control Objecth'fs. F.DP Auditor Associaiion. 1992. Systems Audtlotnliiy and Control. Foundation. 1991.

Information Sysev

T he Institute o f Intemal Auditor Re*e*ck

10.7.
I.

C U ES TIO N ES DE REPASO
Descrbanse 1 actividades a realizar por un auditw para evaluar uo pbt estratgico de u n c n u ' d e informacin. Descrbanse las funciones d e un comit de informtica. Elabrete una lista con las funciones empresariales que deberan estar representadas en dicto comit. Qu objetivo tiene para los usuarios su presencia en el comit? Descrbanse las ventajas d e tener procedimientos. Elabrese un guin de Ip que podran ser procedimientos de: a) diseo de sistemas b) programacin. Qu evidencias deber buscar el auditor para poder evaluar si to necesidades de los usuarios son tenidas en cuenta adecuadamente? Identifiqense las actividades incompatibles desde un punto de vina de control en un departam ento de informtica. Raznese. Qu ventajas de control aporta la existencia de la funcin de asegurarme d e la calidad? Descrbanse los objetivo* d e control a ser evaluados por el auditor en d apartado de gestin d e recursos humanos. Qu tareas debe realizar un auditor para evaluar d plan de formacin dd departam ento de informtica? Cmo puede juzgar si dicho plan es acorde con los objetivo* d e la empresa?

2.

3.

4.

5.

6.
7.

8.

www.FreeLibros.me
CAPm;u> io. auditoria t*.la direccin' a 9. Relacinense las actividades a realizar por un auditor para la evaluacin del precio de transferencia d e reparto de costes entre el departam ento de informtica y lo usuarios.

10. C uites son las reas legales cuyo cumplimiento es el m is importante de auditar?

www.FreeLibros.me

CAPTULO 11

A U D IT O R A D E LA EX PLO TA C I N
E'.oy Pea Ram oi

11.1. INTRODUCCIN
El nivel de competencia que existe, hoy en da. entre la* empresas les obliga a tomar decisiones rpidas y acertadas. Es necesario, para ello, el funcionamiento adecuado de los sistemas informticos (mediante la incorporacin d e las n u e \w lecnoiotas) y su continua actualizacin. De esta forma, es decir, combinando esas tealogiav con una adecuada organizacin y una gestin eficieni:. las empresas podrn alcanzar sus objetivos de manera satisfactoria. La auditoria informtica peridica e s uno de los instrumentos ms eficaces con qoe cuentan las empresas para asegurar su existencia y superar a sus competidores. La deteccin oportuna de las debilidades del sistema permite mejorarlo racionalizando los Ramos. En este artculo se pretende elaborar el esquema de un procedimiento (Figura 11 . 1) p a n llevar a cabo las auditorias de la explotacin de b s sistemas de informacin' siguiendo la clasificacin de los controles que hace el Proyecto CobT.

2 ) 2

www.FreeLibros.me

AUPrroftlA FFORMATKTA: CN ENFOQIT. W tACTKX>___________________________ ctom

11.2. SISTEM AS DE INFORMACIN

En un sentido amplio se puede considerar un Sistema de liform acin (SI) con un conjunto tic componentes que intcractan para que la empresa pueda alcanzar sus objetivos satisfactoriamente (vase figura 11.2). Segn el Proyecto CobiT los componentes o recursos de un SI son los siguientes: En general se considerarn datos tanto k*s estructurados como los no estructurados, las imgenes, los sonidos, etc. Aplicaciones. Se incluyen las aplicaciones manuales y lis informativas. Tecnologa. El softw are y el hardware: los sistemas operativos; los sistemas de gestin de bases de datos; los sistemas de red. etc. Instalaciones. En ellas se ubican y se mantienen los sistemas de informacin.

D i m o s .

www.FreeLibros.me
CArtn.Lo 1 1 A tim o n u Dt. l a i* h x ) t acin ; Personal. Los conocimientos especficos que ha d e tener el personal d e los sistemas de informacin p ira planificarlos, orgam /arlos. administrarlos y gestionarlo.

Figura 11.2. Sistem a d e Informacin Esto* recursos de los sistemas d e informacin se han de utilizar, -inform e COSO iCcwimiUcc o f Sponsoring O rgam /ations o f the Treadway Commission. Intemal Control -Integrated Framework. 1992)-. d e forma que permitan la eficacia y la (ftckncia de la empresa; que los datos financieros elaborados por su sistema de informacin: muestren una im agen fiel d e la misma y que la empresa cumpla la legislacin vigente. Por otra pane el sistema debe asegurar la confidencialidad de sus ditos, aspecto este ltimo contemplado en la legislacin vigente Para hacer el seguimiento y comprobar que el sistema d e informacin est actuando como es preceptivo, ste habr d e disponer d e un control interno que prevenga (os eventos no deseados o e n su defecto los detecte y los corrija. Es conveniente recordar que el resultado de la auditora parcial de un sistema de informacin no se puede extrapolar al conjunto del sistema, h l funcionamiento aalecuado de alguno (o algunos) de los procesos y recursos que intervienen en otras partes del Sistema (subsistemas) puede invalidar el sistem a d e informacin. En el esquema que se ir desarrollando com o procedimiento para auditar la upteacin del sistema, se adoptarn las normas de ISACA. asi como otras Normas

www.FreeLibros.me
de Auditora de Sistemas de Informacin G eneralmente Acepiadas y AplicaNa (NAS1GAA)'.

11.3.

C A R TA DE EN CARG O

Las responsabilidades del trabajo de auditora deben quedar recogidas en ut contrato o carta de encargo antes de com enzar su realizacin (la Norma Generad nmero 12 de ISACA "Draft Standard * 12 se refiere a este aspecto slo en el caso de la auditora interna; pero tambin es d e aplicacin a la a uditora externa, como qoei de manifiesto en oros tipo d e auditoras). En ese documente debe quedar reflejado de la forma m s clara posible, entre otros aspectos, cul ser el alcance del trabajo del auditor.

11.4.

PLANIFICACIN

Segn la Norma General nmero 6 de ISACA las auditorias de los sistemas de informacin deben planificarse y supervisarse para tener la seguridad de que kn objetivos de las mismas se alcanzan y se cumplen las NASIGAA. En la planificacin d e la auditora vamos a considerar tres fases: 3.1. Planificacin estratgica. 3.2. Planificacin administrativa. 3.3. Planificacin tcnica.

11.4.1.

Planificacin estratgica

Es una revisin global que permite conocer la empresa, el SI y su control interno con la intencin de hacer una primera evaluacin de riesgos. Segn los resultados de esa evaluacin se establecern los objetivos d e la auditora y ve podr determiiur so alcance y las pruebas que hayan de aplicarse, asf como el momento d e realizarlas. Para llevar a cabo esta tarca es necesario conocer entre otros aspectos los siguientes: Las caractersticas de k equipos informticos. El sistema o los sistemas operativos. Caractersticas de los archivos o de las bases de datos. l- i organizacin de la empresa. La organizacin del servicio de explotacin.

' El rnnao Nomat de Aadioxta de Sitieros de Infcemacifa Gcneraliwtue AeepalM j Aplicables iwnc I iwunu Mido pe PHocipk de Contabilidad Genenlmene Acepcadot (PCGA)cn ti

www.FreeLibros.me
CAPfTXT-011: At'DITORlA Of l-A HXTtX>TA06y S Las aplicaciones que el SI de la empresa ("auditario") que se est auditando o que se vaya a auditar estn en explotacin. El sector donde opera la empresa. Informacin comercial. La informacin puede obtenerse: a) Mediante entrevistas y confirmaciones: Con Con Con Con los responsables de explotacin. los responsables del plan d e contingencias. los usuarios. los proveedores de softw are y hardware.

b) Inspeccionando la siguiente documentacin: Informes y papeles de trabajo de auditoras anteriores. Las normas y procedimientos d e la empresa relacionados con la explotacin del sistem a d e informacin. l.crs planes de contingencias. Agenda de trabajo. Instrucciones sobre el encendido y apagado de los equipos. Contratos de mantenimiento con otras empresas. Procedim ientos de emergencia. Instrucciones sobre seguridad fsica y lgica. Instrucciones sobre la separacin d e las bibliotecas de desarrollo y produccin. Una muestra representativa de las instrucciones operativas d e las aplicaciones ms importantes donde se incluyan: focha, entradas, tiem po de proceso, mensajes de errores, instrucciones para finalizar tareas errneas y diarios de operaciones.

1M .I.I. Clasificacin de los controles En la auditora informtica se ha distinguido, tradicionalm ente. entre controles geaerales y controles de las aplicaciones.

*Auditar": Al <onoc uagdn Misino c<*i <1 que relenn* al wjeto de la auditoria fn tiempo vtftoal. e <Ww. la pen<a fuoa o f iiU n t*tl c) miemi de u<mvKVo ha a) asditado. ve etfi auditando o a a auditarse. I auk feupeoe. u h o eje* parescr. H ifrm.ro 'fJAirio" <omo susceptible de ta uuli/ado en ual^iieu de e tl Maaoonn

www.FreeLibros.me
M AUDtTOKlA INFORMTICA US PtKXHIh HCMUCU La Norma tcnica nmero 3 de AICPA (Am erican In m u te O Chaner Pubix Accountants). Efectos de l proceso electrnico de datos en e l tu n d i y e\aluacin i d control interno, publicada en 1974. distingue entre controles generales y controles de las aplicaciones. 1.a AICPA public en 1984 la Norma nmero 4 8 (SA S - Stameni on Audttgf Standard) L n efectos del proceso informtico en e l anlisis d e os Essaitu Financieros. En ella se definen los controles generales como aquellos que cul relacionados con todas o con la mayora d e las actividades a n u b le s inlormatiudu, que generalmente incluyen controles del desarrollo de las modificaciones y dd mantenimiento de programas informticos y controles de la utdizactn y modilWacit de lo* datos que se mantienen en archivos informticos. En una lnea parecida se expresa el docum ento nmero I sobre E l estudio y evaluacin d e l control interno en entornos informatizados, publicado por el REA (Registro de Economistas Auditores) en enero de 1996. siendo de inters para d auditor informtico tener en cuenta este documento y sobre toda sus anexos. E l documento publicado por el REA dice: "los Controles Generales son una forte del entorno general de control y son aquellos que afectan, en un centro de procew electrnico de datos, a toda la informacin por igual y a la continuidad de este servicie en la entidad. La debilidad o ausencia de calos con troles picdcn tener un mptKtt significativo en la integridad y exactitud d e los datos. Tambin se con sideral controles generales aquellos relacionados con la proteccin de los activos: U informacin resultante, los elementos ffsicos del hardware y el softw are (programas j sistemas operativos). Los Controles de las Aplicaciones son aquellos relacionado con la captun, entrada y registro de datos en un sistema informtica, as com o los relacionados con n procesamiento, clculo y salida d e la informacin y tu distribucin".

a l C ontroles generales L os controles generales se pueden clasificar en las siguientes categoras: I . Controles Operativos y de Organizacin: Segregacin de Funciones entre el Servicio de Informacin y los usuarios. Existencia de A utorizacin general en lo que respecta a la ejecucin y * la transacciones del Departamento (por ejemplo: prohibir al Servicio de Informacin que inicie o autorice transacciones). Segregacin de funciones en el seno del Servicio de Infirmacin

www.FreeLibros.me
CA rtm jon AtPtroniA tt la ex ho tac i 6 n :.'7 2. Controles sobre el desarrollo de programas y vu documentacin: Realizacin de revisiones, pruebas y aprobacin de k n nuevos sistemas. Controles de la* modificaciones d e los programas. Procedim ientos de documentacin.

3. Controles sobre los Program as y los Equipos: Caractersticas pora delectar, de manera automtica, errores. Hacer mantenimientos preventivos peridicos. Procedim ientos p a n salir de los errores d e los equipos (hardware). Control y autorizacin adecuada en la implementacin de sistemas y en las modificaciones de los mismos.

4. Controles de acceso: Sirven para delectar y lo prevenir errores accidentales o deliberados, causados por el uso o la manipulacin inadecuada de los archivos de datos y por el uso incorrecto o no autorizado de los programas.

5. Controles sobre los procedimientos y los datos: Manuales escritos como soporte de los procedimientos y los sistemas de aplicacin. Controles de las conciliaciones entre los datos fuente y los datos informticos. Capacidad para rc-uaurar archivos perdidos, deteriorados o imorrectos.

k) Controles de las aplicaciones Los controles de las aplicaciones estn relacionados con las propias aplicaciones fotmacizadas. Ix*s controles bsicos de las aplicaciones son tres: captura, proceso y lula L Controles sobre la captura de datos: Altas de movim ientos. M odificaciones de movim ientos. Consultas de movim ientos. M antenimiento de los archivos.

www.FreeLibros.me
:m AtDITOKlA INFORMATICA' l'S b.MO<Jti: rHACTK'O 2. Controles de proceso- Normalm ente se incluyen <n los programas. Se disertan para detectar o prevenir los siguientes tipos de m ores: Entrada de datos repetidos. Procesamiento y actualizacin d e archivo o archivo; equivocados. Entrada de dalos ilgicon. Prdida o distorsin de datos durante el proceso.

3. Controles de salida y distribucin. L os Controles de salida se disertan pao asegurarse de que c resudado del proceso es exactc y que los informe y dem s salidas los reciben slo las personas que estn autorizadas. En el Proyecto CobiT se establece una nueva clasificacin, donde se afirma qct existen tres niveles e n las Tecnologas de la Informacin a li hora de considera b gestin de sus recursos: actividades y/o tareas, procesos y dominios.

A ctM dades y tartas Las actividades y las tareas son necesarias para alcanzar un resultad cuantificabk. Las actividades suponen un concepto cclico, mientras que las tarcas implican un concepto algo ms discreto.

Procesos Los procesos se definen com o una serie d e actividades o tareas unidas por interrupciones naturales.

Dominios L os procesos se agrupan de forma natural dando lugar a los dominios, que se cocifirmiin. grnrralm rne*. n a i u /ominioc de responsabilidad en las estructural organizativas de las empresas y estn en lnea con el ciclo de gestin aplicable a los procesos de las Tecnologas de la Informacin. La G ua de Auditoria del Proyecto CobiT recoge 32 procesos de los Sistemas de Informacin donde se sugieren los objetivos d e control. Eso* procesos eti> agrupados en cuatro dominios. Dominios y procesos de las tecnologas de la informacin

www.FreeLibros.me
CAPtTVLO 1 1 : AITXTOKIA DB LA BXPIOTMK 1. Planificacin y organizacin I. I. Definir e l plan estratgico de las Tecnologas d e Informacin (TTIf. 1.2. Definir la arquitectura de la informacin. 1.3. Determ inar la direccin tecnolgica. 1.4. D efinir la organizacin y las relaciones. 1.5. Gestin de las inversiones. 1.6. Comunicar las tendencias a la direccin. 1.7. Gestin de recursos humanos. 1.8. Asegurarse del cumplimiento d e los requisitos externos. 1.9. Evaluacin de l riesgo. 1.10. Gestin de proyectos. 1.11. Gestin de la calidad.

2.

Adquisicin e im plem entacin 2 .1. Identificar las soluciones automatizados. 2.2. A dquirir y mantener e l software. 2.3. A dquirir y mantener la arquitectura tecnolgica. 2.4. Desarrollar y m antener procedim ientos. 2.5. Instalar y acreditar lo s sistemas. 2.6. Gestin de los cambios.

3.

Sum inistro y m antenim iento 3. I. Definir e l nivel de servicios. 3.2. Gestionar los servicios d e las terceras partes. 3.3. G estionar la capacidad y e l funcionamiento. 3.4. Asegurarse del servicio continuo. 3.5. Asegurarse de la seguridad d e los sistemas. 3.6. Identificar y localizar los costes. 3.7. Formacin terica y prctica d e los usuarios. 3.8. A sistir y asesorar a los clientes. 3.9. M anejo de la configuracin. 3.10. Gestin de los problemas y d e lo s incidentes. 3.11. Gestin de los datos. 3.12. Gestin de las instalaciones. 3.13. Gestin de la explotacin.

4. Monitorizacin 4.1. M onitorizar e l proceso. 4.2. Independencia.

www.FreeLibros.me
MO Al DfTOHlMNKMtVUnCA ir\ RXPOQtT. mACTICO

1 1 .4. 1 . 2. E valuacin d e los controle interno

E funcin del auditor evaluar el nivel d e control interno; tambin e* Je a responsabilidad juzgar i los procedim ientos establecido son los adecuada p n salvaguardar el itema de informacin. La naturaleza y la extensin de los controles que requieren los sistemas de proceso de datos variarn d e acuerdo con la clase de sistemas en uto. El informe CO SO define el CONTROL com o "las normas, los procedmiettoi las prcticas y las estructuras organizativas disertadas para proporcionar segundad razonable de que los objetivos de las empresas se alcanzarn y que los eventos no deseados se prevern, se detectarn y se corregirn". Para evaluar los controles es necesario buscar evidencia sobre: La terminacin completa d e todos los proceso. La separacin fsica y lgica de los programas fuentes y objetos y de la bibliotecas de desarrollo, de pruebas y d e produccin. La existencia de normas y procedimientos para pasar los programa de un biblioteca a otra. Las estadsticas de funcionamiento, donde al menos se incluya: - Capacidad y utilizacin del equipo central y de los perifricos. - Utilizacin de la memoria. - Utilizacin de las telecomunicaciones. Las normas del nivel d e servicios de los proveedores. Los estndares de funcionamiento interno. El mantenimiento y revisin de los d ian o s de explotacin (Oprration La lealizacin del mantenimiento peridico d e todos los equipos. La evidencia de la rotacin de los tum os d e los operadores y de las vacacin tomadas. Una forma de encontrar evidencia, como se comentaba en el punto 11.4.1. la. ei nw A anlf wl*v*-. para llevarla r* h o v pau*<Vn laborar cutioi*rio <* cuadro l l . l ) o listas de comprobacin (ch tck listt) con el objetivo de no olvidar detalles im portantes4. Es conveniente que los cuestionarios y las listas de comprobacin se elaboren d e tal manera que de las respuestas negativas se infiera debilidad, posibilidad de riesgo.

* En U h.M.op,fu qot t t TKomttrnm I leetc* podr enmurar Intat i t con*n*acKa j cuntKxuiKH Je control interno

www.FreeLibros.me
Referencia: 3.13/CCI/1
Por Fha

r a ti Ftdta de auditora Dominio Pro Titula

: Nombre de U empresa : 31/12/952 : Suministro y mantenimiento : Gestita de la explotacin : Cuestionario de Control Interno N/A Observadooe*

Controlo sobre la explotacin drl Serteto de loformacin 1. liuiaeo tio m u y procedimiento! escritos so bre d fur*:icnanieiKo del Servicio de Woran o ta? El Strcio de Informacin, ert separado del m u de tot departamento? E* adecuada ia x p v ta cita de func*es en tre el Servicio de Informacin y los departa mentos de tas usuarios? JE] personal de explotacin participa en fano o a a de ann y desanoUo de aplicaciones? kxiste uarajTama del funoceimierto del Serv io de te/ormacita? Se describen con dettiJe las funciones y rrv ponsafcibdades del pencoal? El personal de explotacin conoce perfetta mente culle* seo tus funciones y sus respon sabilidades? Ea imposible que k operadores acredui a bajo? e rotan la asignaciones de tritajo de lo

Si

No

2. 3.

4. J. 6. 7.

8.

9.

10. Eaisaen nonras de c ta deben hacerse los canteo de nano para que exista la segundad de * e Us vhcvM ies contimi .jm e e -

C u a d r o ll.l(C o n t in a )

www.FreeLibros.me
U IXTORlA INTOKM ATI

Referencia: 3.13/CCI/2
Pe Reta

BB
C'oniroles sobre 1* explotacin drl Servido de In formacin II. Efle personal con conocimientos y experiencia vjfktcnlc que organ/a el trabajo pon que resulte lo mis eficaz posible? 12. Exten procedimientos de salvaguarda, fuera de la instalacin, en relacin con fichttW nunBw, eran u l a y programas, que permiun reconstruir las cpcracKoe* que sean necesarias? IX Se aprueha per penoeul autc*iado la solicitudes de nuevas aplicaciones? 14. Existe pencnal cco autoridad srfcKcte que es ri qje 1$. t fcxisten pnxcdiincnkn adecuado pora mantener la documentacin al da? 16. tienen manuales tolas las apbcacione'* 17. Hurten controles que garantices el uso adecuado de discos y cintas 18. Existen procedimientos Jccuados para cokiw y desconectar de los equipas remotos? 19. Se aprietan los programa* nuevos y k que se revisan ames de ponerlos en funcxoamMMO? 20 Partkipin los departamentos de tucanos en la o ahiacin de Im dalos de pnifNi S No N/A Observadores

C u a d r o ll.l (c o n t in u a c i n )

www.FreeLibros.me
Referencia: 3.13/CCI/3

: Nombre de la empresa Ffctia dr auditoria

Controle obre la cptotad*n del Servicio<1 In formacin 21. Revivan y evalan k>departamento* de uvuano lot multado* de b prueba finalev dando vu apro bante aale de poner en funcaanamaemo las apixa 22. Al pooer en fvjncxumcrto njeva aptxacicoci o x n x o n actualizadas. funcicean en paralelo Un exivtmoev dnale an ciato tiempo IX tSecompreehank resultados con daim reate? 21 Existe penonalre los cooiionlo y expeneoda adecuad que revisa coa periodicidad looxnpoarom finco de lo*equipo* siguiendo lis msmjatcoe de los (abocante*? n a n . turaedad. etc. que recocnenda d (Encante para el equipo, cintas. <c.? * Exnten controle* apropiado* para que fc>las penen auton/adas tengan acceso a k equipo, castas. diKo. documentacin de programas, ete.f

SI

N/A O M enactenn

7. Exitlen norrnas setre hora extn y *e controlan lu cefrada y tafeis dd penonal fuera de s i hora rio detrahaf>?

C u a d r o ll.l(c o n t in u a c i n I

www.FreeLibros.me
1 44 AliWR)lUA INFORMATICA UN bNIQQtlt ntACHOO

1 1.4.1 J . E stablecim iento de objetivo*

En funcin de l i importancia de los riesgos que se hayan detectado, el t o t e establecer los objetivo de la auditora, cuya determinacin concreta permitir dtfiai con claridad el alcance de la misma. Se considera que el riesgo es la presentacin negativa de un objetivo de audiurfi Si la oracin negativa se transforma en oracin afirmativa, se tiene como resultado objetivo de control. Veamos un ejemplo: Una de las preguntas del cuestionario para la entrevista con el Dirette* k Explotacin dice lo siguiente: Tiene su empresa norm as est rilas d e cmo deben hacerse lo s trasposti it programas en desarrollo a program as en explotacin? Si la respuesta fuera negativa, se podra concluir que existe un riesgo por el htd de que cada empleado podra hacer los trasvase* sin lomar las medidas d e scgur>ld necesarias y porque el proceso de trasvase no ha dejado pistas de auditora para poda rehacer los pasos que se han dado y poder comprobar que el trabajo se ha realizado de manera correcta. Por el solo hecho de n o existir normas escritas no quiere decir que los trasvases se realicen mal. No obstante es una posibilidad de riesgo por lo qw debemos convertir este riesgo potencial e n objetivo de auditora. La debilidad sera la siguicmc: !/> empresa no tiene normas escritas de cm o deben hacerse los Iraspatoi it program as tn desarrollo a program as en explotac in. E l objetivo de control sera: Com probar que la empresa tiene normas escritas d e cmo deben hacerse bu traspasos de programas en desarrollo a program as en explotacin. Para alcanzar ese objetivo habr que disertar una serie d e pruebas de cumplimiento y sustantivan Cada una de esas pruebas es un procedimiento. Los procedimientos podran ser: a l Pruebas de cumplim iento Si se confuira que realm ente no existen manuales, no se pueden hacer pruebas de cumplimiento, pues las pruebas de cumplimiento consisten en comprobar que se estl cumpliendo las normas establecidas. El procedim iento podra ser como sigue:

www.FreeLibros.me
caH u io

1 1

: a u x io k Ia mi a kxw xhaoO n ;s

Comprobar fue tai normas para pasar un program a de desarrollo a explotacin ion adecuadas y que la empresa tas est cumpliendo. La inexistencia de manuales no implica, forzosamente, que los traspasos se llevan * cabo inadecuadamente. Para confirmarlo, al no existir normas, se tendran que realizar pruebas sustantivas.

b) Pruebas sustantivas Revisar las aplicaciones - s i son pocas a p tica cim es se revisan todas; si son muchas se elige una m uestra representativa- que se han pasado d e desarrollo a explotacin y. revisar q ue antes de pasarlas han sido sometidas a un tote d e pruebas y iat han i upe rodo utlisfitctortmente. Q ue esas pruebas cumplen los requisitos y estndares d e l sector. Q ue e l traspaso h a sido autorizado p o r una persona con la ufitienie autoridad. As pues, elaborando un cuestionario que contemple todos los aspectos necesarios para la buena explotacin del sistema de informacin y realizando las pruebas oportunas se podrn establecer los objetivos de control de la auditora cuadro 1 1 . 1). Para comprender y evaluar los riesgos no siempre e s suficiente con entrevistas, inspecciones y confirmaciones: puede ser necesario realizar clculos y utilizar tcnicas 4e examen analtico. La confirmacin consiste en corroborar la informacin -q u e existe en los registros- con terceros, normalmente por escrito. Los clculos consisten en la comprobacin d e la exactitud aritmtica d e k registros de datos. Las tcnicas de examen analtico consisten e n la comparacin de los im pones registrados con las expectativas desarrolladas por el auditor al evaluar las iMerrelaciones que razonablemente pueden esperarse entre las distintas partidas de la formacin auditada. Siempre que sea posible <y la naturaleza d e los datos lo permita) es conveniente otiluar tcnicas de examen analtico (Norma Tcnica nmero 5 de ISACA sobre la mfaacMn del trabajo: "The Use o Risk Assesment in Auditing Ptarming").

www.FreeLibros.me
AlOTTORlA INFORMATICA UN XTOQUISPRACTICO_______________

11.4.2. Planificacin Administrativa

La Planificacin Administrativa no se debera hacer hasta haber coocluid % Planificacin Estratgica. En esta fase de la planificacin pueden surgir t problemas por coincidir las fechas de trabajo del personal de b empresa aud&acri otros clientes. A s en esta etapa deben quedar claros los siguieites aspectos: Evidencia. En este punto se podr hacer una relacin con la d disponible en la etapa anterior, documentacin que se utilizar indicando el k donde se encuentra para que est a disposicin del equipo de aiditora. Perumal. De qu personal se va a disponer, qu conocimientos y cxpcriencii los ideales y si va a ser necesario o no contar con expcrtoi. tanto pcruxul de h I empresa auditora com o expertos extemos. Calendario. Establecer la fecha de comienzo y de finalizacin de la audiioriij determinar dnde se va a realizar cada tarca: en las dependencias del clicMe o es l oficinas del auditor. Coordinacin y cooperacin. Es conveniente que el auditor mantenga tactm rela cio n o con el "auditorio", que se establezca, entre ambos, n nivel de cooperante sin que deje de cumplirse el principio de independencia ( K o m u Generales minero 1 .2 y 3 de ISACA) y que se defina con claridad el interlocutor del cliente.

11.4.3. Planificacin Tcnica

En esta ltim a fase se ha d e elaborar el programa de trabajo. En la fase de Planificacin Estratgica se han establecido los objetivos de la auditora En la fa e de Planificacin Administrativa se han asignado los recursos de personal, tiempo, etc. & esta fase de Planificacin Tcnica se indican los mtodos, -e l mtodo de auditora q se va a seguir, e s decir, si se va a seguir un mtodo que se hasc en los controles, o per el contrano la auditora se basar en pruebas sustantivas-, ios procedimientos, bi herramientas y las tcnicas que se utilizarn para alcanzar los objetivos d e la auditora El programa de auditora debe set flexible y abierto, de tal forma que se pucdM u introduciendo cambios a medida que se vaya conociendo mejor el sistema. 0 programa y el resto de los papeles de trabajo son propiedad del auditor. ste no tiene la obligacin de mostrrselos a la empresa que se audita auditario). debiendo custodiarlos durante el plazo que marque la ley.

www.FreeLibros.me
CAyfrvijO . AtronoftlA o c l a explotacin Dedicarle a la planificacin el tiempo necesario permite vitar prdidas innecesarias de tiempo y de recursos. E. Perry (Planing EDP A udiu. pgina 7) dice ijoe la ib uhbucin ideal del tiempo empleado en realizar una auditora sera: un tercio en planificar, un tercio en realizar el trabajo de cam po y un tercia en hacer las revisiones y en la elaboracin del informe o de lo informes. Para elaborar el programa de trabajo se va a seguir la gua d i auditora del proceso Gestin de la Explotacin |" 3 .I3 G estin d e la E x plottcn"]. Cienos aspectos de la explotacin de un sistema de informacin pueden quetfcr al margen del proceso 3.13. Esto es debido a la clasificacin que hace CobiT y que se ha comentado iMeriormelnte. Seguro que aquellos otros aspectos que el lector eche d e menos quedan recogidos en otros procesos. sta es, pues, una de las grandes ventajas que frsenla la G ula CobiT. facilita la comunicacin en el sentido de que podemos determinar con claridad el alcance d e la auditora.

11

11.5. REALIZACIN D EL T R A B A JO (PROCEDIMIENTOS)

Consiste en llevar a cabo las pruebas de cumplimiento y sustantivas que se han Minificado para poder alcanzar los objetivos d e la auditora (Cuadro 11.2).

11.5.1.Objetivo general
Para el caso de la auditora de la explotacin hemos seguido las recomendaciones qse se incluyen en la Gua del Proyecto CobiT. A s el objetivo genera' d e la auditora cottustira en: A ugurarse de que las /unciones que sirven d e apoyo a las Tecnologas d e la hformacin se realizan con regularidad, d e fo rm a ordenada, y satisfacen los requintos empresariales.

11.5.2.Objetivos especficos
Para alcanzar el objetivo general, se puede dividir esc objetivo en diversos Objetivos especficos sobre los que se realizarn las pruebas oportunas para asegurarse de que el objetivo general se alcanza. El esquema de trabajo, para cada uno de los otptivos. es el siguiente:

www.FreeLibros.me
Referencia: 3.13/1
Por Auditarlo : Noentwc de U empfcv Fcdui d< auditora . JI/I2/XXXX Dominio : Sum:antro y nuMMiimten Prorao : OcM itfc. de la explotacin Titulo : Programa de trabajo Preparado R e id o | I M ~|

II

Cuadro 11.2 (Contina)

www.FreeLibros.me
Referencia: 3.13/2
Por Fetha

Preparado I l I j Auditarlo : Nombre de U eiaptu Rentado | Fecha de auditoria JI/I2/XXXX Dominio : Sumaruuro y naanieniraaenio Pncrvi : Getiidn de la explotacin Titulo : Programa de trabajo _________________________________________

C u a d r o 1 .2 (c o n t in u a c i n )

www.FreeLibros.me

C u a d r o 1 1 .2 {c o n t in u a c i n )

www.FreeLibros.me
Referencia: 3.13/4

Aatitarfo : Nombre de la etnpreta Fk u de auditora :31/12/XXXX Dcatoh : Suministro y nuatemirufn P i-ocmo : Getlido de laexpkrtacido TOulo___________: Programa de trabado

Cuadro 11.2 (continuado*)

www.FreeLibros.me
AiipmxtiA tsaotuTK~A u.v m o q o m titco _________________ Comprender las tareas, las actividades del proceso que se est auditando

-1

S i fuera necesario ampliaramos la t entrevistas tftte hemos realizado en b fase de planificacin estratgica. Determinar si son o no apropiados los controles que estn instalados. Si fu e ra necesario ampliaramos las pruebas que hem os realizado en la fo t de planificacin estratgica. Hacer pruebas de cumplimiento para determinar si los controles que etifa instalados funcioaan segn lo establecido, d e manera consistente y contimu. E l o b je tiw de las pruebas d e cumplimiento consiste en analizar e l n n rl t cumplim iento de lat norm as de control que tiene establecidas e l auditorio", Se supone que esas normas d e control establecidas son eficientes y efectivas. Hacer pruebas sustantivas para aquellos objetivos d e control cuyo buea funcionamiento con las pruebas de cumplimiento no nos ha satisfecho. E l ob je tn o de las pruebas sustantivas consiste en realizar las pruebas necesarias sobre los dalos para que proporcionen la suficiente seguridad a la direccin sobre si se ha alcanzado su objetivo empresarial. Habr que realizar e l mximo nmero de pruebas sustantivas si: N o existen instrumentos de medida de los controles. Los instrumentos de medida que existen se considera que no son tos adecuados. Las pruebas de cumplimiento indican que los instrumentos d e medida de tos controles no se han aplicado de manera consistente y continua.

F.l auditor debera haber realizado las suficientes pruebas sobre los resultados de las distintas tareas y actividades < fc* la r*ptni.-u-in del *itema de informacin c o so para, poder concluir si los objetivos d e control se han alcanzado o no. Con c u informacin debe elaborar un informe y si procede hacer las recomendaciones oportunas.

www.FreeLibros.me
APtTVLOII AUPHORtADfcLAUftXlIAHV y

11.6. INFORMES 11.6.1. Tipos de informes

Un* vez realizada toda esta fases, el auditor e*t en condiciones de em itir un informe en el que exprese u opinin. Los tipos de opiniones bsicas generalm ente Keftadas en auditora, son cuatro: I. Si c concluye que el sitfem a es satisfactorio, el sa&tor dara una opinin favorable. 2. Si el auditor considera que d sistema e s un desastre, su opinin sera desfm vrable. 3. El sistema es vlido pero tiene algunos fallos que no lo invalidan, opinin con sah-edades. 4 . Tam bin podra ocurrir que el ao&tor no tenga suficientes elem entos d e juicio para poder opinar; en ese caso no chinara: denegacin de opinin. A continuacin se muestra cm o podra redactarse el prrafo de opinin en cada uno de los casos que hemos comentado jara el objetivo {eneraI que se ha propuesto.

I. Favorable En nuestra opinin d servicio d e explotacin y las funcione* que rven d e apoyo a Us Tecnologa* de la Informacin se realizan con regularidad, d e forma ordenada y satisfacen los requisitos empresariales.

1 Desfavorable En nuestra opinin, dada la im portancia de lo* efecto* d e las salvedades comentada en lo* punto* X. X I.... d e este informe, el servicio d e explotacin y las fiuKioees que sirven de apoyo a las Tecnologas de la Informacin NO se realizan con regularidad. NI de forma ordenada y NO satisfacen los requisitos empresariales.

3. Con salvedades En nuestra opinin, excepto por los efectos de las salvedades que se comentan en I punto X de este informe... (en una parte del informe se indicarn cules son las salvedades y en este mismo documento o en documento aparte se harn las recomendaciones oportunas para mejorar el sistema, para que en una siguiente anditora no existan las salvedades comentadas) el servicio de cxlotacin y las tacione que sirven de apoyo a las Tecnologa* de la Informacin se realizan con regularidad, de forma ordenada y satisfacen los requisitos empresariales

www.FreeLibros.me
4 .1 VncgiK n de opinin En el caso de que las salvedades im pidan hacemos una opinin del senicio de explotacin, ya sea por falla de informacin o por no haber tenido acceso a ella porta motivos que fueren, pero siempre ajenas a nuestra voluntad, y no obstante, hita intentado hacer pruebas alternativas, el auditor denegar su opinin.

11.6.2.Recomendaciones
Hn el caso de que el auditor durante la realizacin d e la auditora deteca debilidades, ste debe comunicarlas al auditado con la m ayor prontitud posible. Ui esquema, generalmente aceptado, de cmo presentar las debilidades es el siguiente: Describir la debilidad. Indicar el criterio o instrumento de medida que se ha utilizado. Indicar los efectos que puede tener en el sistema de informacin. Describir la recomendacin con la que esa debilidad se podra eliminar.

A continuacin se completan las caractersticas que debe tener un buen infern de auditora siguiendo Us normas que para tal efecto ha em itido ISACA.

11.6.3. Normas para elaborar los informes

La elaboracin y el contenido de los informes de auditora deben ajustarse a Im Normas de Auditora de Sistemas de Informacin Generalm ente Aceptadas y Aplicables (NASIGAA). Entre otros motivos porque facilita la comparacin de Im informes realizados por distintos auditores. Por tanto, siguiendo las normas nmeros 9 y 10 de "General Standards for Information Systems Auditing emitidas por ISACA adems del prrafo de opinin antes indicado, el informe de auditora deber contener o tra informacin adicional. El informe es el instrumento que se utiliza para comunicar los objetivos de 1> auditora, el alcance que vaya a tener, las debilidades que se detecten y Us conclusiones a las que se lleguen. A la hora d e preparar el informe, el auditor debe tener en cuenta las necesidades y caractersticas de los que se suponen sern wa destinatarios. El informe debe contener un prrafo en el que se indiquen los objetivos que se pretenden cumplir. Si. segn la opinin del auditor, alguno de c a o s objetivos no se pudiera alcanzar, se debe indicar en el informe. En el informe de auditora se deben mencionar cules son las NASIGAA que st han seguido para realizar el trabajo de auditora. Tambin se deben indicar: las

www.FreeLibros.me
CArtTIX 1 1 : Al'DTTOHlA DK LA EXH-OTAOQS acepciones en el seguimiento de extas normas le nicas, el motivo de ro seguirlas, y cundo proceda, tambin je deben indicar k efectos potenciales que pudieran tee ea los resoltados de la auditora. En el informe de auditora se ha de mencionar el alcance d e la auditora, a s como describir la naturaleza y la extensin del trabajo de auditora. En el p m f o de alcance k deben indicar el reatyroceso. el perodo de auditora, el sistema, las plicacioncs y k pnxesos auditados. Asimismo se indicarn las circunstancias que hayan lim itado d alcance cuando, en opinin del auditor, no se hayan podido completar todas las pruebas y procedimientos disertados, o cuando el "auditario" haya im puesto mtrkcione* o limitaciones al trabajo de auditora. S durante el trabajo se detectaran debilidades en el sistema de infermacin de la estafad auditada, stas debern indicarse en el informe, as como sus causas, sus efectos y las recomendaciones necesarias para mejorar o eliminar las debilidades. El auditor debe expresar en el informe su opinin sobre el iea o proceso au&udo. No obstante, en funcin de lo objetivos de la auditora, esta jpinin puede itr general y referirse a todas las reas o procesos en su conjunto. El informe de auditora debe presentarse de una form a lgica y organizada. Debe ccoicncr la informacin suficiente para que sea com prendido por el desnatano y ste pjeda llevar a cabo las acciones pertinentes para introducir las correccicoes oportunas que mejoren el sistema. El informe se debe em itir en el momento ms adecuado para que permita que las acooes que tenga que poner en prctica el auditano". tengan los mayores efectos positivos posibles. Con anterioridad al informe, el auditor puede em itir, si lo enmadera oportuno, recomendaciones destinadas a personas corcretas. Estas recomendaciones no deberan alterar el contenido del informe. En el informe se debe indicar la entidad que se audita y la fecha de em isin del rim ne. tambin se deben indicar las restricciones que fuesen convenientes a la hora de dittriboir el informe para que ste no llegue a manos indebidas.

11.7. LA D OCUM ENTACIN DE LA AUDITORA Y SU ORGANIZACIN 11.7.1. Pap!es de trabajo

l a documentacin de la auditora de los sistemas d e informacin es el registro del tn tap de auditora realizado y la evidencia que sirve de soporte a las debilidades

www.FreeLibros.me
:v> AUtMUmlA IMOKMTKAUSiXTOQUIimACTtCO encontrada y I conclusiones a las que ha llegado el auditor. Esos dneummi genricamente. se denominan p p e lo de trabajo. Los papdes de trabajo te t a i disertar > organizar segn las circunstancias y las necesidades del auditor. stos h il ser completos, claros y concisos. T odo el trabajo de auditoria debe quedar reflej en papeles de trabajo por los siguientes motivos: Recogen la evidencia obtenida a lo largo del trabajo. Ayudan al auditor en el desarrollo de su trabajo. Ofrecen un soporte del trabajo realizado para. . poder miliario a auditorias sucesivas. Permiten que el trabajo pueda ser revisado por te rc era .

Para concluir la importancia que tienen los papeles de trabajo, digamos que tea vez que el auditor ha finalizado su trabajo, los papeles d e trakajo son la nica pneta que tiene el auditor de haber llevado a cabo un examen adecaado. Siempre exioe h posibilidad de que el auditor tenga que demostrar la calidat de su anlisis ante ta tribunal.

11.7.2.

Archivos

Los papeles de trabajo que el auditor va elaborando se rueden organizar en t a archivos principales: el archivo permanente o continuo de auditoria y el arctiro corriente o de la auditoria en curso.

11.7.2.1. A rchivo pe rm a nen te El archivo permanente contiene todos aquellos ppele? que tienen un interfi continuo y una validez plurianual u le s como: Caractersticas de los equipos y de las aplicaciones. Manuales de los equipos y de las aplicaciones. rV'-cripciAn del control interno. O rganigram as de la empresa en general. O rganigram as del Servicio d e Informacin y divisin ce funciones. C uadro de planificacin plurianual de auditora. Escrituras y contratos. Consideraciones sobre el negocio. Consideraciones sobre el sector. Y en general toda aquella informacin que puede tener una importancia por auditorias posteriores.

www.FreeLibros.me
CArtTVU!! AHWrottlADf.lJULXHXnACION 2 57 11.7.2.2. Archivo trnenle E ne archivo, a su vez. se suele dividir en archivo general y en archivo de reas o de procesos. 11.7.2 2.1. Archivo general

Los documentos que se suelen archivar aqu son aquellos que no tienen cabida especifica en alguna de las reas/procesos en que hemos dividido el trabajo de M ora u le s como: 1 Informe del Auditor. La Carta de recomendaciones. Los Acontecimientos posteriores. El Cuadro de planificacin de la auditoria com ente. 1.a Correspondencia que se ha mantenido con la direccin d e la empresa. El tiempo que cada persona del equipo ha em pleado en caJa una de las reas/procesos.

11.7.2.2.2. A re h iw p or reas/procesos Se debe preparar un archivo para cada una de las reas o prtcesos en que tajamos dividido el trabajo e incluir en cada archivo todos los doaim cntos que tajamos necesitado para realizar el trabajo de esa rea/proceso concreto. Al menos debern incluirse los siguientes documentos: - Programa de auditora d e cada una d e las reas/procesos. - Conclusiones del rea/proceso en cuestin. - Conclusiones del procedimiento en cuestin.

11.8.

C ONCLUSIONES

Podemos concluir diciendo que la labor del auditor informtico e esencial para pnntizar la adecuacin de los sistemas informticos; pora ello el auditor debe realizar a tratajo atenindose a las Normas d e Auditoria de Sistemas de Informacin Generalmente A ceptadas y Aplicables com o requisito necesario que garantice la ctidad del trabajo realizado y que la evidencia d e este trabajo quede documentada. E* funcin de que la sociedad se va informatizando cada ve* ms. <s necesario ir cbborando normas para que la audiencia de la auditoria -q u e es toda la sociedadt t p la seguridad de que. los si<temas funcionan, sus datos se mantienen con la detala confidencialidad y los informes de los distintos auditores se pued.-n comparar.

www.FreeLibros.me
11.9. L EC TU R A S RECOM ENDADAS

G eneral Standard* /o r Information System s Auditing. Information System s Audit aU ControFoundation. Illinois, EE.U U.. 1987. F.I estudio v evaluacin del control interno en entornos informatizados. Documeao nmero 1 del REA (Registro de Economistas Auditores), enero 1996. Resolucin de 19 de enero de 1991, del lim itato de Contabilidad y Auditora de Cuentas por la que se publican las Normas Tcnicas d e Auditora. F.DP Audit W oripapen. EDPAE Audii guide. EDP A uditori Foundation. Inc. Cari Strcam. Illinois. EE.U U.. 1981. Planning ED P Audi!. W illiam E. Perry. Audit Guide Serie. EDP Aixbton l-oundation, Inc.. Altamonte Springx, Florida. EE-UU.. 1981. Computer Audit. Control, a n d Securih. Roben R. Moeller. John W iley & Sons, b t Nueva York. 1989. Infonnation Systems Audit Process. S. Rao Vallabhaneni. T he A uditori Foundation Inc. 2 'c d .. 1988. CobT (Control Objeclh'es fo r Information a n d relates TechnologyK Informi!* Systems Audit and Control Foundation. IL. EE.U U.. septiembre 1996.

11.10.
1. 2. 3. 4. 5.

C U ES TIO N ES DE REPASO
Cules son los componentes de un SI segn el Proyecto CobiT? Cul es el fio de la can a de encargo? C uites son las fase* de la planificacin de la auditora? Qu categoras se pueden distinguir en los controles generales? D efina "control". Cmo se evalan los controles? Qu diferencias existen entre las pruebas sustantivas y las de cumpli miento? Cules son los tipos de informes de auditora?

6.
7.

www.FreeLibros.me
M > ______________________________ CAPTULO 11: AUDITORIA DE LA EXPLOTAClOft

8.
9.

Cmo estructurara un informe d e auditoria? Defina los tipo de archivos principales y contenido de cada uno.

10. Especifique algunos objetivos de contro) a revisar en la auditora de la explotacin de k sistemas informticos.

www.FreeLibros.me

C APTULO 12

A U D ITO R A D EL D ESA R R O LL O
J o U Antonio Rodero Rodero

12.1. INTRODUCCIN
La necesidad de que una organizacin cuente con procedim ieitos d e control temo es aceptada ampliamente como garanta de una gestin eficaz orientada a la cocnecucin de lo* objetivo* marcados. La funcin auditora e s precisamente la m argada de comprobar la existencia de estos procedimiento* d e control y de verificar so correcta definicin y aplicacin, determinando las deficiencias que existan al respecto y lo* riesgo asociado* a estas carencias d e control. Teniendo en cuenta que cada organizacin puede descomponerse funcionalmente en distinto* departamento*, reas, unidades, etc., es necesario que los mecanismos de control interno existan y se respeten en cada una d e las divisiones funcionales para que Mas cumplan adecuadamente su cometido y hagan posible que la orginizacin en su conjunto funcione de manera correcta. Aplicando la divisin funcional al departam ento de informtica de cualquier entidad, una de las reas que tradlclonalm cnic aparece e* la de desarrollo. Kua funcin abarca todas las fases que se deben seguir desde que aparece la necesidad de poner de un determinado sistema de informacin hasta que ste es construido e implantado. Para delimitar el mbito de este captulo sobre auditora del desarrollo, se entender que el desarrollo incluye todo el ciclo de vida del software excepto la explotacin, el mantenimiento y la retirada de servicio d e las aplicaciones cuando sta tenga lugar. Si entiende por ingeniera del softw are "el establecimiento y u*o de principio* de ingeniera robustos, orientados a obtener softw are econmico que sea fiable, cumpla los requisitos prcv lamente establecidos y funcione de manera eficiente sobre

www.FreeLibros.me
M O Ai:DITtHtM INKXtMTK~A: tfN t-NSOQUF. HUCTtCt) mquinas reales" <Frt/. Baucr). la auditoria del desarrollo tratar de verificar h existencia y aplicacin de procedimiento! de control adecuados que pernio# garantizar que el desarrollo de sistemas de informacin se lia llevado a cabo sejia estos principios de ingeniera, o por el contrario, determinar las deficiencias existeetes e n este sentido. F.I planteamiento de este captulo est orientado al desarrollo de sistemas de informacin en el sentido tradicional, sin que se hayan tenido en cuenta la peculiaridades del desarrollo de otro tipo de softw are como puedan ser sistemas operativos, software de comunicaciones, softw are empotrado, etc. Tampoco se V a tenido en cuenta la gestin d e la calidad en el desarrollo, pues hay un capftb dedicado a tal efecto, ni conceptos generales de control interno y auditora que ya te abordaron en la pane I del libro (por ejemplo, criterios pora la realizacin del informe, recomendaciones en el trato con los auditados, necesidad de independencia dd auditor, preparacin y realizacin d e las entrevistas, etc.).

12.2. IMPORTANCIA DE LA AUDITORA D EL DESARROLLO

Aunque cualquier departamento o rea de una organizacin es susceptible de sa auditado, hay una serie de circunstancias que hacen especialmente importante al k t a de desarrollo y. por tanto, tambin su auditora, frente a otras funciones o reas itero del departamento de informtica: 1-os avances en tecnologas de los computadores han hecho que actualmente d desafo ms im portante y el principal factor de xito d e la informtica sea la mejora de la calidad del software. El gasto destinado a softw are es cada vez superior al que se dedica a hard*art A pesar de la juventud de la ciencia informtica, hace artos que se produjo la denominada crisis del softw are". Incluye problem as asociados coa d desarrollo y mantenimiento del softw are y afecta a un gran nmero de organizaciones. En el rea del hardware no se ha dado una crisis equivalente El softw are como produelo es muy difcil de validar. Un m ayor control en d proceso de desarrollo incrementa la calidad del mismo y dism inuye los coda d e mantenimiento El ndice de fracasos en proyectos de desam lo e s demasiado alto, lo ral denota la inexistencia o mal funcionamiento d e los controles en c u e procew Los datos del Government Accounting Office Report (EE.UU.) sobre diverw proyectos de software (valorados en 6.8 millones de dlares) son ilustrativos;

www.FreeLibros.me
CaHTU-O i AfPTTOHU Pfjl. OtSARHOlLO Un 1.5 se us u l y como se entreg. Un 3.0 % se us despus de algunos cambio*. Un 19.5 % se us y luego se abandon o se rehizo. U n 47 % se entreg pero nunca se us. Un 29 % se pag pero nunca se entreg. Las aplicaciones informticas, que son el producto principal obtenido al final del desarrollo, pasan a ser la herramienta d e trabajo principal d e las reas informatizadas, convinindote en un factor esencial para la gestin y U toma de decisiones.

I :

12.3.

PLA N TEA M IEN TO Y M ETOD OLOG A

Para tratar la auditora del rea de desarrollo es necesario, en primer lugar, acotar las funciones o tareas que son responsabilidad del rea. Teniendo en cuenta que puede tuba variaciones de una organizacin a otra, las funciones que tradicionalmente se asignan al rea de desarrollo son: Planificacin del rea y pan ic ipacin, en la medida que corresponda, en la elaboracin del plan estratgico d e informtica.

Desarrollo de nuevos sistemas. lsta es la funcin principal y la que da sentido al rea de desarrollo. Incluir para cada uno de los sistemas, el anlisis, diserto, construccin e implantacin. El mantenimiento se supondr funcin de otra rea. Estudio de nuevos lenguajes, tcnicas, metodologas, estndares, herramientas, etc. relacionados con el desarrollo y adopcin d e los mismos cuando se considere oponuno para mantener un nivel d e vigencia adecuado a la tecnologa del momento. Establecimiento de un plan de formacin para el personal adscrito al rea. Establecimiento de normas y controles para todas las actividades que se realizan en el rea y comprobacin de su observancia. Una vez conocidas las tareas que se realizan en el rea de desarrollo, se abordar b auditora de la misma desglosndola en d o s grandes apaados, que ms u rd e se nbdividirn con ms dculle: - Auditora de la organizacin y gestin del rea d e desarrollo. - Auditora de proycclos de desarrollo de sistemas de informacin.

www.FreeLibros.me
4 ACOTTORIA INFORMTICA UN ESfOQtlF. HtCTICO De cMos dos apartados se har ms nfasi-s en el g u id o por tratarse de b funcin principal del rea, aunque ha de tenerse en cuenta que una buena organait y gestin es imprescindible para que los proyectos tengan una calidad aceptable. La metodologia que se aplicar ex la propuesta por la ISACA (Informi!ka Systems Audit and Control A ssociatim i. que c a basada en la evaluacin de riesgo: partiendo de lox riesgos potenciales a los que est sometida una actividad, en este caso el desarrollo de un sistema de informacin, xe determinan uni serie de objetivo de control que minimicen esos riesgos. Para cada objetivo de control se especifican una o ms tcnicas de control tambin denominadas sim plemente controles, que contribuyan a lograr d cumplimiento d e dicho objetivo. A dem s, xe aportan una serie d e pruebas de cumplimiento que permitan la comprobacin de la existencia y correcta aplicacin de dichos controle. El esquema pora cada objetivo d e control es:

I I

O B JE T IV O D E C O N T R O L X: C-X -l: Tcnica de control i del objetivo de control x ... Pruebas de cumplimiento d e C-X*l C-X -m : Tcnica d e control m del objetivo de control x .. Pruebas de cumplimiento de C-X-m

Una vez fijados los objetivos d e control, ser funcin del auditor determinar d grado de cumplimiento de cada uno de ellos. Para cada objetivo se estudiarn todos los controles asociados al mismo, usando para e llo las pruebas de cumplimiento propuestas Con cada prueha de cumplimiento se obtendr algina evidencia, bien sea directa o indirecta, sobre la correccin d e los controles. Si una sim ple comprobacin no ofrece ninguna evidencia, ser necesaria la realizacin de exmenes ms profundos. En los controles en los que sea impracticable una revirin exhaustiva de los >lrnu-nl<K rlr verificacin, bien porque lo recorto de auditora a n limitado', o porque el nmero de elementos a inspeccionar sea muy clcvido. se examinar un muestra representativa que permita inferir el estado de todo el ccnjunto. El estudio global de todas las conclusiones, pruebas y evid:ncias obtenidas sobre cada control permitirn al auditor obtener el nivel de satisfaccin de cada objetivo de control, asi com o cules son los puntos fuertes y dbiles del mismo. Con esta informacin, y teniendo en cuenta las particularidades d e la organizacin en estudio, se determinar cules son los riesgos no cubiertos, en qu iK dida lo son y qu

www.FreeLibros.me c a H u l o i aiim tohIa d h . ixaakkou-Q m

consecuencias se pueden derivar de esa situacin. Estas conclusiones. jum o con las recomendaciones formuladas, sern las que se plasmen en el informe de auditoria. En los apartados siguientes se agrupan los distintos objetivos d e control en varias Kries. detallndose para cada uno de ellos sus controles asociados y pruebas de cumplimiento. El esquema seguido es el siguiente: Organizacin y gestin del rea d e desarrollo (serie A. aptdo. 4) Proyectos de desarrollo de sistemas de informacin Aprobacin, planificacin y gestin del proyecto (serie B. aptdo. S .l) Anlisis Anlisis d e requisitos (serie C. aptdo. 5.2.1) Especificacin funcional (serie D. aptdo. 3.2.2) DiseAo Diserto tcnico (serie E, aptdo. 5.3.1) Construccin Desarrollo de componentes (serie F. aptdo. 5.4.1) Desarrollo de procedim ientos de usuario (serie G . aptdo. 5.4.2) Implantacin Pruebas, implantacin y aceptacin (serie H. aptdo. 5.5.1)

12.4.

AUDITORA DE LA ORGANIZACIN Y G ESTI N DEL REA DE DESARROLLO

Aunque cada proyecto de desarrollo tenga entidad propia y se gestione con cierta autonoma. para poderse llevar a efecto necesita apoyarse en el personal del rea y en k procedimientos establecidos. La importancia de estos aspectos ha motivado que se dedique un apartado exclusivo a la organizacin y gestin del rea de desarrollo. Se consideran ocho objetivos de control (serie A): O B JE TIV O D E C O N T R O L A!-. El rea de desarrollo debe tener unos cometidos asignados dentro del departam ento y una organizacin que le permita el cumplimiento de tos mismos. C -A l- 1 : Deben establecerse de form a clara las funciones del rea d e desarrollo dentro del departamento de informtica. Se debe comprobar que: Existe el documento que contiene las funciones que son competencia del rea de desarrollo, que est aprobado por la direccin d e informtica y que se

www.FreeLibros.me
W AUWTMIl IWOHMTICA- US IMOQtli HUCTICO C-AI-2: Debe especificarse el organigrama con la relacin d e puesto del rea, a l como el personal adscrito y el puesto que ocupa cada persona. Debe existe a procedim iento p a n la promocin de personal. Se debe comprobar que:

Existe un organigrama con la estructura d e organizacin del rea Para cafe puesto debe describir la* funciones a desempear, los requisitos minitros di I form acin y experiencia. y la dependencia jerrquica del mismo. Existe un manual de organizacin que regula las relaciones entre puestos. Existe la relacin de personal adscrito al rea, incluyendo el puesto ocupad) por cada persona. Se deben cumplir los requisitos d e los puestos. Estn establecidos los procedimientos de promocin de personal a puesta superiores, teniendo siempre en cuenta la experiencia y formacin.

C -A I-J: El rea debe tener y difundir su propio plan a corto, medio y largo plazo, que ser coherente con el plan d e sistemas, si ste existe. Se debe comprobar que: El plan existe, es claro y realista.

1.a* recurso* actuales, m* los que est planificado que se incorporen al rtt,
son suficientes para su cumplimiento.

Se revisa y actualiza con periodicidad en funcin de la* nueva* situaciones. Se difunde a todos los empleados para que se sientan partcipes del mismo, al resto del departam ento y a los departam entos a hxs que Ies atae.

C-A I-4: El rea de desarrollo llevar su propio control presupuestario. Se debe comprobar que: Se hace un presupuesto por ejercicio, y se cumple. El presupuesto est en consonancia con los objetivos a cumplir.

O B JE T IV O DF. C O N T R O L A 2 : El personal del rea de desarrollo debe coctar con la formacin adecuada y e star motivado para la realizacin de su trabajo. C-A 2-1: Deben existir procedimientos de contratacin objetivos. Se debe comprobar que:

www.FreeLibros.me
A pnvto I; At'IMIOKlA Dfl [AAHmH I O >7 Las o f e r ta de puestos del rea se difunden de forma suficiente fuera de la organizacin > las .seleccin se hacen de form a objetiva. Las pervo n seleccionadas cumplen los requisito del puesto al que acceden.

C-A2-2: Debe existir un plan de formacin que est e n consonancia con los o b jetivos tecnolgicos que se tengan en el rea. Se debe comprobar que: Se tiene aprobado un plan de form acin a cono, medio y largo plazo que sea coherente con la poltica tecnolgica. Incluye toda la informacin relevante para cada actividad form ativa: fechas, horarios, lugar, ponentes, asistentes, m aterial, medios necesarios, etc.

Las a ctiv idad formaiivas se evalan por parte de los v is t e n ! y esta evaluacin se tiene en cuenta a la hora de redefinir el plan de formacin. Contempla la formacin de todos los empleados y tiene en cuenta el puesto que

El plan de trabajo del rea tiene en cuenta los tiempos de form acin. C-A2-3: Debe existir un protocolo de recepcin/abandono para las personas que te incorporan o dejan el rea. Se debe comprobar que: E1 protocolo existe y se respeta para cada incorporacin/abandono. Para la incorporacin, incluye al menos los estndarcs definidos, manual de organizacin del rea. definicin de puestos, etc. En los abandonos de personal se garantiza la proteccin del rea.

C-A2-4: Debe existir una biblioteca y una hemeroteca accesibles por el personal del rea. Se debe comprobar que: Estn disponibles un nmero suficiente d e libros, p u blicacin peridicas, monogramas, etc. de reconocido prestigio y el personal tiene acceso a ellos. C-A2-5: El personal debe estar motivado en la realizacin de su trabajo. Este aspecto difcil de valorar y no puramente tcnico. Se debe comprobar que: Existe algn mecanismo que permita a los empleados hacer sugerencias sobre mejoras en la organizacin del rea.

www.FreeLibros.me
.'M AUUnURlA M C K H A Tm UN NIOQIH: PKACTKO N o existe una gran rotacin le personal y hay un buen ai El rendimiento del personal no cae por debajo d e uno el absentismo Uboral es sim ilar al del resto de la organizacin.

O B JE T IV O D E CO N T R O L A J: Si existe un (dan de sistemas, los proyectos qtt se lleven a cabo se basarn en dicho plan y lo mantendrn actualizado. C-A 3-1: I j realizacin de nuevos proyectos debe basarse en el plan de sitiera* en cuanto a objetivos, marco genera) y horizonte temporal. Se debe comprobar que: Las fechas de realizacin coinciden con las del plan d e sistemas. La documentacin relativa a cada proyecto que hay en el plan de sistemas k pone a disposicin del director de proyecto una vez comenzado el rasoe. Esta informacin debe contener los objetivos, los requisitos generales y m plan inicial.

C-A 3-2: El plan de sistemas debe actualizarse con la informacin que se geneni lo largo de un proceso de desarrollo. Se debe comprobar que: Los cambaos en los planes de los proyectos se comunican al responsable de mantenimiento del plan de sistemas por las implicaciones que pudiera tener.

O B JE T IV O D E CO N T R O L A 4 : 1.a propuesta y aprobacin de nuevos proyecin debe realizarse de forma reglada. C -A 4-I: Debe existir un procedimiento para la propuesta d e realizacin de nuevos proyectos. Se debe comprobar que: Existe un mecanismo para registrar necesidades de desarrollo d e nueva sistemas y en todo caso se aportan los siguientes datos: descripcin necesidad, departam ento patrocinador, riesgos, marco temporal, coste d e la t r ra liia r t . im lajM jiw pon. itapiarwVn Int piare* t if n rgnrin. r t f Se respeta este mecanismo en todas las propuestas.

C -A 4-2: Debe existir un procedim iento de aprobacin d e nuevos proyectos qat depender de que exista o no plan de sistemas. Si hay un plan de sistemas se debe comprobar que: Se pane de las pautas, prioridades y planificacin que ste marque para d desarrollo de cada nuevo sistema.

www.FreeLibros.me
imw_________________________________ CAOTvt-O i: A iononU d o . o&Amtotxo x Si no existe plan de sistemas se debe comprobar que: Hay un procedimiento pora estudiar la justificacin y llevar a cabo el estudio de viabilidad de cada nuevo proyecto, incluyendo un anlisis coste/beneficio y teniendo siempre com o alternativa la no realizacin del mismo. Estn designadas a reas de la organizacin que tienen conpetencia para aprobar formalmente la realizacin y prioridad de los nuevos proyectos, asi como el cauce para reasignar prioridades si fuese necesario. La decisin, afirmativa o negativa, se obtendr en un tiempo razonable y se comunicar a los promotores.

O BJETIVO D E C O N T RO L AS: La asignacin de recursos a los proyectos debe hacerse de forma reglada. C-A5*l: Debe existir un procedimiento para asignar director y equipo de desamlo a cada nuevo proyecto. Se debe comprobar que: El procedimiento existe y se respeta. Se tiene en cuenta a todas las personas disponible cuyo perfil tea adecuado a los riesgos de cada proyecto y que tengan disponibilidad para participar. Existe un protocolo pora solicitar al resto de las reas (sistemas, comunicaciones, etc.) la participacin de personal en el proyecto, y se aplica dicho protocolo. C-A5-2: Debe existir un procedimiento para conseguir los recunos materiales ecesarios para cada proyecto. Se debe comprobar que: El procedimiento existe y se respeta.

O BJETIVO D E C O N T RO L A 6: El desarrollo de sistemas de informacin debe hacerse aplicando principios de ingeniera del softw are ampliamente aceptados. C-A6-I: Debe tenerse implantada una metodologa de desarrollo Je sistemas de formacin soportada por herramienta de ayuda (CASE). Se debe conprobar que: La metodologa cubre todas Ixs fases del desarrollo y e adaptadle a distintos pos de proyecto.

www.FreeLibros.me
AtltHTOfclA INFORMATICA: l? ENFOQUE PRACTICO 1.a metodologa y las tcnicas asociadas a la misma U n adaptadas al ei tecnolgico y de organizacin del rea de desarrollo. Se ha adquirido, homologado e implan Lado segn las normas del irta m I herramienta CA SE que ve adapta a la metodologa elegida y que cumple a* 1 los requisitos mnimos cxigibles a una herramienta d e este tipo. Se ha formado al personal sobre esta metodologa y su adaptacin, asi cano sobre las tcnicas asociadas y la herramienta CASE. Existe un procedim iento que permita determinar en qu proyectos el uso de li herramienta CASE es ventajoso. E sti claram ente especificado de qu forma el uso de la herramienta altera la fases de desarrollo tradicionales. La herramienta CASE es capaz de mantener el diccionario de datos. La herramienta CASE mantiene los requisitos de confidencialidad necesario! sobre la documentacin asociada al proyecio.

C-A 6-2: Debe existir un mecanismo de creacin y actualizacin de estndares, as como estndares ya definidos para las actividades principales. Se prestar upecl atencin a las herramientas y lenguajes de programacin no clsicas. Se debe compro bar que: El mecanismo para creacin d e nuevo estndares est documentado y a conocido en el rea. Hay un estndar para la realizacin del anlisis y diserto, c incluye las tcskat y herramientas a usar. etc. Hay un estndar de programacin para cada uno de los lenguija hnnusln.irint Se prestar especial atencin a las herramientas denominad RAD (Rapid Application DeveloprocM). ya que las secuencias posibles de ejecucin son muy numerosas (normalmente se activan rutinas por eventos i'ig g tr t (disparadores) y el orden no se puede prever a priori) y la validacin y depuracin e s prcticamente imposible si no se estandariza la programacin. Existen convenios sobre los aspectos m is importantes de la programacto: m odularidad. nomenclatura (de funciones, variables, tablas, columnas. etc.X formato de los comentarios, documentacin asociada, estilo de programacin.

www.FreeLibros.me
CAPITULO I I AUDTTORlADW. OtiSAHROtlO 271 Hay un eslindar general para (oda la documentacin generada, incluyendo documentacin tcnica (anlisis, diseo, documentacin de los programas, cuadernos de carga, etc.), manuales de usuario, procedimientos de operacin. ec. Hay un estndar para la interfaz de usuario, incluyendo diserto de pantallas, informes, etc. Los estndares son conocidos por las personas que deben usarlos y se respetan. Cuando se produce una modificacin, sta se difunde dentro del rea. C-A6-3: Los lenguajes, compiladores, herramientas CA SE, softw are de control de versiones, etc. usados en el rea deben ser previamente homologados. Se debe comprobar que: Existe un mecanismo para la adquisicin y homologacin de cualquier nuevo producto softw are usado en el desarrollo. Se deben evaluar al menos los siguientes parmetros: productividad, portabilidad a otros entornos, transicin desde los productos actuales, solvencia del proveedor, riesgo del cambio, cumplimiento de los estndares del rea, compatibilidad con el entorno tecnolgico (SO. protocolos de comunicaciones. SG BD. etc.), coste, etc. Cuando se homologa un nuevo producto de desarrollo se form a al personal del rea que lo vaya a manejar. Se registra la informacin m is importante acerca de la configuracin de los productos recin adquiridos. Los productos homologados son suficientes para conseguir los objetivos marcados. Peridicamente se comprueba el nivel tecnolgico, piara ver si es coherente con el plan de sistemas y si est en lnea con el d e otras organizaciones similares. C -A M : Debe practicarse la reutilizacin del softw are. Se debe comprobar que: Existe un catlogo con todos los productos softw are susceptibles de ser utilizados: libreras de funciones, clases si se utiliza programacin orientada a objetos, programas tipo, componentes software, etc. * El catlogo e s conocido y accesible por todos los miembros del rea, est actualizado y tiene uno o varios ndices que faciliten la bsqueda.

www.FreeLibros.me
At'IHTOtMA IMCKUTICA: tS ESTOQUE mACUCO Existe un catlogo d e las aplicaciones disponible*, en el rea. tanto <Jt la realizadas como de las adquiridas, con toda la informacin relevanle de la mismas. C -A 6-5: Debe existir un mtodo que permita catalogar y estimar los ticrcj o de cada una de las fases de los proyectos. Se debe comprobar que: El mtodo usado es correcto, est bien ajustado y documentado adec damente.

Ia s desviaciones producidas en cada proyecto se usan para ajustar 1 parmetros de catalogacin y estimacin manteniendo un histrico de la mismos. C-A6-: Debe existir un registro de problemas que se producen en los proyedM " del rea, incluyendo los fracasos de proyectos completos. Se debe comprobar que: Existe un catlogo de problemas, incluyendo para cada uno de cllot b solucin o soluciones encontradas, proyecto en el que sucedi, persona queto resolvi, etc El c atilogo es accesible para todos los miembros del rea. est actualizado y tiene uno o varios ndices que faciliten la bsqueda. Se registran y controlan todos los proyectos fracasados (aquellos qoe comienzan y no llegan a su fin), asi com o los recursos invertidos en ta mismos.

O B JE T IV O D E CO N T R O L A7: Las relaciones con el exterior del departametu tienen que producirse de acuerdo a un procedim iento. C-A 7-1: Deben mantenerse contactos con proveedores para recibir informacii suficiente sobre productos que puedan ser de inters. Se debe comprobar que: Se est en contacto con un nmero suficiente d e proveedores para recibir um informacin objetiva y completa, y el tiem po invenido en estas tareas eo excede lo razonable.

C-A7-2: Debe existir un protocolo para contratacin de servicios externos. Se debe comprobar que: Existe el protocolo, est aprobado y se hace uso d e l. La seleccin del proveedor se hace de forma objetiva y evita situaciones de monopolio por parle de un nico proveedor.

www.FreeLibros.me
El protocolo incluye un contrato-tipo que prevea los riesgo* n s frecuentes cuando se contraan servicios externos, y en todo s o incorpora pe nal t/aciones en caso de incumplimiento de contrato por parte del proveedor. El personal externo que intervendr en los proyectos cum plir, al menos, los misinos requisitos que se exigen a lo* empleados del rea. Una persona del rea supervisa el trabajo realizado, certificndolo antes del pago. Debe ser compatible con los estndares establecidos en el rea. O B JE TIV O D E C O N T R O L A S : U organizacin del rea debe estar siempre diptad* a las necesidades de cada momento. C-A8-1: Ij organizacin debe revistarse d e forma regular. Se debe comprobar que: Existe el procedimiento de revisin, se aplica con una penodicitbd adecuada y se adapta al dinamismo de la tecnologa informtica. Cuando se reducen modificaciones se documentan, incluyendo la fecha de actualizacin, y se difunden dentro del rea.

12.5. AUDITORA DE P R O Y EC TO S DE DESARROLLO DE S.l

Como se plante e n apartados anteriores, cada desarrollo de un nuevo sistema de formacin ser un proyecto con entidad propia. El proyecto tendr nos objetivos (urcados y afectar a determinadas unidades de la organizacin. Debe tener un itspcetsable y ser gestionado con tcnicas que permitan conseguir los objetivos aireados, teniendo en cuenta los recursos disponibles y las restccioces temporales dd mismo. En esa gestin deben participar todas las partes de la organizacin a las 9 afecte el sistema. La auditoria de cada proyecto de desarrollo tendr un plan dislint dependiendo de los riesgos, la complejidad del mismo y los recursos disponibles para realizar la Mditora. Esto obliga a que sean la pericia y experiencia del a td ito r las que determinen las actividades del proyecto que se controlarn con mayor intensidad en (nacin de los parmetros anteriores.

www.FreeLibros.me
274 AUDITORA INFORMATICA UN EXKXjCE PRACTICO En este apartado se definirn objetivos y tcnicas de control generales apiiath a cualquier proyecto. El auditor decidir los objetivo ms importantes en fuad* 4 las caractersticas del proyecto y d e la fase a auditar. Com o se puede observar en el esquema de agrupacin Je objetivos de com propuesto en el apartado 3. dentro del desarrollo de sistemas d e informacin se la propuesto cinco subdivisiones, entre las cuales se encuentran: anlisis, dudo, construccin e implantacin. Estas fases, ampliamente aceptadas en ingemeri dd software para el desarrollo, son en concreto las que propone la metodologa de desarrollo de sistemas de informacin M trica versin 2.1. Adems de estas fases, se ha aftadido una subdivisin que rontiene los objetivo*} tcnicas de control concernientes a la aprobacin, planificacin y gestin del proyecta La aprobacin del proyecto es un hecho previo al com ienzo d :l mismo, mientras q e t la gestin se aplica a lo largo de su desarrollo. La planificacin se realiza anta de iniciarse, pero sufrir cambios a medida que el proyecto avanza en el tiempo. Aunque los objetivos de control se han catalogado en funcin d e la fase dd proyecto a la que se aplican, la auditora de un proyecto de desarrollo se puede haca en dos momentos distintos: a medida que avanza el proyecto, o una vez concluido d mismo. Las tcnicas a utilizar y los elementos a inspeccionar, normalmente la productos y documentos generados en cada fase del desarrolla sern k mismos a ambos casos. L a nica diferencia e s que en el primer caso las conclusiones que vjii aportando el auditor pueden afectar al desarrollo del proyecto, aunque noaca participar en la lom a de decisiones del mismo.

12.5.1. Aprobacin, planificacin y gestin del proyecto

Se consideran en este apartado dos objetivos d e control (serie B): O B JE T IV O D E C O N T R O L B l : El proyecto de desarro lo debe estar aprobada definido y planificado form almente. C -B l-1 : Debe existir una orden d e aprobacin del proyecto que defin claram ente los objetivos, restricciones y las unidades afectad. Se debe comprotor que. Existe una orden d e aprobacin del proyecto refrendada por un rgai competente. El estudio de viabilidad debe haber seguid el cauce establecido. En el docum ento de aprobacin estn definidos d e o m clara y precisa 1 objetivos del mismo y las restricciones de lodo tipo que deben tenerse en cuenta (tem porales, recursos tcnicos, recursos hum an , presupuesto, etc.).

www.FreeLibros.me
CAtfTVU) I?: AUXTOKlA DEL MSMIKOIAO Se han identificado las unidades d e la organizacin a las que afecta. C-BI-2: Debe designarse un responsable o director del provelo. probar que: Se debe

La designacin se ha llevado a cabo segn el procedimiento establecido.

Se le ha comunicado al director su nombram iento junto con toda la informacin re Ies-ante del proyecto. C-BI-3: El proyecto debe ser catalogado y, en funcin d e sus caractersticas, se debe determinar el modelo de ciclo d e sid a que seguir. Se debe comprtfcar que: Se ha catalogado y dimensionado el proyecto segn las norma* establecidas. Se han esaluado los riesgos asociados al proyecto, especialmente cuando se van a usar tecnologas no usadas hasta el momento. Se ha elegido el ciclo de vida ms adecuado al tipo de proyecto de que se trata. Se ha hecho uso de la informacin histrica que se dispene tanto para dimensionar el proyecto y sus riesgos com o pora seleccionar el <iclo de vida. Se prestar especial atencin si se elige un ciclo d e sida basado en prototipado. En exte caso deben cumplirse los requisitos recsanos para aplicarlo con xito (dificultad d e los usuarios para expresar Ws requisitos y disponibilidad de una herramienta de construccin rpida de prototipos) y debe existir un acuerdo con k usuarios sobre el alcance del prototipo y el objetivo que se persigue con el mismo. P-BI-4: Una vez determinado el ciclo d e vida a seguir, se debe elegir el equipo to n co que realizar el proyecto y se determinar el plan del proyecto. Se debe can probar que: La designacin del director del proyecto y del equipo d e desarrollo se ha llevado a cabo segn el procedim iento establecido. Ix k participantes que pertenezcan a otras reas (sistemas, comunicaciones, oftmtica. etc.) se ham solicitado segn el protocolo existente. Si participa personal externo, los perfiles profesionales son aJccuados a las funciones que s-an a realizar. El contrato cum ple el protocolo de contratacin.

www.FreeLibros.me
;x. AiIMHWIA INIOKMAI1CA UN bXKXJl'E KAOKO Se ha comunicado a todos los miembros del equipo de desarrollo lo objeto del proyecto, la responsabilidad que tendrn en el mismo, las fechas en Usqi participarn y la dedicacin (compleiV parcial). fcl plan de proyecto realizado e s realista y utiliza la informacin histrica dek que se disponga p a n realizar estimaciones.

O B JE T IV O D E C O S T R O L B 2 : El proyecto se debe gestionar de forma que* consigan los mejore* resultados posibles teniendo en cuenta las restricciones dt tiempo y recursos. Los criterios usados vern coherentes con los objetivos de bi unidades afectadas. C -B2-1: Ixis responsables de las unidades o reas afectadas por el proyecto deba participar en la gestin del proyecto. Se debe comprobar que: Se lia constituido formalmente el com it de direccin del proyecto y ea fl estn incluidos los responsables d e todas las unidades afectadas, El comit tiene una periodicidad de reunin mnima, y en cualquier coi siempre que lo exija el desarrollo del proyecio. debe tener competencia pira b asignacin de recursos, la revisin de la marcha del proyecto y para modafor el plan del proyecto en funcin d e las revisiones. Las reuniones se hacen con u n orden del da previo y las decisiones tonuda quedan documentadas en las actas d e dicho comit. El nmero de reuniones y la duracin de las mismas no superan un lmite razonable comparado con la envergadura del proyecto.

C-B2-2: Se debe establecer un mecanismo para la resolucin de los problen que puedan plantearse a lo largo del proyecto. Se debe comprobar que: Existen hojas de registro de problemas y que hay alguna pervona del proyecto encargada de su recepcin, as com o un procedimiento conocido de tramitacin. Hay un mtodo para catalogar y dur prioridad a los problemas, as como pin trasladarlos a la persona que los debe resolver, informando si e s necesario i director del proyecto y al com it de direccin. Se controla la solucin del problema y se deja constancia de la misma.

www.FreeLibros.me
CAPITULO I.* AIMIORM DU. DIMIIIKIUQ IV C-B2-3: Debe existir un control de cambio a lo largo del proyecto. Se debe comprobar que: Existe un mecanismo para registrar lo cambio que pudieran producir. ai cocui para evaluar el im pacto de lo mismos. La documentacin afectada se actualiza de form a adecuada y se lleva un control d e versiones de cada producto, consignando la ltima fecha de actualizacin.

Se remite la nueva verin d e los documento actualizado a lo*, participantes en el proyecto. C-B2-4: Cuando sea necesario reajustar el plan del proyecto, normalmente al Saali/ar un mdulo o fase, debe hacerse d e forma adecuada. Se debe conprobar que: Se respetan lo limite temporales y presupuestarios marcados al inicio del proyecto. Si no e s as debe ser aprobado por el comit de direcciSn. Se han tenido en cuenta lo riesgos del reajuste. Se ha hecho uso de la informacin histrica que se dispone er el rea sobre estimaciones. Se notifica el cam bio a todas las persona que de una u otra forma participen en el proyecto y se vean afectados. Si existe un plan de sistemas, se actualizar en consecuencia. C-B2-5: Debe hacerse un seguimiento de los tiem pos empleados mo por tarca caro a lo largo del proyecto. Se debe comprobar que: Existe un procedimiento que permita registrar lo tiempos que cada participante del proyecto dedica al mismo y qu tarca realiza e n ese tiempo. Las productividades que se obtienen para distintos empleados en las mismas tareas son sim ilares y estn en consonancia con la informacin histrica. C-B2-6: Se debe controlar que se siguen las etapa del ciclo de vida adoptado (ara el proyecto y que se generan todo lo documentos asociados a a metodologa x k Se debe comprobar que:

www.FreeLibros.me
!7i AIWTORIa INFORMATICA: UN ENFOQUE PRCTICO________________________ Antes d e com enzar una nueva etapa ve ha documentado la c u p a previa y r | revisado y aceptad, especial mente en tas fases de anlisis y diserto. 1.a documentacin cumple los estndares establecidas en el rea. Se respeta el plan establecido y en caso contraro se toman las i oportunas o se procede a la aprobacin de una modiflctcin del plan. Se respeta el uso de recursos previamente establecido.

C-B2-7: Cuando termina el proyecto se debe cerrar to d i la documentacin (A mismo, liberar los recursos empleados y hacer balance. Se d e le comprobar que: L a documentacin del proyecto es completa y est catalogada perfcctant para accesos posteriores. Los recursos, tanto personales com o materiales, se ponen a disposicin dd rea o departam ento del que provienen. F.l com it de direccin y el director del proyecto hacen balance del proyecta, estudiando los posible problem as y sus causas, los cam bios d e plan, etc Toda esta informacin se registra en los archivos histricos sobre estimadora y problemas. l a nueva aplicacin se incorpora al catlogo de apliraciones existentes cm toda la informacin relevante d e la misma.

12.5.2. Auditora de la fase de anlisis

La fase de anlisis pretende obtener un conjunto de especificaciones formales qoe describan las necesidades d e informacin que deben ser cubiertas por el nuevo sisteou de una forma independiente del entorno tcnico. lista fase se divide en dos mdulos:

12.5.2.1. A nlisis de R equisito del Sistem a (AKS) En este mdulo se identificarn los requisitos del nuevo sistema. Se incluir tanto los requisitos funcionales como los n o funcionales, distinguiendo para cada cao de ellos su importancia y prioridad.

www.FreeLibros.me
HU________________________________ f ^ f t l l O 1} A io m itl* B t t PBMIMUO 2 7 * A p in ir del conocimiento del sistema actual y sus problemas asociados, junto con lot requisitos que se exigirn al nuevo sistema, se determinarn las posibles rio;iones, alternativas que satisfagan esos requisitos y de entre ellas se elegir la ms tdecvula. Se consideran dos objetivos de control (serie C): OBJETIVO D E C O N T R O L C l: Los u su anos y responsables d e las unidades a I que afecta cl nes sistema establecern d e forma clara los requisitos del mismo. C-CI-1: En el proyecto deben participar usuarios de todas las unidades a las que tftete cl nuevo sistema. Esta participacin, que se har normalmente a travs de revisus. tendr especial importancia en la definicin d e requisitos del sistema. Se debe comprobar que: Existe un documento aprobado por cl com it d e direccin en el que se determina formalmente el grupo de usuarios que participar en el proyecto. Los usuarios elegidos son suficientemente representativos de las distintas funciones que se llevan a cabo en las unidades afectadas por cl nuevo sistema. Se les ha comunicado a los usuarios mi participacin en el proyecto, informndoles del m bito del mismo y de qu es lo q u e se espera d e ellos, asi como la dedicacin estimada que les supondr esta tarea. C-CI-2: Se debe realizar un plan detallado d e entrevistas con cl grupo de arios del proyecto y con los responsables de las unidades afectadas que permita cooocer cmo valoran el sistema actual y lo que esperan del n o e so sistema. Se debe ooeprobar que: Existe un plan consensuado con el comit d e direccin que detalla para cada entrevista la fecha, hora y lugar, tipo de entrevista (individual, en grupo, por escrito, etc.) y un guin de lo* aspectos que en ella se tratarn. Se entrevista a todos los integrantes en cl grupo de usuario y a todos los responsables de las unidades afectadas. Se remite el guin a los entrevistados con tiempo suficiente para que stos puedan preparar la entrevista y la documentacin que deseen aportar a la misma. El guin incluye todas las cuestiones necesarias para obtener informacin sobre las funciones que el entrevistado realiza en su unidad y los problemas que necesita resolver.

www.FreeLibros.me
;tn audito *! iskhiv U t k a u s ExroptT practico Una vez documentadas las entrevistas, se contrastan la* cooclusiones de la mismas con los entrevistado*.

C -C I-J: A partir de la informacin obtenida en lis entrevistas, se JAt documentar el sistema actual asi como los problem as asocalo* al mismo. Se dek obtener tambin un catlogo con los requisito* del nuevo sistema. Se debe compraba que: Se ha realizado un modelo fsico del sistema actual, intu y e n d o los objetivoy funciones de cada unidad, as com o su* flujos de entrada y salida * informacin. Se Isan catalogado los problemas del sistema acu al as como que o la problem as son reales. Se han realizado el modelo lgico de datos y el modc'o lgico d e proceso 4d sistem a actual, as como que stos son correctos y qe *e han llevado a cabo con las tcnicas usadas en el rea. Existe el catlogo de requisitos que estn justificado*. Los requisitos son concretos y ctum ificablcs. de forma que pocdi determinarse el grado de cumplimiento al final del prcyecto. Cada requisito tiene una prioridad y est d a sificid o en funcional o m funcional. El catlogo de requisitos ha sido revisado y aprobado por el grupo de u s u r y por el comit de direccin, constituyendo a partir d e este momento d "contrato" entre stos y el equipo que desarrolla el proyecto.

C -C l-4 : Debe existir un procedimiento formal para registrar cambio* en 1 requisitos del sistema por parte de los usuarios. Se debe comfrohar que: El procedimiento existe y est aprobado. F.s coherente con el procedimiento de control del cam bio general p n d proyecto.

O B JE T IV O D E C O N T R O L C2: En el proyecto de desarrollo se utilizar I , alternativa ms favorable para conseguir que el sistema cumpla los requioestablecidos.

www.FreeLibros.me
C-C2-I: Dados los requisitos del nuevo sistema se deben definir las diferentes iterativas de construccin con sus ventajas e inconvenientes. Se evaluarn las ttenativa* y se seleccionar la ms adecuada. Se debe comprobar que: Existe un docum ento en el que se describen las distintas alternativas. Hay ms de una alternativa, y en caso contrario, que no existe realm ente otra posible. Cada alternativa est descrita desde un punto de vista lgico (al menos modelo lgico de procesos) y es coherente con los requisitos establecidos. Si existe en el m ercado al un producto que cumpla con unas mnimas garantas los requisitos especificados, una d e las alternativas debe ser su compra. Si no lo impiden las caractersticas del proyecto una de las alternativas debe *er el desarrollo del sistema por p an e d e una empresa externa. Se han evaluado las ventajas e inconvenientes d e cada alternativa de forma objetiva (anlisis coste/beneficio por ejemplo), as com o los riesgos asociados. El comit de direccin ha seleccionado una alternativa como la ms ventajosa y es realm ente la mejoe pora la organizacin. C-C2-2: La actualizacin del plan de proyecto seguir los criterios ya amentado*.

ll.2 .2 . Especificacin Funcional del Sistem a (E FS) Una vez conocido el sistema actual, los requisitos del nuevo sistema y la iheraativa de desarrollo ms favorable, se elaborar una especificacin funcional detallada del sistema que sea coherente con lo que se espera d e l. La participacin de usuarios en este mdulo y la realizacin de entrevistas siguen h piulas ya especificadas en el anlisis de requisitos del sistema, por lo que se pasa por alto la comprobacin de estos aspectos. El grupo de usuarios y los responsables de las unidades afectadas deben ser la principal fuente de informacin. Se considera ta coico objetivo de control (serie D):

www.FreeLibros.me
MXXTOkU INFORMTICA US MOQUE ATTKO O B JE T IV O D E C O NTR O L D h El nuevo sistema debe especificarse de completa desde el pomo d e vista funcional, contando esta especificacin aprobacin de los usuarios. C -D I-I: Se debe realizar un modelo lgico del nuevo sistema, incluye** Modelo l.gico de Procesos (M LP) y Modelo Lgico de D atos (MLD). Ambos deba ser consolidados para garantizar su coherencia. Se debe comprobar que: Se ha partido d e los modelos realizados en el anlisis d e requisitos del sisteta Existe el MLP. se ha realizado con la tcnica adecuada (nom ulsw * diagramas de flujos de dalos) y e s co n ec to tcnicam ente. Describir qu debe realizar el sistem a sin entrar en la forma en que lo har Los procem manuales deben estar diferenciados. Los usuarios deben entender la convenciones de sm bolos usadas. En el diagrama de contexto estn reflejados lodos los agentes e tlen a, incluidos otros sistemas con los que el sistema intercambia informacin. Pw cada flujo de datos d e entrada o de salida debe estar documentad d contenido, la frecuencia, suceso que lo origina, etc. Existe el MLD. se ha realizado con la tcnica adecuada (normalmente modeb entidad-relacin o diagramas de estructura d e dalos) y es corred) tcnicamente. Debe estar normalizado al menos hasta la tercera forma nora ix atributo y claves, a

El M LP y el M LD son coherentes entre if. La consolidacin se debe h a usando tcnicas adecuadas (Historia d e la vida de las entidades, por ejemplo). El M LP y el MLD han sido aprobados por los usuarios y por el coma de direccin. C -D l-2 : Debe existir el diccionario de datos o repositorio. Se debe compet*

Exixie el diccionario de dato, es correcto y se gestiona de fon automatizada. Se respetan en su gestin lodos los procedimientos d e control de cambios.

www.FreeLibros.me
CArtniLO

i; auimuhiI o

desakhoujo

aa

(M >l-3: Debe definirse la form a en que el nuevo sistema nteractuar con los 4H&M OS usuarios. sta e* la pane m s importante [ w a el usuario poique definir su fcrau de trabajo con el sistema. Se debe comprobar que: Se han descrito con suficiente detalle las pantallas a travs de las cuales el usuario navegar por la aplicacin, incluyendo todos los campos significativos, teclas de funcin disponible*, men*. botones, etc. Si hay normas de diserto o estilo de pantallas en el rea, se verificar que se respetan. Se han descrito con suficiente detalle los informes que se obtendrn del sistema y los form ularios asociados, si stos existen. Si hay normas de diseo o estilo de informes y formularios en el rea, se verificar que se respetan. La interfaz de usuario se ha aprobado por el grupo de usuarios y por el comit de direccin. C-DI-4: La especificacin del nuevo sistema incluir los requisitas de seguridad, rtniauento. copias de seguridad y recuperacin, etc. Se debe comprobar que: Esta informacin se ha solicitado a los usuarios en las entrevistas correspondientes a este mdulo y se ha documentado y contrastado. Se han aAadido estos requisitos al catlogo d e requisitos y a realizado en el ARS C-DI-5: Se deben especificar las pruebas que el nuevo sistema debe superar para Kr aceptado. Se debe comprobar que: Se ha elaborado el plan de pruebas de aceptacin del sistema, que ste es coherente con el catlogo de requisitos y con la especificacin funcional del sistema y que e s aceptado por el grupo d e usuarios y por el comit de direccin. El plan de pruebas de aceptacin tiene en cuenta todos los recu n o s necesarios. C-DI-6: La actualizacin del plan d e proyecto seguir los criterios ya octtidos. detallndose en este pum o en mayor medida la entrega y transicin al , aeso sistema.

www.FreeLibros.me
tu ACDrTOttlA IXPOWMTK-AUXKXRXX.EPKCnCO

12.5.3. Auditoria de la fase de diseo

En la fase de diserto se elaborar el conjunto d e especificaciones fsicas del noo sistema que servirn de base p>ara La construccin del mismo. Hay un nico mdulo:

12-5-3.1. Diseo Tcnico del Sistem a (DTSl A partir de las especificaciones funcionales, y teniendo en cuenta el entcoo tecnolgico, ve disertar la arquitectura del sistema y el esquema externo de datas. Se considera un nico objetivo d e control tscric E): O B JE T IV O D E C O N T R O L E l: Se debe definir una arquitectura fsica ptaad sistema coherente con la especificacin funcional que se tenga y con el enioo tecnolgico elegido. C - E l- I: El entorno tecnolgico debe estar definido d e forma clara y set conforme a los estndares del depana memo de informtica. Se debe comprobar que: Estn perfectamente definidos lodos los den tem o s que configuran el entono tecnolgico para el proyecto (servidores, computadores p ero r la, perifrico, sistemas operativos, conexiones de red. protocolos de comunicacin, sistemas gestores de bases de datos, compiladora, herram ientas C A S E mttkU tware en caso de programacin cliente/servidor, libreras, ele.). Se dispone de los elementos seleccionados, estn dentro de los estndares dd departamento de informtica y son capaces de responder a los requisitos establecidos de so l inertes, tiempos de respuesta, seguridad, etc.

C-Kl-2: Se deben identificar todas las actividades fsicas a realizar por el stemi y descomponer las mismas de forma modular. Se debe comprobar que: Se han documentado todas las actividades fsicas que debe realizar el sistema. El catlogo de actividades e s coherente con las funciones identificadas e s d MLR del m dulo EFS. Se han identificado las actividades que son comunes, as como las que ya existan en las libreras generales del rea. Existe el documento con el diserto de la estructura modular del sistema, se tu realizado con una tcnica adecuada (Diagramas de estructura de cuadros por ejemplo) y es correcto.

www.FreeLibros.me
CAHWIUHI Animo*! DU DESMiHOU-O 5 El tamao J e los mdulos e s adecuado, el factor de acoplamiento entre ellos es mnimo y la cohesin interna de cada mdulo es mxima. Los mdulos se disean para poder ser usados por otras aplicaciones si fuera necesario. Los componentes o programas del nuevo sistem a se han definido con detalle a partir del diserto modular, la definicin e s correcta y sigue los estndares del rea. La descripcin de los componentes es suficiente para permitir su programacin por porte de un programador sin conocimiento previo del sistema. Se deben especificar los requisitos d e operacin de los componentes. Se han detallado las interfaces d e dalos y control con olios mdulos y sistemas, as com o la interfaz de usuario ya especificada en el mdulo EFS. C-EI-3: Se debe disear la estructura fsica de datos adaptando las especi ficaciones del sisiema al entorno tecnolgico. Se debe comprobar que: FJ modelo fsico de datos est basado en el MLD obtenido en el mdulo EFS e ocluye todas las entidades, relacione, claves, vistas, etc. Tiene en cuenta el entorno tecnolgico y los requisitos de rendimiento pora los whiacnes y frecuencias de acceso estimados. Si incluye algn incumplimiento de las normas, est justificada. C-EI-4: Se debe disear un plan de pruebas que permita la verificacin d e los distintos componentes del sistema por separado, as como el funcionamiento d e los utintos subsistemas y del sistema en conjunto. Se debe comprobar que: Existe el plan de pruebas y contempla todos kxs recursos necesarios para llevarlas a efecto. Las personas que realizarn las pruebas de verificacin son distintas a las que han desarrollado el sistema. Es adecuado para validar cada uno d e los componentes del sistema, incluyendo pruebas del tipo caja blanca para cada mdulo. T endrn en cuenta lodas las posibles condiciones lgicas de ejecucin, adems de posibles fallos del hardware o software de base. Permite validar la integracin d e los distintos componentes y el sistema en conjunto.

M .

www.FreeLibros.me

Al'DfTOKA INfORMTIC V I NINKX*1 l-KACl tCD

C-KI-5: 1.a actualizacin del plan d e proyecto seguir los criterio comentados.

12.5.4.

Auditora de la fase de construccin

En esta fase se programarn y probarn los distintos componentes y se posetta en marcha todos los procedim ientos necesarios para que los usuarios puedan hataja con el nuevo sistema. Estar basado en las especificaciones fsicas obtenidas ea U fase de diseo. Hay dos mdulos.

I2 .5 A 1 . D esarrollo de los C o m ponentes del Sistem a (D C Sl

En este mdulo se realizarn los distintos componentes, se probarn une individualm ente com o de forma integrada, y se desarrollarn los proccdimieMM de operacin. Se com idera un nico objetivo de control (serie F): O B JE T IV O D E C O N T R O L F l: Los componentes desarrollarse usando tcnicas de programacin correctas. o mdulos deta

C -F l-1 : Se debe preparar adecuadamente el enlom o d e desarrollo y Je prueba, as com o las procedimientos de operacin, antes de iniciar el desarrollo. Se debe comprobar que: Se han creado e iniciali/ado las bases de datos o archivos necesarios y qoe cumplen las especificaciones realizadas en el mdulo d e diserto. En ningn momento se trabaja con informacin que se encuentra a explotacin. Se han preparado los procedim ientos de copia de seguridad.

Se han preparado lo Jilo io . wmjiitailuio, liciiuiimciiIas. cts. cscsaiiin. Estn disponibles los puestos de trabajo y el acceso a los equipos, redes, etc. Estn disponibles todos tos elementos lgicos y fsicos para realizar h t pruebas unitarias de los componentes y las pruebas d e integracin. Estn documentados todos los procedimientos de operacin pora cuando d sistema est en explotacin.

www.FreeLibros.me
I C-Fl-2: Se debe programar, probar y documentar coda uno de los componentes tarificados en el diserto del sistema. Se debe comprobar que: Se han desarrollado todos los componentes o mdulos. Se han seguido los estndares de programacin y documentacin del rea, el cdigo e s estructurado, est bien sangrado y contiene contenanos suficientes. Se ha probado cada componente y se ha generado el informe de prueha. Si los resultados de las pruebas no son satisfactorios, se modifica e l cdigo y se suelve a realizar la prueba. Si se detecta un fallo de especificacin o diserto, el proyecto t e actualizar segn el procedim iento establecido para ello. C-Kl-3: Deben realizarse las pruebas de integracin pora asegurar que las iwrfaces. entre los componentes o mdulos funcionan correctamente. Se debe aprobar que: Las pruebas d e integracin se han llevado a cabo segn lo especificado en el plan de pruebas realizado en el mdulo d e discfto. Se han evaluado las pruebas y se han tomado las acciones correctoras necesarias para solventar las incidencias encontradas, actualizndose el proyecto en consecuencia. No han participado los usuarios. participar el equipo de desarrollo. En las pruebas de integracin slo debe

U&-L2. D esarrollo de los Procedim ientos d e U suario (DPI!) Ea este mdulo se definen los procedim ientos y formacin necesarios pora que b t arios puedan utilizar el nuevo sistema adecuadamente. Fundamentalmente se tnta de la instalacin, la conversin de datos y la operacin/explotacin. Se considera n nico objetivo de control (serie O * OBJETIVO D E C O N T R O L O I: Al trm ino del proyecto, los futuros usuarios deben estar capacitados y disponer de todos los medios para hacer uso del sistema. C-G l-1: El desarrollo de los componentes d e usuario debe estar planificado. Se debe comprobar que: En d plan del proyecto est incluido el plan para el desarrollo de los procedimientos de usuario c incluye todas las actividades y recursos

www.FreeLibros.me
tU AUWTOBlA INFORMTICA: UN USKXfrlE PRACTICO Lo* procedim ientos se llevan a cabo despus de tener la c^pecfkac funcional del sistema y ante* de la im plantacin del irismo.

C -G I-2 : Se deben especificar lo* perfiles d e usuario requeridos para el ma sistema. Se debe comprobar que: Estn definidos los distinto* perfile* de u s u r o im planucin y explotacin del nuevo sistema. requeridos pira k

Para cada perfil se ha definido el rango de fechas y la dedicacin necesaria

C -G I-3 : Se deben desarrollar todos los procedimiento* le usuario coa arrtgiot lo* estndares del rea. Se debe comprobar que: Estn desarrollados todos los procedimientos d : usuario, recopUdei formando el manual d e usuario, y son coherentes con las actividades descrit* e nE F S. Cada procedimiento describe claram ente qu realua. el perfil de uswrie asociado, asi como lo* recursos que son necesarios (equipos. coouwuMei perifricos especiales, espacio, etc.). L os manuales de usuario y el resto de procedimiento cumplen los eslindara del rea y llevan asociado su control d e versiones.

C -G l-4 : A partir de los perfiles actuales de los u su a ri . se deben definir i* procesos de formacin o seleccin de personal necesarios. Se debe comprobar que: La comparacin de perfiles de usuarios y recursos r e f e r id o s con los actuales e s realista y los procedimientos que se derivan son adecuados y estin aprobados por los responsables de Las unidades afectadas. I-os procedimientos de formacin estn individualizados y se adaptan a caii persona, y se le ha com unicado a cada usuario el plan d e form acin que seguir. Se han definido y preparado lo* recursos necesarios para im panir la formacifo (aulas, medios audios isuales. material para los asistentes, tutoriales. etc.).

C -G I-5 : Se deben definir los recursos materiales necesarios para el trabajo de k* usuarios con el nuevo sistema. Se debe comprobar que:

www.FreeLibros.me
Se han determinado los recursos necesarios para cada usuario (consumibles, perifricos especiales, espacio, etc.). Se han comparado con los recu n o s existentes y se ha planificado el alquiler, leasing, adquisicin, etc. de los recursos no disponibles dentro de plazo.

I m m _________________________________ CH tU O ItA WinOriA IIH. WMMIOUld 9

12.5.5. Auditora de la fase de implantacin

En esta fase se realizar la aceptacin del sistema por pane d e los usuarios, temis de las actividades necesarias para la puesta en marcha. Hay un nico mdulo:

12^5.1. P ru e b as. Im plantacin y A ceptacin del Sistem a (PIA ) Se verificar en este mdulo que el sistema cumple con los requisitos establecidos en la fase de anlisis. Una vez probado y aceptado se pondr en ofiocacin. Se consideran dos objetivos de control (serie H): OB JE TIV O DF. C O N T R O L I I I : El sistema debe ser aceptado formalmente por los usuarios antes de ser puesto en explotacin. C -H l-1: Se deben realizar las pruebas del sistema que se especificaron en el ferio del mismo. Se debe comprobar que: Se prepara el entorno y los recursos necesarios para realizar las pruebas. Las pruebas se realizan y permiten verificar si el sistema cum ple las especificaciones funcionales y si interacta correctamente con el enlomo, incluyendo interfaces con otros programas, recuperacin ante fallos, copias de seguridad, tiempos de respuesta, etc. Se han evaluado los resultados de las pruebas y se han tom ado las acciones correctoras necesarias para solventar las incidencias encontradas, actualizndose el proyecto en consecuencia. 10111-2: El plan de implantacin y aceptacin se debe revisar pora adaptarlo a la situacin final del proyecto. Se debe comprobar que: Se revisa el plan de implantacin original y se documenta adecuadamente. Est incluida la instalacin d e todos los componentes desarrollados, as como los elementos adicionales (libreras, utilidades, etc.).

www.FreeLibros.me
0 At'IHTOKl IWQItMtnCA l.~XIWQOW! HtACTICO Incluye la iniciali/acin de datos y la conversin u ex necesaria. Especifica los recursos necesarios para cada actividad, as como que el crin m arcado para las actividades es compatible. Se ha tenido en cuenta la informacin histrica sobre estimaciones.

( ' I I 1-3: El sistema debe ser aceptado por los usuarios antes de ponme a explotacin. Se debe comprobar que: Se sigue el plan de pruebas de aceptacin aprobado en La fase de aiUlis. qg debe incluir la conversin de datos y la explotacin. I-a ' pruebas de aceptacin son realizadas por los usuarios. Se evalan los resultados de las pruebas y se han tomado las accin correctoras necesarias para solventar las incidencias cncor-traJa, actualizndose el proyecto en consecuencia. El grupo de usuarios y el comit d e direccin firman su conformidad con la pruebas de aceptacin.

O B JE T IV O D E C O N T R O L H2: El sittem a se poodr en exploucitia formalmente y pasar a estar en mantcnimiento slo cuando haya sido aceptado y ca preparado lodo el enlom o en el que se ejecutar. C -H 2*l: Se deben instalar lodos los procedimientos d e explotacin. Se debe comprobar que: Se han instalado adems del sistema principal todos los proccdimicMM auxiliares, por ejemplo copias, recuperacin, etc., tanto manuales como automtico. E\tn documentados de forma oorTccla. l.<* usuarios han recibido la formacin necesaria y tienen en su poder toda U documentacin necesaria, fundamentalmente manuales de usuario.

Se han elim inado procedimientos antiguos que sean incompatibles con di nuevo sistema.

www.FreeLibros.me
CArtTtK) I !: AlTHTORlA 11*1 Dt-SAKKOUX) NI 0112*2: Si existe un sistema antiguo, el sistema nuevo se pondr en explotacin de forma coordinada con ia retirada del antiguo, migrando los dalos si es necesario. Se debe comprobar que: Hay un perodo de funcionamiento en paralelo de los dos sistemas, hasta que el nuevo sistema est funcionando con todas las garantas. Esta situacin no debe prolongarse ms tiempo del necesario.

Si el sistema antiguo se va a mantener para obtener informacin se debe dejar en explotacin en modo de slo consulta. Los datos se conv ierten de acuerdo al procedimiento desarrollado y se verifica la consistencia de la informacin entre el sistema nuevo y el antiguo.

0112*3: Debe firmarse el final de la implantacin por porte de los usuarios. Se debe comprobar que: Existe el documento y que ha sido firmado por el comit de direccin y por el grupo de usuarios. Contiene de forma explcita la aceptacin d e la implantacin correcta del sistema. C-H2-4: Se debe superv isar el trabajo de los usuarios con el nuevo sistema en las piacras semanas para evitar situaciones d e abandono de uso del sistema. Se Jebe aprobar que: El ndice de utilizacin del sistema e s adecuado a los volmenes que se esperaban para cada una de las reas afectadas por el nuevo sistema. Se ha comprohado. al menos informalm ente, la im presin de los usuarios respecio al nuevo sistema. C-II2-5: Para tc m u iu i I proyecto te pondr *n marcha I infcaniuno Jo uairm>ento Se debe comprobar que: El mecanismo existe y est aprobado por el director del proyecto, por el comit de direccin y por el rea de mantenimiento, si sta existiese. Tiene en cuenta los tiempos de respuesta mxim os que se pueden permitir ante situaciones de no funcionamiento.

www.FreeLibros.me
X AUCtTORtA INIORMATICA UN 1-SatHK.ih HtCIKTI___________________________MU El procedimiento a seguir ante cualquier problema o para el nuntenirrue del Mema ser conocido por todos los usuarios. Incluir al menos la per* de contacto, telfono, esquema de la informacin a ap o ru r. etc.

12.6. CON CLUSION ES

I A pesar de ser una de las actividades principales d e la informtica, el desamt de software no ha conseguido alcanzar de forma general unos parmetros de calidad aceptables. Este hecho, unido a la naturaleza especial del softw are y su dtfki validacin, convierten al proceso de desarrollo y su estandarizacin en las claves p n cambiar la situacin. Todas las actividades que configuran el proceso d e desarrollo tienen la miuta im portancia a la hora de realizar la auditoria, pues aunque se pueda pensar CfX la actividad ms importante e s la programacin, se ha demostrado que los errores en la actividades iniciales de los proyectos son ms costosos que los que se producen i final de los mismos. Por otra parle, no parece lgico que los procesos involucrados en el desarrollo de software se estandaricen a lo largo d e un proyecto concreto. Es imprescindible que los proyectos de desarrollo se lleven a cabo en el seno de una organizacin consolidad! Por ello, la organizacin se convierte en otro elemento crtico a tener en cuenta por d auditor. Especial programacin etc.), que al ingeniera del auditora. mencin merecen las nuevas herramientas y tcnicas (CASE, orientada a objetos, lenguajes de cuarta generacin. RAD. prototipad* alterar en cierta medida el proceso tradicional de desarrollo de la software, pasan a ser elementos esenciales a estudiar en un proceso Je

En este captulo se han expuesto distintos objetivos d e control que de ningn manera deben interpretarse como un modelo cerrado. El auditor aplicar los objetivos y niveles de cumplimiento mnimos que considere adecuados en funcin del proyecto y de las peculiaridades de cada organizacin.

12.7. L E C TU R A S RECOM ENDADAS

Computer Audit. Control an d Security. Moeller. R. John W iley & Sons. I989. Tcnicas de la auditora informtica. Y annD errien. Ed. Marvombo. 1994.

www.FreeLibros.me
CAHTVLOI2 AUMTOaUOM.MSAKIWM.tO 9f Control interno. auditora v seguridad informtico. Coopers& Lybrand. 1996. Auditoria en centros d e cmputo. David H. Li. Ed. Trillas. 1990.

12.8.
1. 2.

C U ES TIO N ES DE REPASO
Qu fac to r contribuyen a la importancia de la auditoria d e desarrollo? Qu aspectos se deben comprobar respecto a las funciones del rea de desarrollo? Comente la importancia, desde el punto de vista de la auditoria, de la formacin que deben poseer km profesionales de desarrollo. Qu procedimiento utilitaria para valorar la motivacin del personal de desarrollo? Qu repercusiones tiene la existencia de herramientas CA SE en el mbito del desarrollo? Describa diversos procedimientos d e Anlisis. Evaluacin y Seleccin de herramientas de desarrollo que haya utilizado o conozca. Qu riesgos entraa la subcontratacin del desarrollo? Cmo afecta el modelo d e ciclo de vida que se adopte en un proyecto a la auditora a realizar sobre el mismo? Cree que la "trazabilidad" de los requisitos resulta importante en un desarrollo informtico?

3.

4.

5.

6.

7. S.

9.

10. Exponga cm o debera ser la participacin del usuario a lo largo d e las distintas fases de la metodologa Mtrica.

www.FreeLibros.me

C A P T U L O 13

AUDITORA DEL MANTENIMIENTO

Juan Carlos Granja A h n r tz

13.1. INTRODUCCIN A LA AUDITORA INFORM TICA DEL M ANTENIMIENTO D EL SO FTW AR E

Nunca se ha prestado demasiada atencin al estudio de la Auditoria Informtica en c u i cu p a, ni se le ha dedicado el esfuerzo necesario que por su alto nivel d e cost merece. En ocasiooes se ha hablado d e una etapa en la que slo se aperciban parte de los problema* y apenas se empleaba un mnimo esfuerzo en aplicar tcnicas de auditora con lo que vurgfa el efecto ICEBERG con el que algunos autores han denominado al hectio de que slo se aprecia una pequea pane de la problemtica que cacierra Varias investigaciones y experiencias revelan que la etapa de mantenimiento consume la mayor pane de los recursos empleados en un proyecto softw are. Por tanto, etu eu pa debe ser especialmente considerada en los estudios de productividad y de la A oilora Informtica. La manlenibilidad. factor crtico d e estudio en Auditora Informtica del Mantenimiento, es el factor de calidad que engloba todas aquellas caractersticas del softw are destinadas a hacer que el producto sea ms fcilmente nan:enib!c y. en consecuencia, a conseguir una mayor productividad durante la etapa de mantenimiento. En este captulo se propone un modelo em prico de estimacin de oowes de mantenimiento centrado en este factor de calidad, asi como el mtodo para su impie mentacin. Finalm ente se consideran algunos casos prcticos que refuerzan la valide/ del modelo.

www.FreeLibros.me
y AUXTO<AINroMATKA UN ESTOQUE PRACTICO FJ control y evaluacin d e la M antcnibildad puede ser uno d e lo* factores determinantes en el estudio de la Auditora Informtica en la Etapa de Mantenimiento del Software. Frecuentemente ve olvida que lo* eifuc o* d e auditara en la etapa de M antenimiento ve plasman en la* primeras etapas d e desarrolle del softw are. En las especificaciones del softw are y en la llamada Ingeniera de Requisitos, se plasman lo primero* paso* de los aspectos que van a determinar el esfuerzo o no dificultad de mantenimiento del software. Podemos decir que la M antenibilidad va a ser un factor determinante para U Auditora Informtica del Mantenimiento del Softw are. Vam os a centrar el estudio de este tema en todo lo que rodea la facilidad d e mantcnimicn:o del softw are y k aspectos a auditar. Es frecuente que las em presas de softw are busquen la m tim a productividad ea el desarrollo de sus productos, dejando en un segundo lugar a la etapa de mantenimiento. Esto constituye un lamentable error ya que. como muchos estudios revelan, esta etapa es la que ms recursos consume (m s del 60% de los recursos empleados en todo el proyecto) (CANN72. W IEN84. IIARR90I Todo ello nos lleva a un profundo estudio de I tcnicas d e Auditora en esta etapa. Si la productividad en la etapa de mantenimiento es baja puede suceder, adems d e las evidentes implicaciones econmicas, que el equipo hurrano que desarroll d producto tenga que dedicarse a tiem po com pleto a su mantenimiento. Consecuentemente, si la empresa quiere abordar nuevos p rovaos tendr que incluir un nuevo equipo en su plantilla. Esto im plica el desaprovechamiento, al menos parcial, de la experiencia adquirida por el equipo anterior, que sera de gran valor en los nuevo* proyectos. Por otro lado se requiere una labor de formacin del nuevo equipo hasta adquirir el conocimiento necesario sobre los mtodos y herramientas utilizados por la empresa de software. La productividad en la etapa de mantenimiento est directamente relacionada con la mantenibilidad del producto. La mantcnibildad es un factor de calidad que engloba todas aquellas caractersticas del softw are destinadas a hacer qix el producto sea ms fcilmente mantenible. Por tanto, va a ser un parmetro decisivo a la hora de auditar esta etap a Se propone un modelo de estimacin del costo d e mantenimiento que permite aprovechar las experiencias en proyectos previos. Se tom a c o n o punto d e partida d conocido modelo de estimacin de costes elaborado por B oclu (COCOMO). al que se incorporan unos ndices que miden la mantcnibildad del p n x u c to y que afectan de manera im portante al coste de mantenimiento.

www.FreeLibros.me
m w ______________________________ CAFfTVLOn AUDITORIAOtXMAKIfcXlMtPaU

v n

13.2. LIS TAS DE COM PROBACIN EN AUDITORA IN FORM TICA DEL M ANTENIMIENTO
Siguiendo un enfoque clsico de la Auditora Informtica de) Mantenimiento. nos encontramos con Las tcnica.' de utilizacin de diferentes tipos d e lis u s de occnprohacin. Cara a la revisin del softw are en la etapa de mantenimiento, podramos retallar cinco grandes bloques o enfoques hacia los cuales poder orientar las preguntas: 1. Se han tenido en cuenta las implicaciones laterales asociadas can el cambio? 2. Se han tenido en cuenta los aspectos documentales en cuarto a evaluar y aprobar la peticin de cambios? 3. Se ha documentado el cambio, una vez realizado y procolindose a dar informacin a todos los que se ven im plicados en el proceso? 4. En cuanto a las revisiones tcnicas frmale, se han realizado las adecuadas? 5. Se ha hecho una revisin de aceptacin final para asegurar que toda la arquitectura software, fue actualizada y probada y se procedi a los cambios adecuadamente? La utilizacin de grandes bloques com o los mencionados nos va a permitir centrar nuestro esfuerzo de auditora informtica, si bien vemos que a problemtica persiste en buscar aquellos aspectos que con el menor esfuerzo de auditora nos permitan llegar a auditar y conseguir la mayor cantidad de informacin que sea posible. Surge as la necesidad de centrar el esfuerzo de auditora en un factor que pueda ser determinante, tal com o e s la M antenibilidad en la etapa de Mantenimiento del Software.

13.3. MODELIZACIN EN L A ETA P A DE MANTENIMIENTO

Podemos tomar com o referente el CO CO M O (COnstructive COs MOdel). que es tn modelo de estimacin de costes de proyectos softw are creado por B x h m en 1981 a partir de datos recogidos de 63 proyectos [BOEH81]. El importante nmero de proyectos tratados y la esmerada elaboracin del modelo hacen que su validez perdure

www.FreeLibros.me
>* UIMTOWAINKMXUTIC* 1 \ l-SKKJt I WtM IKT> lu 'fa la actualidad. Este modelo ofrece frmulas empricas de estimacin de cosa esfuerzos software. Tras aplicar la versin inicial del modelo a una amplia variedad de cntonws x comprob que no bastaba con un nico m odo de desarrollo. p>r lo que se plantean tres modos (orgnico. semidelached y rm b td d ed ) en funcin d ; varas caracterstica: tamao, necesidades de comunicacin, experiencia en proyecto similares, etc. Por otro lado, se ofrecen tres versiones del modelo: bsico, intermedio j detallado. 1:1 bsico es adecuado para estimaciones rpidas, aunque sin una gro precisin. El intermedio considera IS atribuios del proyectc (Habilidad rtqucm k tamao de la hase de dalos, restricciones de memoria, tiempo Je respuesta requerid}, etc. cuya valoracin acta com o factor multiplicador en I modelo. La versita detallada considera las estimaciones en cada una d e las etapa* del ciclo de vid dd proyecto. La versin bsica del modelo ofrece las siguientes fm u las de clculo del esfuerzo de desarro llo (medido en MM=month-man u hombre mes): Modo orgnico M M, = 2.4 KS1w Modo semidetached M M i 3.0 KS' Modo embcdded MMI U 3.6 K S '30 Siendo KS = Estimacin del tamao del programa (en miles d e lincas). Para la estimacin del esfuerzo d e m a n ten im ien to se necesita un nuevo parmetro: el Trfico de Cam bio A nual (TCA), que consisi: en la proporcin de instrucciones fuente que sufren algn cam bio durante un arto. bien sea por adicin o por modificacin. N L N _N m NLI NLN NLM NLI Nmero d e lineas suevas - Nmero d e lineas nodificadas = Nmero d e lineas nicial

As. el esfuerzo en la etapa de mantenimiento, segn el mcslelo COCOMO. viese dado com o producto del esfuerzo de desarrollo y el trfico de cambio anual. MM uant = TCA M M n t

13.4. M ODELO DE ESTIMACIN EN E L MANTENIMIENTO

La mantenibilidad es. sin duda, el factor de calidad d d softw are con mayor influencia en la etapa de mantenimiento y. po tanto, elemento decisivo de referencia en los estudios de Auditora Informtica del Mantenimiento. Un estudio realizado por W , Itzfcld en Alemania, recogido por W allmtlller en (WALL91J presenta un ranking

www.FreeLibros.me
de utilizacin de mtricas de calidad e n el cual las mtrica de manienibilidad se encuentran en primer lugar, empleadas por un 67*11 d e los encuerados. Boehm [BOEH79] reconoca la importancia de la mantenibilidad. L'no de n estudios indicaba que el esfuerzo de mantenimiento d e un software de baja ountcnibilidad puede estar en relacin d e 4 0 a I con respecto al esfuerzo de nuevos desarrollos. Es decir, existe una relacin d e dependencia entre las caractersticas de miiuenibilidad del software desarrollado y e l esfuerzo d e mantemmwnio. lo cual es bulante evidente. Por un to , para el clculo del coste estimado d : mantenimiento hemos de considerar un factor que indique el grado d e mantcniblidad o facilidad de oaMcnirmcnto del producto. Tomando como punto de partida la frm ula de estimacin del esfuerzo de mantenimiento del modelo CO CO M O de Boehm. se va a ocluir en ella dicho factor que denominam os ndice d e m antcnibilidud. y que va a se funcin de algunas medidas del softw are desarrollado: M M mani - T C A MM ms Imn i Ivavt f (X i. X :....... X. Este ndice va a mostrar el grado de mantcniblidad o facilidad de mantenimiento del producto de form a que valores grandes expresan baja mantcm bilidtd mientras que los valores bajos indican alta mantcniblidad. Al mismo tiempo va a ser un buen indicador de la productividad en la e u p a de mantenimiento. Asi pues, nuestro principal objetivo consiste en determinar qu fonna ha de tener ene ndice. Dicho de otro modo, se trata de obtener la relacin que existe entre el esfuerzo estimado de mantenimiento y aquellas caractersticas que hacen que el producto sea ms o menos mantenible. Dos son. pues, los pasos a seguir para la normalizacin del modelo: a) Establecimiento de los mtricas d e mantenibilidad. b) Obtencin de las funciones de mantcniblidad que relacionan la mtricas eu Mecidas con el ndice d e mantenibilidad. Previamente a abordar estos dos puntos y teniendo en cuenta las tres actividades qjc conforman una accin de mantenimiento, el ndice de mantenibilidad se va a descomponer a su vez en tres ndices: ndice de com prensibilkad. ndice de na&ficabilidad e ndice de testeabilidad.

www.FreeLibros.me
?0U AUDITORIA IXtOKMAnCA: UN ENKXjt'fc PRACTICO

13.4.1. Elementos de la mantenibilidad

Una accin de mantenimiento se puede descomponer en tres actividades: Co m prensin del cambio a realizar M odificacin o realizacin del cambio. P ru e b a de coleccin del cambio realizado.

Son tres tarcas claram ente diferenciadas que se realizan una tras otra, por lo <pc el esfuerzo de mantenimiento se puede considerar com o suma de los tres esfuenot comprensin, modificacin y prueba. MM ma.ni - MM< MM m M M , As pues, vamos a tener tres ndices de mantenibilidad. I<-. Iu e l< que relacin los parmetros del proyecto. TCA y MMDES con los tres componentes del esfuerzo de mantenimiento: MM-. MMU y MMr MM, * TCA M M , If MM m = TCA M M i 1 M M , - T C A M M o u lr Hn consecuencia, el ndice de mantenibilidad, IMANT vendr dado por la w m de los tres ndices anteriores: Iu v st Ic ly t

Imamt =ndice d e mantenibilidad l< ndice d e comprensibilidad Iu - ndice d e modificabilidad I: ndice de testcabilidad

El esfuerzo total de mantenimiento: MMv,w - M M , MM m M M , = TCA M M , (le + I m+ Ir)

13.4.2. Mtricas de mantenibilidad

El modelo aqu propuesto, y que ha sido em pleado en los casos de estudio, considera tres caractersticas, cada una de las cuales afecta de manera directa a ua componente de la mantenibilidad: X<-: M trica de comprenubtlidad: Nmero de lneas de comentario por cada 100 lneas de cdigo. La estrecha relacin entre la documentacin interna del cdigo (o autodocumcntacin) y el esfuerzo d e comprensin e s evidente.

www.FreeLibros.me
X: Mtrica de modificabilidttd'. N m ero de lineas sin d a l o constantes por cada 100 lneas de cdigo. I-a existencia d e un gran nmero de datos constante en el c ijo implica un mayor esfuerzo para la modificacin. X t: M trica de testeabiHdad'. Nmero de lincas de tratamiento de errores pof caja 100 lneas de cdigo. La depuracin o testing del cdigo va a ser ms fcil si existen procedim ientos de deteccin y manejo de errores. Las tres caractersticas se han elegido d e manera que resulten fcilmente mediMes > que tengan una gran influencia sobre la mantenibilidad. N o obstante, el modelo puede aplicarse cualquiera que sea el conjunto d e mtricas escogido, siempre que quede demostrada la dependencia entre dichas mtricas y el componente de narxenibilidad correspondiente.

13.4.3. Funciones de mantenibilidad

Las funciones as i denominadas relacionan los ndices de mantenibilidad (Ir. lu c Ir) con las mtricas recin contentadas (X<-. XMy Xt). I< - F r ( X c ) I - F m (X m) Ir - F ( X ,) Para la obtencin de estas funciones se hace necesario el em pleo de un elemento qoc resulta fundamental en toda estimacin: la informacin histrica. La experiencia adquirida en proyectos anteriores adquiere un gran valor al emprender nuevos proyectos. Por tanto, se ha de disponer d e mecanismos que permitan lomar varias eedidas: a) Del producto desarrollado X ,: Mtrica de comprensibilidad X: Mtrica de modificabilidid XT : Mtrica de tesieabilidad b) Del proceso de mantenimiento MMr : Esfuerzo d e comprensin MMU: Esfuerzo d e modificacin MM t: Esfuerzo de prueba Los ndices de mantenibilidad se obtienen a partir de los valores de esfuerzo seducte la siguiente frmula:

www.FreeLibros.me
*tf AlPmUtA PnOHM\T>CA: UN ENFOQUE PttACTlOO MMf C " TCA * MM WS flM I l< * ndice de comprensibilidad MSI* = Esfuerzo de comprensin en mantcnimimo M TCA Trfico de cam bio anual M M n > Esfuerao de desarrollo

I>cl mismo m odo se obtienen lu e l t. considerando el esfuerzo de modificacita M M U y el esfuerzo de prueba M M , respectivamente. T oda la informacin necesaria para la aplicacin del modelo, ya comenud, puede incluirse en una tabla que denominamos Tabla H istrica (TH) con la siguicok estructura:

Proyteto P

TCA TCA,

MM,., MM,..

\ X.

MM, MM.

K l.

x. x
X

MM. MM.

11.

x, x x

MM, MM.

L L

P. TCA. MM

...
X..

...
MM . K. MM. 1-

...
MM..

Tom ando la subtabla formada por las columnas X<- e 1* tenemos una nube de puntos representable en un plano de dos dimensiones { (X o L i) I i- l. . n ) . Haciendo w sencillo anlisis de regresin sobre este conjunto de puntos se puede obtener la cwv que mejor se ajusta, as como el coeficiente d e determinacin o grado en que dada funcin es representativa de dicho conjunto de puntos. A s obtendramos la funcifa

Del nusm o modo llegaramos a las funciones F y Fi a partir de los conjuntos de puntos {(X w -lt<.>/i*l..n) y { < X > /li,)/i l..n } .

13.4.4. Mtodo de implementacin

En este apartado se describe el mtodo a seguir para im plementar el modelo en en proyecto software. La figura 13.1 muestra los elementos y procesos que intervienen <a el modelo.

www.FreeLibros.me
CAPlni-o i>: auxtoria pki. m a m i > isbknto_ j

Figura l.i. I. Elementot y p rocesot que intervienen en e l m odelo de mantenim iento Como sc observa en el esquema, hay tres procesos que utilizan tanto la bfomtacin histrica Je la TH com o cierta informacin que sc solicita del proceso de desarrollo.

13.4.4.1. Enfoque de a ju ste del modelo Se trata de determinar la forma de las funciones le mantenibtlidad. Realizando ue anlisis de regresin sobre cada conjunto de puntos {(X*,.!<,) / = l..n ). > * 1 .* ) y ((X r .li ) / i= l ..n> recogidos de la TH . se podrn obtener respectivamente las fcockmes o lneas de regresin F<. FM . y Hr que mejor representen a cada conjunto. El mtodo de ajuste aqu empleado e s el conocido m todo d e aju ste por niBinws cuad rad o s. Para el caso de la funcin de comprensibilidad. F< e* tal que la aimi de los cuadrados de los errores es mnima, e s decir.

e j , es mnimo, siendo e0 * 11-, - F<<X< ,)l

www.FreeLibros.me
W M OTTOHfA INKIKMTICA UNEMQQCILHtCIK'O______________________ 13.4.4.2. E stim acin d d TCA ste e s un proceso que ha d e basarse en la experiencia. Dos son los elcmoa | h in c o s en todo proceso experim ental: la informacin histrica > el juicio de expenx El mtodo aqu propuesto se sirve de estos dos elemento para obtener b estimacin. Partimos de la existencia de un conjunto d e cu alid ad es atribuibles > proyecto software. Este conjunto va a ser elaborado inicialmenle y revisado de foma peridica por los expertos de forma que manifieste las caractersticas distintivas de leu proyectos que componen la tabla d e datos histricos. Cada cualidad j va a tener i peso p, que permite valorar unas cualidades ms que otras. Cada proyecto tendr slo do s posibilidades con respecto a cada cualidad: poseerla o no poseerla. As. si la tab histrica est compuesta por n proyectos, tendremos la siguiente informacin qx representan sos en forma nutricia):

Informacin histrica A M atriz de a rm elementos que indica las cualidades de cada proyecto qee compone la tabla histrica (TH) C A= C-., C , C ,j ... C C ... ... C - Cualidad j para el proyecto i C lm Dos valores posibles: C ,_ I: El proyecto posee la cualidad 0: En otro caso c

T Matriz de n d elem entos que indica el trfico d e cam bio anual de cada proyecto de la TH T (TCA i . T CA j TC A .)1 TCA. = Trfico de cam bio anual de proyecto i NOTA: El superndiee T indica "m atriz transpuesta".

Informacin d e l proyecto en estudio C Matriz de Ixm elementos que indica las cualidades del proyecto en curso. La extraccin de esta informacin requiere la intervencin de personal experto. Es en este momento cuando se va a revisar el conjunto de cualidades. La modificacin de este conjunto requiere la actualizacin de la tabla histrica revisando las cualidades de todos los proyectos que la componen.

www.FreeLibros.me
CaHTVI.O IX AfMTORlA 1)11. UAVB.MWFXTO 305 C (Ci, C ;..... C-,) c, Cualidad ) para el proyecto n curso Dos valores posibles: p , : El proyecto posee la cualidad 0 : En otro caso.

B Matriz de a t l elemento que indica el nmero d e coincktenciis que tiene el proyecto en curvo con respecto a cada proyecto de la TH . e s decir, el nmero de cualidades que tienen en comn. B - A CT NOTA: El sm bolo representa el producto de nutrices. El TCA estimado viene dado por la siguiente expresin:

De esta forma, cada proyecto interviene en el clculo de la cMimacin en la medida en que sus cualidades coinciden con las del proyecto en estudio

13.4.4.3. A plieabllldad del modelo Una vez que se dispone de las funciones de mantenibilidad <FC. FM y FT) as romo del TCA estimado, el coste estimado d e mantenimiento se oMiene slo con aplicar la frm ula ya conocida: MMuam - MM f M M MMT - TCA M M ,* , <lc lM Ir) litado le =F r(X c) Im - F ^ X h) l t - F H X t) Por tanto, el proceso de desarrollo ha d e suministrar la siguiente informacin: MM|s : Esfuerzo de desarrollo Xf : Mtrica de comprensibilidad XM : Mtrica de modificabilidad X, : Mtrica de testcabilidad

www.FreeLibros.me
X AtlPTTOKlA IS'KMtVtATHA UN(-NFOQIC PRACTICO Con (oda t informacin recogida se podr aplicar la frmula y obtener U estimacin del esfuerzo o coste de mantenimiento.

13.5. C A SO DE ESTUD IO
Se han estudiado tres proyectos con el fin de aplicar el modelo recin expuesto Se trata de un proyecto para el desarrollo d e un paquete de gestin contable (P,) y des d e gestin comercial (P ; y P<). El estudio se ha sim plificado considerando solamente uno de los componentes de la mantenibilidad. a saber, la comprensibilidad. El estudio de la modificabilidad y de la tcstcabilidad se hara de manera idntica. Seguidamente se muestra la tabla histrica en la que intervienen los tro proyectas citados. En ella, todos los datos han sid o medidos excepto el ndice de comprensibilidad. IC. que se obtiene mediante la frmula: 1 MMf f " T C A M M pes Hemos de m encionar tambin que C | y C ; son las cualidades escogidas para diferenciar los proyectos en base a su incidencia en el trfico de cam bio anual: C i .- Proyecto de gestin contable C : .- Proyecto de gestin comercial Asignamos igual peso a ambas cualidades e igual a la unidad (p, a I. p . I) Provecto P. P; P, C 1 0 0 C0 i i TCA 0.23 0.29 0.30 M M a 48 72 24 MSI, 6.6 15.7 3.8 V 0.60 0.75 0.53

14 II IIS

El |Huyesto en cudto . P. tiene como finalidad el desarrollo d e un paquete de gestin comercial. Su etapa de desarrollo ha concluido. El coste del desarrollo ha sido de 57 Hombres x Mes y la mtrica de comprensibilidad. XV. tiene un valor de 17.

a l O btencin de la funcin d e co m p ren sib ilid ad (Fe) Com o cabe esperar, segn aumenta el valor de la mtrica de comprensibilidad (nmero de lincas de comentario), el Indice d e comprensibilidad (directamente proporcional al esfuerzo de comprensin) va a disminuir. Por tanto, para el anlisis de regresin del conjunto de pontos {(Xr. !< >} hay dos modelos bastante evidentes con

www.FreeLibros.me
a HTUI U IV Al DnnRU DtiL SUV I -VIMII N IO X'T t e cuales ensayar: e l modelo lineal de pendiente negativa y el modelo exponencial egMivo. De los dos modelos, el exponencial negativo e s el ms adecuado y a que. (analmente. la mejora de comprensin que supone una nueva lnea de comentario va a ser mayor cuanto menor sea la concentracin d e lineas de comentario en el programa. Esto se comprende perfectamente yndonos a los lmites, e s cfccir. viendo lo <pc sucede si se aade una lnea de comentario en: a) Un programa sin ninguna documentacin interna b) Un programa con una documentacin interna perfecta. Es evidente fie la c o m p re si n en el caso (a) va a verse mejorada en una cuanta macho mayor que en el caso (b). Empleando el mtodo de ajuste por mnimos cuadrados, tenemos qe se inua de:

Por mi sencillez, vamos a considerar en primer lugar el caso k ajuste a una tincin lineal:

m im m ir (l (i - ( + *>Xt l ))

Derivando parcialmente esta expresin respecto de a c igualando a 0 . y por otro lado, derivando parcialmente respecto de b c igualando a 0. se obtiene el siguiente fiema de ecuaciones (en el que sim plificamos la notacin n o incluyetelo los lmites de los amatorios que siempre son i= l hasta n>:

Consideremos ahora la funcin exponencial:

www.FreeLibros.me
W* Al 1X1OKIA INFORMTICK i'N fXFOQl F W^TTICO Aplicando logaritm os obtenemos: Lnl( l - L n a * b X Cj Por tanto, volvemos a tener una funcin lineal donde la variable independiente e X< y la variable dependiente e s Ln I,. Haciendo el cam bio de variable l* Ict as como a * Ln a obtenernos el siguiente sistema a resolver: l C l - a N + b X Cl

I x tlr . ,- .X x * > > S x J l |

Los datos requeridos ve muestran en la siguiente tabla: Provecto Pi P P. Sumas 14 I II 15 ,4 0 Mr 0.60 0.75 0.53 I 1.88 IV s Ln l<-0.51 -0.29 -0.63 1.43 XV 196 121 225 542 X c l'c -7.14 -3.19 -9.45 -19.78

Sustituyendo y resolviendo el sistema de ecuaciones resultante, obtenemos tos valores: a - 1.86 b = -0.08 Por tamo, la funcin de comprensibilidad (Fe) obtenida tiene la forma: lr-F H X < -)> l.8 6 e w ,x<

b) O btencin del trfic o d e cam b io an u al estim ado (TCA) Vamos a construir las matrices A. T . C y B de acuerdo al procedimiento y* expuesto:

www.FreeLibros.me
CAHTV1.0I3: AlTHTOKlA Mi. MANH-MMIKVTO W Aplicando la frmula de clculo de TCA tenemos:

c)

Aplicacin del m odelo al proyecto P 4 p a ra d clculo del c o rte d e com prensin estintado e n la etap a d e m a nten im ien to (M M . ) M M r - TCA MMW3 L MM, - 0.30 57 1.86 e**" - 8.16 Hombres x Mes

Como ya te ha comentado, en el caso de estudio se ha considerado slo un oponente de la mantenibilidad. Para los r o s dos componente, el xocedim iento kt idntico. El coste o c su cr/t estimado de mantenimiento se obtendra como Mima de los tres costes, comprensin (MM< ). modificacin (M M m) y prueba (MMr).

13.6.

CONCLUSION ES

Como hemos podido comprobar, mediante el estudio de la mattembilidad y editando la utilizacin en el proyecto software de las tcnicas que pem itan asegurar iws niveles de mantenibilidad. podremos fijar el cam po de actuacin ce la Auditora Informtica en el Mantenimiento.

13.7.

LEC TUR A S RECOM ENDADAS

La publicacin peridica The Journal o f Information System s A u tft an d Control tewctaon de la ISACA. La Obra de W ebcr R. f'DP A udlling. Conceptual Fuuntluitimt u n f / m l i t c . 2* ed.. editada por McCraw-Hill. Sydney. 1988. Por ltimo podram os mencionar por el campo de mi utilizacin la obra de Bu:itt) R. Hurord C . y Simpson R.K. d e la Iniernal A udit in the Public Sector. Httx-ada por ICSA cop en 1993.

www.FreeLibros.me
13.8. C U ES TIO N ES DE REPASO
1. Exponga 1 razone* que hacen d e la auditora del nanienim iento un ir a especialmente crtica. 2. Desarrolle una lista de comprobacin que rcccja los aspectos tafa importantes a la hora de evaluar la gestin de cambio. 3. Qu ventajas apoda una herramienta de gestin de configuracin a la hori de auditar el mantenimiento de sistemas informticos'. Aplique las mtricas propuestas en este captulo a algn sistema reil. calibrndolas fuera necesario a su entorno cspecfio). Qu factores pueden influir en la m odifkabilidad de los programas? Analice en la literatura existente diversas mtricas de complejidad y describ su influencia en la mantenibilidad. Existen herramientas especficas para la gestin de pruebas d e software, analice su im pacto en la testcabilidad. Cmo debera organizarse la gestin de incidencias de mantenimiento en un departam ento de informtica desde el punto de vista d : la auditora? La influencia de la documentacin en el mantenimiento de los sistemas parece obvia, pero cm o medira la documentacin existente sobre un sistema?

4.

5. 6.

7.

8.

9.

10. Compare otros modelos de estimacin que conozca con el propuesto en etc captulo.

www.FreeLibros.me

CA PTU LO 14

AUDITORIA DE BASES DE DATOS

M ario (. Piaitini Velthuis

14.1. INTRODUCCIN
U gran difusin de los Sistemas, de Gestin de Bases de Dalos (SGBD). junto i b consagracin de ! datos como uno de los recursos fundamentales de las (retas, ha hecho que los tenas relativos a su control interno y auditora cobren, to d id . mayor inters. Como ya r ha comentado, normalmente la auditora informtica se aplica de dos ti distintas; por un lado, se auditan las principales reas del departam ento de ea: explotacin, direccin, metodologa de desarrollo, sistema operativo, aciones, bases de datos, etc.: y. por otro, se auditan las aplicaciones t internamente, subcontratadas o adquiridas) que funcionan en la a. L importancia < J< - la auditora del entorno de bae de dalos r*dka <n que t i H palo de partida para poder realizar la auditora de las aplicaciones que utilizan esta

L METODOLOGAS PARA LA A UDITORA DE B A S ES DE DATOS

I Asaque existen distintas metodologas que se aplican en auditora informtica ' e cada firma de auditores y cada empresa desarrolla la suya propia), lo 3. se pueden agrupar en dos clases.

www.FreeLibros.me
14.2.1. Metodologa tradicional
E n CMC tipo de metodologa el auditor revisa el entorno con la ayuda de una la de control (chrckliu). que consta d e una serie de cuestiones a verificar. Por ejemplo:

S E MS 4
Existe una metodologa de diserto d e BD? El auditor deber, registrar el resultado de su investigacin: 5 . si la respuesta a afirmativa, iV. en caso contrario, o N A (no aplicable). Este tipo de tcnica suele ser aplicada a la auditoria de productos de bases de datos, especificndose en la lista de control todos los aspectos a tener en cuenta. Asi. por ejemplo, si el auditor se enfrenta a un entorno O racle 8. en la lista d e control x recogern los parmetros de instalacin que ms riesgos comportan, sealando cul a su rango adecuado. De esta manera, si el auditor no cuenta con la asistencia de ta experto en el producto, puede comprobar por lo menos los aspectos ms impofuntet de su instalacin.

14.2.2. Metodologa de evaluacin de riesgos

Este tipo de metodologa, conocida tambin por ritk orienied approach. es laqte propone la ISACA. y empieza fijando los objetivos d e control que m in iriu n la riesgos potenciales a los que c a sometido el enlom o. En T ourio y Fernndez 11991) se seAalan los riesgos ms importantes que lleva consigo la utilizacin de una base & datos y que se recogen en la figura 14.1. Considerando estos riesgos, se podra definir por ejemplo el siguiente:

Objetivo de Control: El SGBD deber preservar la confidencialidad de la base de datos. Una vez establecidos los objetivos de control, se especifican las tcnica especficas correspondientes a dichos objetivos:

T cnica de C ontrol: Se debern establecer los tipos de usuarios, perfiles y privilegios necesarios pa controlar el acceso a la base de datos.

www.FreeLibros.me

CArtTttO 14: AfPTTORlA Mi BAftSPH PATOS )l)

Figura 14.I. Riesgos debidos a la utilizacin de una base d e datos. TOURIO y FERNND EZ (1991)

Un objetivo de control puede llevar asociada.% vara tcnicas ju c permiten coiririo en su totalidad. Estas tcnicas pueden ser preventivas iccm o la arriba neacionadaf de lee ti vas (como monitorzar los accesos a la BD) o correctivas (por jonplo. una copia de respaldo -backup-). En caso de que los controles existan, se disertan unas pruebas 'denominadas nritcti de cumplim iento) que permiten verificar la consistencia de loa mismos, por ejenplo:

Prottm de cum plim iento: Listar los privilegios y perfiles existentes en el SGBD. Si estas pruebas delectan inconsistencias en los controles, o bien, si los controles to existen, se pasa a disear otro tipo de pruebas -denom inadas pruebat su sta n tiw i9* permitan dimensionar el im pacto de estas deficiencias:

www.FreeLibros.me
>14 AtDfTQRlA INFORMTICA US EffOQUE WtACTKO P ru e b a s tu t a n li n : Com probar si la informacin tu sido corrompida comparndola con otra fueme. revisando, los documentos de entrada de datos y las transacciones que se ha ejecutado. Una v e / valorados los resultados de las pruebas se obtienen unas conclm axa que sern comentadas y discutidas con los responsables directos de las reas afectada con el fin de corroborar los resultados. Por ltimo, el auditor deber emitir una serele comentarios donde se describa la situacin, el riesgo existente y la deficiencia i : solucionar, y. en su caso, sugerir la posible solucin. Com o resultado de la auditora, se presentar un informe final en el que k expongan las conclusiones ms importantes a las que se ha llegado, asi con d alcance que ha tenido la auditora. Esta ser la tcnica a utilizar para auditar el entorno general d e un sicnu de. bases de datos, tanto en su desarrollo como durante la explotacin.

14.3. O B JE TIV O S DE C O N TR O L EN EL C IC LO DE VIDA DE UNA BASE DE D A TO S

A continuacin expondremos algunos objetivos y tcnicas d e control a tener ea cuenta a lo largo del ciclo d e vida d e una base de datos (vase la figura 14.2) qte abarca desde el estudio previo hasta su explotacin: para e llo nos basaremos ea k propuestos por la 1SACA a principios de esta dcada. M EN K liS (1990). y en los recientemente publicados COBIT. ISACF (1996).

14.3.1. Estudio previo y plan de trabajo

En esta primera fase, es muy importante elaborar un estudio tecnolgico de viabilidad en el cual se contemplen distintas alternativas para alcanzar los objetive del proyecto acom pasados de un anlisis coste-beneficio para cada una de la opciones. Se debe considerar entre estas alternativas la posibilidad de no llevar a cabo el proyecto (no siempre est justificada la implantacin d e un sistema de bases de datos) asf como la disyuntiva entre desarrollar y comprar (en la prctica, a veces e a encontramos con que se ha desarrollado una aplicacin que ya exista en el mere ai), cuya com pra hubiese supuesto un riesgo menor, asegurndonos incluso una mayar calidad a un precio inferior).

www.FreeLibros.me

Figura 14.2. Ciclo d t \ i d a d r una base d e datos

Desafortunadamente, en hastantes empresas este estudio de viabilidad no se lleva a cabo con el rigor necesario. con lo que a medida que se van desarrollando, los

El auditor debe comprobar tambin que la aJU direccin revisa los informes de tas estudios d e viabilidad y que es la que decide seguir adelante o no con el proyecto. Bao es fundamental porque los tcnicos han d e tener en cuenta que si no existe una dccidida voluntad d e la organizacin en su conjunto, impulsada por Ick directivos, aumenta considerablemente el riesgo de fracasar en la implantacin del sistema. En tas nuevos CO BIT se enfatiza la im portancia de llevar a cabo una gestin de riesgos (valoracin, identificacin, medida, plan de accin y aceptacin), que es objeto de atencin, afortunadamente, de un nmero cada da mayor de empresas.

www.FreeLibros.me
.*16 AUDITOR!* tNKMWnCA: fX ENFOQtfc PRACTICO En caso de que se decida llevar a cabo el proyecto es fundamental que k establezca un plan director, debiendo el auditor verificar que efectivamente dicho piao se em plea para el seguimiento y gestin del proyecto y que cumple con tai procedimientos generales de gestin d e proyectos que tenga aprobados la organizacin. O tro aspecto muy importante e n esta fase e s la aprobacin de la euructura orgim ea no slo del proy ecto en particular, sino tambin de la unidad que tendr la responsabilidad de la gestin y control d e la base de datos; recordemos que. para que un entorno de base de datos funcione debidamente, esta unidad es imprescindible. Se pueden establecer acerca d e este lema dos objetivos de control. MENKUS (1990): D eben asignarse responsabilidades para la planificacin, organizacin, dotacin de plantillas y control d e los a c th v s d e dalos d e la organizacin' (administrador de datos) y "Debe asignarse la responsabilidad de la administracin del entonto de la base de d atos" (administrador de la base de datos); sealando la mayor parte de los autores que ambas funciones tienen que posicioaarse a un nivel ta suficientemente alto en el organigrama para asegurar su independencia.

Figura U .S . Tareas del adm inistrador de dalos. B R ATNW AtTE <1985)

www.FreeLibros.me
En las figurai. 14.3 y 14.4 se muestran algunas de las (unciones y responsabilidair> lano del administrador de dalos com o del administrador de la base de datos. Remiiimos al lector interesado en tratar con ms profundidad este lema, a BRATHWAITE (1985). donde se analiza desde la perspectiva del control de dalos.

A la hora de detallar las responsabilidades de estas funciones hay que tener en weata uno de los principios fundamentales del control interno: la separacin de faseiones. Se recomienda una separacin de funciones entre: El p e rw u l da daurrollD de litic m u y el de e<ploin<*Mfn - Explotacin y control de dalos. - Administracin de bases de datos y desarrollo. Debera existir tambin una separacin de funciones entre el administrador de la Kguridad y el administrador d e la base de datos. Esto no quiere decir que estas tareas teegan forzosamente que desempearlos personas distintas (lo que no sera viable en ochas pequeas y medianas em presas) pero si que e s un aspecto importante de antro! a considerar, por lo que en caso d e que no pueda lograrse la separacin de Ilaciones, debern establecerse controles compensatorios o alternativos: como, por

www.FreeLibros.me
II AtDtWHtlA INKMMATK'A lX KNKWJi'h mfUCO ejemplo, una ma>or atencin le la direccin y la comprobacin por pane de L p t usuario del contenido y d e I salidas ms importantes producidas a (u n ir de la BD. La situacin que el auditor encuentra normalmente e n las empresas es que al m existir una descripcin detallada de los puestos de trabajo (que incluyan re<ftt bilidades. conocim ientos, etc.), la separacin de funciones e s muy difcil de verificar.

14.3.2. equipo

Concepcin de la base de datos y seleccin del

lin esta fase se empieza a disertar la hase de da(os. por lo que deben utilizarse ln modelos y las tcnicas definidos en la metodologa d e desarrollo de sistemas de U empresa, vase Captulo 12. 1.a metodologa de diserto debera tambin emplearse para especificar lea documentos fuentes, los mecanismos de control, las caractersticas de seguridad y la pistas de auditora a incluir en el sistema, estos ltimos aspectos generalmente se descuidan, lo que produce mayores costes y problem as cuando se quieren incorpora una vez concluida la implcmen (acin de la base de datos y la programacin de I aplicaciones. F.l auditor debe, por tanto, en primer lugar, analizar la metodologa de diserto cea el fin de determinar si e s o no aceptable, y luego comprobar su correcta utilizackn. C om o mnimo una metodologa de diserto de BD debera contemplar dos fases de diserto: lgico y fsico, aunque la mayora de las empleadas en la actualidad contempla tres fases, adems de las dos anteriores, una fase previa d e diserto conceptual que seria abordada en este momento del ciclo de vida d e la base d e datos; vase, por cjempV. De M iguel. Piattini y Marcos (1999). U n im ponantc aspecto a considerar, al que los CO BIT dedican un apaad) especifico, es la definicin, de la arquitectura de la informacin, que contempla ctuiro objetivos de control relativos a: Modelo de arquitectura d e informacin, y su actualizacin, que es necesaria para mantener el modelo consistente con las necesidades de los usuarios y coa el plan estratgico de tecnologas d e la informacin. D atos y diccionario de dalos corporativo. Esquema de clasificacin de datos en cuanto a su seguridad. Niveles de seguridad para cada anterior clasificacin d e datos.

En cuanto a la seleccin del equipo, en caso de que la empresa no disponga ya de uno. deber realizarse utilizando un procedimiento riguroso; en el que se consideren.

www.FreeLibros.me

CAPOVIO U ALWIOKlA i; HASt* 1H : DATOS U'l

por un lado. la* neceudades de la empresa (debidamente ponderadas) y. por otro, las prestaciones que ofrecen lo distintos SG B D candidatos (puntuados de manera oportuna), fin ISACF (1996) se destaca tambin que en este procedimiento se debe tener en cuenta el im pacto que el nuevo softw are tiene en el sistema y en su seguridad.

14.3.3. Diseo y carga

En esta fase se llevarn a cabo los diseos lgico y fsico d e la base de datos, por lo que el auditor tendr que examinar si estos disenos se han realizado correctamente: determinando si la definicin de los datos contempla adems de su estructura, las asociaciones y las restricciones oportunas, as com o las especificaciones de afaiKcnamiento de datos y las cuestiones relativas a la segundad. El auditor tendr que tomar una muestra de ciertos elementos (tabla*, vistas. ndices) y comprobar que su definicin es completa, que ha sido aprobada por el usuario y que el administrador de b base de datos particip en su establecimiento. Es importante que la direccin del departam ento de informtica, lo s usuarios e clino. en algunas ocasiones, la alta direccin, aprueben el diserto de los datos, al igual que el de las aplicaciones. Una v e / disertada la BD. se proceder a su carga, ya sea migrando datos d e un soporte magntico o introducindolos manualm ente. Las migraciones o conversiones d e sistemas, como el paso de un sistema de archivos a uno de bases de datos, o de un tipo de SG B D (de jerrquico a rclacional). cttraftan un riesgo muy importante, por lo que debern estar claramente planificadas para evitar prdida de informacin y la transmisin al nuevo sistema de datos errneos. Tambin se debern realizar pruebas en paralelo, verificando que la decitin real de dar por term inada la prueba en paralelo se atena a los criterios oaMccidos por la direccin y que se haya aplicado un control estricto de la coleccin de errores detectados en esta fase. Por lo que retpec I entrad manual d e dato, hay que etlablecer un conjunto de controles que aseguren la integridad de los mismos. A este respecto, cabe destacar <fx las declaraciones escritas de procedimientos de la organizacin referentes a la ccaega de dalos a ser procesados deben asegurar que los dalos se autorizan, recopilan, preparan, transmiten, y se comprueba su integridad de forma apropiada. Tambin es aconsejable que los procedimientos y el diserto de los documentos frentes minimicen los errores y las omisiones, as como el establecimiento d e unos procedimientos de autorizacin de datos.

www.FreeLibros.me
)31 AUDtTOlA INFORMATICA! UXjyKXH'limACTICO___________________________ e*m Un aspecto muy importante ex el tratamiento de latos le entrad errneos, paa lo jue deben cuidante, con atencin lo procedimientos d e introduccin de foreu que no disminuyan los controles: a este respecto lo ideal es que los datos se validen j corrijan tan cerca del punto de origen com o sea posible. Com o sabemos, no toda la semntica de los datos puede siempre almacenarse a el esquema de la base de datos, por lo que pone d e esta semntica se se obligada a residir en los programas. Ser necesario, por tanto, comprobar que los programas implemcntan de forma adecuada esta integrlad.

14.3.4. Explotacin y mantenimiento

Una vez realizadas las pruebas de aceptacin, con la partic pacin de los usuarios, el sistema se pondr (mediante las correspondientes autorizaciones y siguiendo los procedim ientos establecidos para ello) en explotacin. En esta fase, se debe comprobar que se establecen los procelimenlos de explotacin y mantenimiento que aseguren que los datos se trau n de forma con g ruo y exacta y que el contenido le los sistemas slo se modifica nediante la autorizadla adecuada. En los nuevos COBFT se dedica un apartado com pleto a detallar los objetivos de control para la gestin de datos, clasificndolos en un conjunto de apartados que se muestran en la figura 14.5. Seria conveniente tambin que el auditor pudiera llevai a cabo una auditoria sobre el rendim iento del sistema de BD. comprobando si se lleva a cabo un proceso de ajuste (tuning) y optimizacin adecuados que no slo consiste en el redisefto fsico o lgico Je la BD . sino jue tambin abarca ciertos parmetros del SO c incluso la forma en que acceden las transacciones a la BD. Recordemos que la funcin t administracin de la ba te de datos debe se r la responsable d e monitorizar el rendimiento v la integridad d e los sistemas de BD ", Moeller (1989).

www.FreeLibros.me
da praporodn da dalos da cxortrocin da documanlos fuanfa acogida da dato da documantos fuanla Moralo da aora* da documanlos fuanla Raiancln da documanlo fuanla da outorteocln da datos VarMcocln d a axoctitud, complacln y aulortzocto Mana>o da aoras da antroda da datos Irtagrtdod dal procasamtanlo da dato Edicin y vaildocln dal pcocasomiaclo da datos Manajo da aoras da procasomianto da dato Ratancln y monago da sondas Distribucin da salidos y batoncao da salidas Manajo da aoras y ravtsin da scftdas Maddos da saguridod para Informas da salidas Protaccin da Informocln sanstbia Profaccin da Informocln sansibla dapuasla Gasiln da ofmocaoom Onlo Parfodos da ratancln y trmino da otmocanamlanto Stttamo da gastln da Wbtlotaco da madios da gasftn da la bWlotaco da madios Coplas da raspaldo y racuparoctn Irabojo* da coplas da raspaldo AJrrvocanamiano da raspaldo

Figura 14.5. Clasificacin de los objetivos de control para la gestin dr datos. ISACA <1996)

14.3.5. Revisin post-implantacin

Aunque en bastantes organizaciones no se lleva a cabo, por falla de tiempo y sern o s, se debera establecer el desarrollo de un plan poja efectuar um revisin portnpimiacjn de todo sistema nuevo o modificado con el fin de evaluar ti: - Se han conseguido l<w resultados esperados. - Se satisfacen las necesidades d e los usuarios. - Los cw tes y beneficios coinciden con los previstos.

www.FreeLibros.me
14.3.6. Otros procesos auxiliares
A lo largo de lodo el ciclo de vida de la b a te d e dalos se deber control* b form acin que precisan tanto usuarios informativos (administrador, analista*, programadores, etc.) como n o informticos, ya que la formacin e s una de las clast para m inim i/ar el riesgo en la im plantacin de una base de datos. Piattini (1990).

Esta form acin no se puede basar sim plemente en c u n o s sobre el producto qtx ! est instalando, sino que suele ser precisa una formacin d e ha ve que resefea im prescindible cuando; *e posa de trabajar en un entorno de archivos orientad d proceso a un entorno de bases d e datos, por lo que supooc de "cam bio filosfico: lo mismo puede decirse si se cambia de tipo de SGBD (por ejemplo, d e relaciona! a orientado a objetos. Hay que tener en cuenta que usuarios poco formados constituyen uno de ka peligro ms im portantes de un sistema. Esta formacin no debera lim itarse al irea de las bases de datos, sino que tendra que ser complementada con form acin rebosa a los conceptos de control y seguridad. Adems el auditor tendr que revisar la documentacin que se produce a lo largo de lodo el proceso, paya verificar si e s suficiente y si se ajusta a los estndares establecidos por la metodologa adoptada en la empresa. A este respecto resulta muy importante que se haya llevado a cabo m aseguram iento de calidad: sase Captulo 16. lo ideal sera que en la propia empresa existiera un grupo de calidad que se encargara, entre otras cosas, de asegurar la calidad de los disertos de bases de dato*. Es cien o que existen pocas medidas" de calidad para una base de datos; de todas maneras, hay ciertas tcnicas bastante difundidas qoc se pueden aplicar a una base de datos com o e s la teora de la normalizacin.

14.4. AUDITORA Y C O N TR O L INTERNO EN UN ENTORNO DE BA S ES DE D A TOS

Cuando el auditor, se encuentra el sistema en explotacin, deber estudiar ti SGBD y su enlom o. Com o se se tala en Menlsus (1991). ~en e l desarrollo y mantenimiento de sistemas informativos en entornos de B l). deberan considerarse el control, la integridad y la seguridad d e los datos compartidos p o r mltiples usuarias Esto debe abarcar a todos los componentes del e n lo m o de 8 0 . El gran problema de las bases de dalos es que su enlom o cada vez e s ms complejo y no puede limitarse slo al propio SGBD. En la figura 14.6 se muestra un posible enlom o d e hases de datos en el que aparecen los elem entos ms usuales.

www.FreeLibros.me

14.4.1. Sistema de Gestin de Bases de Datos (SGBD)

Entre lo* componentes del SGBD podemos destacar el nticlro (kem el). el catlogo (componente fundamental para asegurar la seguridad de la baie de datos), las blidadex para el administrado de la bo.se de datos (entre las que se suelen encontrar algn* para crear usuarios, conceder privilegios y resolver otras cuestiones relativas a la confidencialidad): las que ve encargan de la recuperacin de la ED: rearranque, ccpias de respaldo, archives diarios ilog). etc. y algunas funciones de auditora, as amo los lenguajes de cuarta generacin (L4G) que incorpora el proptoSGBD. En cuanto a las funciones de auditora que ofrece el propio tema, prcticamente todos los producios del mercado permiten registrar ciertas operaciones realizadas icfcrc la base de datos en un archive (o en un conjunto d e tablas) de pias de auditora <ati\t trail). El propio Modelo de Referencia de Gestin d e Datos -IS O (I9 9 3 )cottidcrj las pistas de auditora como un elem ento esencial de un SGBD. sealando que "W requinto pora la auditoria a que lo causa y e l efecto de lodos los cambios de b base de datos sean \-eriftcables .

www.FreeLibros.me
M4 AllXTOKlA LNK)RMATX~A t~NHNKXAfc PKAC1KX) t i auditor deber revisar, por tanto, la utilizacin de todis la herramientas qae ofrece el propio SGBD y la poltica y procedimiento que s*bre vu utilizacin hjji definid el administrador para valorar siso n suficientes o si deben ser mejorados.

14.4.2. Software de auditoria

Son paquetes que pueden emplearse para facilitar la U bordel auditor, en cuarto i la extraccin de dato de la b ise , el seguimiento de la transacciones, dato de procU. etc. Hay tambin productos muy interesantes que permiten cutdrar datos de difettala entornos permitiendo realizar una verdadera "auditora del dato.

14.4.3. Sistema de monitorizacin y ajuste (tvning)

Este tipo de tema complementan la facilidades ofrecidas por el propio SGBD. ofreciendo mayor informacin pura optim izar el sistema. llegando a ser en determinada ocasione verdadero iitemax expertos que proporcionan la estiuctun ptima de la base de datos y de cien o s parmetro del SG B D y del SO. La optim izacin de la base de dato, com o ya hemos se talado, e s fndame nul. puesto que si achia en un entorno concurrente puede d eg rad are fcilmente el nivel de servicio que haya podido establecerse con lo usuarios.

14.4.4. Sistema Operativo (SO)

El SO es una p ie /a clave del entorno, puesto que el SGBD se apoyar, en mayor o menor medida (segn se trate de un SGBD independiente o dependiente) en Im servicios que le ofrezca; el SO en cuanto a control d e m em oia. gestin de reas de almacenamiento intermedio (buffen). manejo de errores, control d e confidencialidad, mecanismos de interbloqueo. etc. Desafortunadamente, el avditor informtica tiene seras dificultades para controlar d e manera rigurosa la interfaz entre el SGBD y d SO. debido a que. en pane, constituye informacin reservada de los fabricantes de k productos, adems de requerir unos conocimiento excepcionales que entran en el cam po de la tcnica de sistemas, vase C aptulo 15.

14.4.5. Monitor de Transacciones

Algunos autores lo incluyen dentro del propio SG BD. pero actualmente, puede considerarse un elemento ms del enlom o con responsabilidades d e confidencialidad y rendim iento.

www.FreeLibros.me
14.4.6. Protocolos y Sistemas Distribuidos
Cada v e / m is se t i accediendo a las bases d e date a travs d e rede*, con lo que d riesgo de violacin de la confidencialidad c integridad se acenta. Tam bin las bases de datos distribuidas pueden presentar graves riesgos d e segundad. Moeller (I9S9> establece cinco objetivos de control a la hora de revisar la distribucin de datos: 1. FJ sistema de proceso distribuido debe tener una funcin de administracin de datos centralizada que establezca estndares generales para la distribucin de datos a travs de las aplicaciones. 2. Deben establecerse unas funciones de administracin de datos y d e base de datos fuertes, para que puedan controlar la distribucin de los datos. 3. Deben existir pistas de auditoria para todas las actividades realizadas por las aplicaciones contra sus propias bases de datos y otras compartidas. 4. Deben existir controles softw are para prevenir interferencias de actualizacin sobre las bases de datos en sistemas distribuidos. 5. Deben realizarse las consideraciones adecuadas de costes y beneficios en el diserto de entornos distribuidos. Respecto a este ltimo punto, e s importante destacar cmo, por ejemplo, muy pocas empresas han considerado rentable im plemcntar bases de datos realmente" distribuidas: siendo bastante ms econmico y usual actualizar bases de datos distribuidas mediante transferencia de archivos y procesos por lotes (batch), que hacerlo en linea.

14.4.7. Paquete de seguridad

um

Existen en el mercado varios productos que permiten la implantacin efectiva de poltica de seguridad, puesto que centralizan el control de accesos, la definicin de pmilegios. perfiles de usuario, etc. Un grave inconveniente de este tipo de software e que a veces no se encuentra bien integrado con el SCiBD. podiendo resultar poco til su implantacin si los usuarios pueden saltarse los controles a travs del propio SGBD.

www.FreeLibros.me
i At'DflOftlA IVyOfcMATlCA UN ENHOQO r*CHCO___________________________ i m

14.4.8. Diccionarios de datos

Esie lipo de Memas, que empezaron a implantarse en !< ao vlenla. tamb* juegan un papel primordial en el entorno de k SGBD en cuanto a la integracita de componentes y al cumplimiento de la seguridad de tos dalos, vase Piattia y Daryanani <1995). Los propios diccionario ve pueden auditar de manera anloga a la bates de dalos (puesto que son hases de metadatos"). las diferencias entre unos y otros, reside* principalm ente en que un fallo en una base de datos puede atentar contra la integridad d e los datos y producir un mayor riesgo financiero, mientras que un fallo en ua diccionario (o repositorios, suele llevai consigo una prdida de integridad de k procesos: siendo ms peligrosos los fallos en lo s diccionarios puesto que puede* introducir errores de form a repetitivo a lo largo del tiempo, que son m is difciles de detectar. Perry (1991). Para aspectos relacionados con las facilidades d e control y auditora de diccionarios de dalos, remitimos, al lector a Narayan (1988).

14.4.9. Herramientas C A S E (Computer Aided System/Software Engineering). IPSE (Integrated Project Support Environments)
Desde la dcada pasada venimos asistiendo a una gran difusin de este tipo de herramientas como soporte al diseo y concepcin de sistemas de informacin, vaie Piattini y Daryanani (1995). Suelen llevar incorporado un diccionario de chJos (enciclopedia o repositorios ms amplio que los mencionados anteriormente en los que se almacenan adems de informacin sobre datos, programas, usuarios, etc., kx diagramas, n utrices y grafos de ayuda al diseo. Constituyen una herramienta dase para que el auditor pueda revisar el diseo d e la base de datos, comprobar si se ha empleado correctamente la metodologia y asegurar un nivel mnimo d e calidad. En Piattini y Ramos (1995) se expone cmo llevar a cabo la auditora de kn entornos CA SE/IPSE.

14.4.10.

Lenguajes de Cuarta Generacin (L4G) independientes

Adems de las herram ientas que ofrezca el propio SGBD. el auditor se puede encontrar con una amplia gama d e generadores d e aplicaciones, d e form as, de

www.FreeLibros.me

CArtTU-O 14 ACOtTOSU I. IIA a Pfc PATOS :?

informe*. tic . que actan sobre la base de dalos y que. por lano. tirnbin son un demento importante a considerar en el entorno del SGBD. En Moeller (1991) se ofrecen sa n o s objetivo* de control para los L4G. entre los que destacan los siguientes: El U G debe ser capaz d e operar en el entorno d e proceso de datos con controles adecuados. I.as aplicaciones desarrolladas con L4G deben seguir los mismos procedimientos de autorizacin y peticin que los proyectos d e desarrollo convencionales. Las aplicaciones desarrolladas con L4G deben sacar vtntaja d e caractersticas incluidas en los mismos. las

En efecto, uno de los peligros ms graves de los I.4G e s que 10 se apliquen troles con el mismo rigor que a los programas desarrollados c o i lenguajes de locera generacin. Esto puede deberse, en parte, a una inadecuada interfaz entre el L4G y el paquete de seguridad y a la falla d e cdigo fuente en el sentido tradicional. q*e hacen ms difcil de esta manera el control de cam bios en las aplicaciones. Otros problemas asociados a los I.4G y con los que noj encontramos frecuentemente, pueden ser su incficiencia y elevado consumo de recursos, las tentaciones que. en ocasiones, imponen al programador, los cambios que pueden suponer en la metodologa de desarrollo, etc. Respecto a este ltimo punto, muchos U G utilizan en la actualidad para desarrollar prototipos que facilitan a los usuarios la exposicin de sus necesidades. M oeller (1989). se fala que e l p n to tip o d e una eptkactn desarrollado con IA G debe proporcionar suficiente detalle para "emplazar los documentos escritos asociados a los procedim ientos convencionales de la metodologa de desarrollo de sistemas". El auditor deber estudiar los controles disponibles en los L4G tilizados en la espreta. analizando con atencin si permiten construir procedimientos de control y asditora dentro de las aplicaciones y. en caso negativo, recomendar >u construccin wih/jrxlo lenguajes de tercera generacin.

14.4.11.

Facilidades de usuario

Con la aparicin de interfaces grficas fciles de usar (con mens. ratn, lianas, etc.) se ha desarrollado toda una serie de herramientas q je permiten al wuario final acceder a tos datos sin tener que conocer la sintaxis de les lenguajes del SGBD. El auditor deber investigar las medidas de seguridad qu< ofrecen estas

www.FreeLibros.me
I Ai PmmM IMOUSIATKA US WtAOKt) herramientas y bajo qu condiciones han sido instaladas; tas herramienta* de ctte upo d e b ern proteger al usuario de sus propios errores". I uin aplicaciones desarrolladas empleando facilidades de usuario deben segar la mismos slidos principios d e control y tratamiento d e errores que el resto; Motila <19B9) destaca tambin otros dos importantes objetivos d e control: l a documentacin de las aplicaciones desarrolladas por usuarios finales drtt ser suficiente pora que tanto sus usuarios principales como cualquier oec puedan operar y mantenerlas. Los cambios de estas aplicaciones requieren la aprobacin de la direccia y deben documentarse de forma completa.

Fn este apartado podemos incluir tambin las diferentes facilidades que ofrecen algunos SGBD que pemiten su conexin con paquetes ofimticos (por ejemplo, hojas de clculo), que pueden acceder a la base de datos c incluso actualizarla. En este caso el auditor debe prestar especial atencin a los procedimientos de carga y descarga (upotiding/d&nnloadingi de datos de la base a/desde k paquetes ofimticoa; comprobando, por ejemplo, si se puede actualizar la base de dalos desde cualquiera dt stos o si la descarga se realiza con datos correctamente actualizados (descarga de k* datos correctos e n el momento correcto").

14.4.12.

Herramientas de "minera de datos"

En los ltim os artos ha explosionado el fenmeno d e los alm acenes de dalos d a ta ^ n rrh o u tn y las herram ientas para la explotacin o minera de datos (datamining). Estas herramientas ofrecen soporte a la loma de decisiones sobre dato de calidad integrados en el alm acn de datos. En el Capftulo 20 se revisa la auditoria de los EIS/DSS. cuyos principios se pueden aplicar a las herramientas de minera'; debindose controlar la p oltk a d e refresco y carga d e los datos en el almacn a paiw (V I W i ilf itlK o ju w in in l f n i i l m i . tf como la M iH n d de mecanitmcx de rctroalim cntaan (feedback) que modifican las bases d e datos operacionales a partir d e los datos del almacn:

14.4.13.

Aplicaciones

El auditor deber controlar que las aplicaciones no atenan contra la integridad de los datos de la base, vase C aptulo 19.

m u i_______________________________ CAPTULO M: AUPCTORA D BASES PC PATOS B>

www.FreeLibros.me

14.5. T C N IC A S PARA EL C O N TR O L DE BA SES DE D A TOS EN UN EN TORN O CO M PLEJO

Como hemos visto en el epgrafe anterior, existen muchos elementos del entorno W SGBI) que influyen en la seguridad e integridad de los datos, en los que cada uno se apoya en la operacin correcta y predecible de otros.. Com o se destaca en CLARK et al. (1991). el efecto de todo esto e s debilitar la seguridad global del sistema. rtxiendo la fia b ilidad e introduciendo un conjunto d e controles detcoordinados y solapados, difciles de g e s t i o n a r esta situacin se acenta an m is si los diferentes componentes provienen de distintos fabricantes que se adaptan a estndares muchas teces contrapuestos. La direccin de la empresa tiene, por u n to , una responsabilidad fundamental por te que se refiere a la coordinacin de los distintos elementos y a la aplicacin cusiente Je los controles de seguridad. Para llevar a cabo esta labor se deben fijar dirimente las responsabilidades sobre los diferentes componentes, utilizar informes de excepcin efectivos que permitan m oaitori/ar los controles, establecer procedimientos adecuados, implantar una gestin rigurosa de la configuracin del acema, etc. Cuando el auditor se enfrenta a un enlom o de este tipo, puede emplear, entre ceas, dos tcnicas de control:

14.5.1.

Matrices de control

Estas matrices, como la que aparece en la figura 14.7. sirven para identificar los conjuntos de datocs del SI junto con kw controles de seguridad o integridad impkmentados sobre los mismos.

Figura 14.7. M atriz de control Los controles se clasifican, como puede observarse, e n defectivos, preventivos y

conectivos.

www.FreeLibros.me
14.5.2. Anlisis de los caminos de acceso

C on esta tcnica se documentan el flujo, alm acenamiento y procesamiento <k ta 1 datos en todas las fases por las que pasan desde el mixrro momento en qae x introducen, identificando los componentes del sistema que atraviesan (tanto h a n tan como softw are) y los controles asociados (ta se figura 14.8).

Figura 14.8. Anlisis Je ta s caminos d e acceso. CLAFK et al. !991) Con este marco, el auditor puede identificar las debitididev que expongan los datos a riesgos de integridad, confidencialidad y segundad, las distintas interfaces entre componentes y la complecin de los controles. En la prctica se suelen utilizar conjuntamente ambos cnicas, si bien 1 del anlisis de caminos de acceso requiere unos mayores conocimientos tcnicos y te emplea en sistemas ms complejos.

14.6. CONCLUSION ES
Com o seala BRATIIW AITE (198$). "la tecnologa de bases d e datos I* afectado a l papel del auditor M e m o ms que a cualquier otro individuo. Se h a convertido en extremadamente d ifcil auditar alredetior del computador- . Esto k debe, como hemos visto, no slo a la complejidad de la propu tecnologa d e bases de datos, sino tambin a que el entorno del SGBD ha ido creciendo de manen

www.FreeLibros.me

CAPtTVLOI* AIDtTORlA D fc BASES Ofc DATOS V l

extraordinaria en los ltimos artos, por lo que requiere personal especializado Iauditores informticos). El gran nmero de componentes que forman dicho entorno y sus interfaces hacen necesario que. antes de empezar una revisin d e control interno, el auditor deba examinar el enlom o en el que opera el SGBD; que est compuesto, como hemos visto. por d personal de la empresa (direccin, informticos y usuarios finales), hardware, software, etc. El auditor debe verificar que todos estos componentes trabajan conjunta y coordinadamente para asegurar que k sistemas de bases d e datos continan cvmplicndo los objetivos de la empresa y que se encuentran controlado de manera efectiva Pr otro lado, hemos visto cm o las consideraciones d e auditoria deberan lu irse en las distintas fases del c id o de vida d e una base de datos, siendo muy icfoetante que los auditores ponk ipcn cada vez ms en el proceso de desarrollo, sminuyendo asi cierros costes y haciendo ms productiva" su labor (la direccin de Im empresas no siempre " se" la labor de auditora y control com o realmente productiva, asumindola, la mayora de las veces, com o un gasto necesario). Por lo que respecta al futuro d e esta rea, con la aparicin de nuevos tipos de bises de datos, como las activas, orientadas a objetos, temporales, multimedia, ntkidiinensionalcs. etc., vase Piaitini y D i (2000). y la creciente distribucin de bs datos (bases de datos federadas, multibases de datos. W eb. bases de dalos mviles, etc.), aparecen nuevos riesgos de inters para el auditor com o, por ejemplo, en el rea de seguridad, vase Castao e t al. (1995). o en las metodologas de desarrollo. No olvidemos precisamente que uno de los objetivos de control que sertala la ISACF (1996) es que la metodologa de desarrollo debe actualizarse, y en estos momentos aslen pocas propuestas que abarquen las nuevas tecnologas de bases de datos. En el futuro es previsible que los SGBD aumenten el nmero de mecanismos de control y seguridad, operando de forma ms integrada con el resto de componentes. Para ello, es fundamental el desarrollo y la implantacin de eslindares y marcos de referencia como los propuestos por ISO y por el O M G (CORBA). que faciliten unas icrfaces claramente definidas entre componentes del sistema d e informacin. Para cooseguir este objetivo e s importante que las instituciones y personas encargadas de definir estos estndares tomen conciencia de la importancia del control y la auditora e npicmcntcn los mecanismos adecuados. Desafortunadamente, como nos ensea la experiencia, los sistemas aumentan su carcplejidad y alcance con mayor rapidez que los procedim ientos y tcnicas para ((rotarlos.

www.FreeLibros.me
Mi AlCtTOHU INFORMTICA UN EgOQtt; TTICO Por lmo. queremos destacar la importancia cada dia mayor de una discif*M m is amplia que la de hases de dato: la de G euio de Recursos d e Informacin (o e* win siglas inglesas. IRM . Information R e to u r e t M anagement), que nace precisan* con la vocacin alegradora necesaria pora lograr convertir los datos en el activo mis importante de las empresas: lo que lleva consigo que las medidas de control y auditora pasen a un primer plano dentro de las actividades de las empresas.

14.7.

L EC TU R A S RECOM ENDADAS

Brathwaite, K. S. (I995). D ata Administration: Selected Topics o f Data Control Nueva York. E hU U. John W iley & Sons. Castano. S.. Fugini. M .. M artella. G. y Samarau. P. (1995). Addison-Wesley. W okingham. Inglaterra Database Stxvnfy

Clark. R. e t al. (ed.) ( 1991 ). The Security. A udit a n d Control o f Databases. Avebuty Technical. Aldershot. Gran Bretaa. De M iguel. A. y Piattini. M. (1999). Fundamentos y m odelos d e bases de datos. 2.' Ed. Ra-Ma. M adrid

14.8.
1. 2. 3.

C U ES TIO N ES DE REPASO

Establezca objetivos de control relativos al diserto de una base d e datos. Defina un procedimiento pora la adquisicin d e SGBD. Cules son las diferencias ms importantes entre las funciones de un administrador de datos y las de un administrador de bases de datos? Po qu resulta tan crtico un diccionario de datos? Qu controles establecera sobre la distribucin de listados extrados a partir de la base de datos? Objetivos de control sobre la formacin del personal relacionado con el SGBD (usuarios finales, administradores, diseadores, etc.). Analice el grado de ajuste existente entre lew paquetes de segundad le mercado (TOP SECRET. RACF. etc.) y loa SGBD.

4. 5.

6.

7.

<vu 8. 9.

www.FreeLibros.me

CArtTfljQI4:AWWTOlA0t>aDEDATO5 >

Qu riesgo* adicionales im plica el hecho de distribuir las bases. Je datos? Qu controles establecera para desarrollos que empleen lenguajes visuales que acceden a bases de dalos?

10. Analice el opone que ofrecen las herram ien'as d e minera d e datos al auditor informtico.

www.FreeLibros.me

C APTULO 15

A U D ITO R A DE T C N IC A DF. SISTEM A S

Julio A . Novoo Bermejo

15.1. M BITO DE TC N IC A DE SISTEM AS

Cuando se ta b la de Memas, por definicin, se trata de un conjunto de elementos que cooperan en un todo armnico. En ocasiones e w i elementos se imbrican unos en otros para integran mejor en el conjunto, de manera que a veces resulta difcil identificar los componentes parcial. ste es el caso de la Tcnica de Sistemas puesto que. segn se analice, podra atarear prcticamente la totalidad del proceso informtico como quedar reducido a una parcela muy precisa y con un desempeo muy restringido. Para ilustrar el prim er supuesto valga com o ejemplo la titulacin que la primera escuela especializada (INSTITUTO DE INFORMTICA. 1970) empez a otorgar a quienes acababan los estudios u a s s u p o el quinto arto. TCN ICO !>!'. SISTEMAS. Segn aquel plan de estudios. 1 TS abarcaba todo el mbito de la informtica, existiendo adems tres especialidades que. si no me fallan los datos de que dispongo, eran: SISTEMAS FSICOS INFORMTICA FUNDAMENTAL INFORMTICA DE GESTIN Segn esto, tan TS (Tctuco de Sistemas) era la persona especialista en Hardware (Sistemas Fsicos) como el que se dedicaba al desarrollo de Lenguajes Formales o

www.FreeLibros.me
iV> AUDITORA INFORMTICA: UN bNTOQtlk PRCTICO A utmatas (Informtica (Informtica de Gestin). Fundam cnul) como el que trabajaba Aplicaciones

N o obstante. U evolucin de la Informtica ha obligado a un grado tal de especiali/acin que Com unicaciones, Sistemas Operativo, Seguridad y Bases de Datos han necesitado expertos en reas muy concretas, dejando la figura de TS relacionada exclusivamente con el Sistema Operativo, no sin habilitar -naturalmenteespecialistas en Com unicaciones. Seguridad y Bases de Datos (administradores de esas actividades y/o entornos). F.sle grado de cspecialuacin ha sido necesario, sole* lodo, en centros grandes en que las tareas se han hecho ms complejas y laboriosas, y en consecuencia, no dcscmpeUWcs por una nica persona. Hn ocasiones la necesidad de administrar con rigor determinadas instalaciones ha llegado incluso a crear departamentos con las personas que colaboran, en la realizacin del trabajo correspondiente a la funcin concreta. F.l despegue de la M kroinform tica y las Redes generan unos nuevos entornos de trabajo, en algunos casos nicos (empresas ms pequeas) y en otros mezclados cea los convencionales, pero que requieren una preparacin y dedicacin especficas. Ea este sentido omos hablar cada da (incluso en anuncios d e prensa) de TS dt M kroinform tka o TS de Redes. Parece pues que no es fcil determinar el mbito de la tarea de TS. pero nuestro comprom iso con lo que queremos escribir nos obliga a acotar con claridad la materia en cuestin para poder establecer despus las correspondientes actividades de control. Tratando de utilizar el sentido com n y la praxis habitual determinaramos como mbito de la tarea de T S la infraestructura informtica, e s decir el conjunto de instalaciones, equipos de proceso y el llamado software de base. Vamos a puntualizar lo que. segn mi criterio, debe incorporar cada uno de estos apartados.

nsuUtciones Este apartado incluira salas de proceso, con sus sistemas de segundad y control, as como elementos de cooexin y cableado, es decir los elementos base pan acondicionar los componentes del apaado siguiente.

Equipos d t proceso Aqu estaran los computadores (main. mini y micro), as com o sus perifricos (pantallas, impresoras, unidades d e cinta...) y los dispositivos de conmutacin y comunicaciones (routers. mdems, frads...)

www.FreeLibros.me
CAPIVLO 15. AUmOttlAPti'nSCWCAl); SISTEMAS 1 Software d e Bat* Sc compone dc lo t Sistemas O perativos. Compiladores. T rad u c to r e Intrprete* de comandos y programas, jun to con los G estores dc Datos (o sistemas dc administracin de Bases de Datos) y toda una serie de herram ientas y componentes auxiliares e intermedios (herramientas dc desarrollo, facilidades de explotacin como (b n ifkadores. paquetes de seguridad, middleware... Si consideramos infraestructura todo cuanto hemos detallado, es decir, todo lo necesario para que las Aplicaciones funcionen -p u es no olvidem os que son el objetiva de nuestros sistem as-, estableceramos, segn mi criterio, el mbito de TS. No obstante, dado que existen en esta publicacin captulos especficos dedicados Auditora Fsica, dc la Explotacin, d c Bases dc Datos, de la Seguridad y d e las Redes, intentaremos centram os en el apianado del Sistema Operativo y lax Comunicaciones como aspectos no cubicaos en los apartados mencionados.

15.2. DEFINICIN DE LA FUNCIN

Parece que antes dc entrar en la Auditora d c Tcnica d e Sistemas, deberamos definir primero la tarea a auditar como una aciividad informtica que requiere un determinado desempeo profesional para cumplir unos objetivos precisos. Siguiendo este esquema y buscando un enunciado sim ple podemos decir que Tcnica dc Sistemas consiste en la actividad a desempear para instalar y mantener en adecuado orden dc utilizacin la infraestructura informtica. De acuerdo con lo ya comentado en el apartado anterior dc mbito, buscando un compromiso formal para separar las Aplicaciones de todo lo necesario para que stas ftncioocn correctamente y profundizando en esto diramos que el funcionamiento erecto se caracterizara por: Disponer de todo lo elementos n iw u r iiK Por parte de los usuarios autorizados. En el momento requerido. Con el rendim iento adecuado.

15.3. EL NIVEL D E SERVICIO

No debemos perder dc vista que el cumplimiento d e taJes caractersticas cwutituyc el objetivo de lo SI (Sistemas de Informacin) y que su consecucin se

www.FreeLibros.me
AUDITORIA INHHtMAlICA l N KNKXJt * HtACHCO expresa en trminos de nivel d e servicio. Toda nuestra actividad debera otar fundamentada e n el logro de esc objetivo y. lano los procedimientos d e actuacin como los correspondientes controles, deberan tener como fin ltim o dicha meta. Entendemos por nivel de servicio una serie de parmetros cuya medicin es capiz de determinar objetivamente el mayor o menor grado de eficacia del servicio prestada No cabe duda de que la obtencin de dicho nivel se ve afectada por cuanto incidencias, de cualquier tipo, im pacten en el normal desenvolvimiento de la actividad del SI. As. paradas por instalacin de nuevos dispositivos, cambios d e versiones del sistema operativo, puesta en servicio d e nuevas herram ientas, averas de mquin. fallos de com ente o elementos d e acondicionamiento, arranque o modificacin de enlaces de comunicaciones, inclusin de nuevos usuarios o cualquier tipo de probtana con el hardware o el softw are puede degradar el servicio, con el consiguiente perjuicio para la organizacin, que n o podr desarrollar sus funciones adecuadamente o en d tiempo preciso, con el correspondiente im pacto econmico que esto supone y que. generalm ente, resultar difcil de calcular, pero, en cualquier coso, importante. Este apartado de nivel d e servicio, requiere un tratamiento especfico, toda vez que en la bsqueda de la calidad se conviene en el aspecto clave de la gestin de la configuracin. Bastara decir que sin los d ie n tes del SI n o tiene sentido el SI. Y lo que tale* d ie n tes necesitan es la garanta de que el SI cumple su functo adecuadamente, puesto que, cada vez ms, e s el fundamento de toda la actividad de lt organizacin. Digamos para terminar esta breve incursin en el concepto expuesto que la garanta del funcionamiento global se obtiene primero consiguiendo la de cada uno de sus elementos, lo que nos obliga a determinar los puntos crticos que afecten a la actividad d d SI y a prever su fallo y planificar los controles y acciona correspondientes para soslayarlo. Comprenderemos que es tan importante delectar U anomala en un d em ento de hardware como la capacidad de subsanarla en tiempo til, pora lo que deberemos disponer del correspondiente contrato de asistencia con un proveedor que nos permita reducir, a lo previsto, el im pacto por tiempo d e inactividad Debe aadirse que. con esta filosofa, se negocian con los usuarios y proveedores que reciben el servicio o aportan actividades para su consecucin, acuerdos de nivel de se rv id o (SLA: Service Leve! A greem tm ) que. por un lado aseguran a nuestros dientes el grado de eficacia negociado y exigen a nuestro* proveedores la asistencia requerida para conseguir lo anterior. Hay que entender que en estos trm inos, se habla comnmente de disponibilidades por encim a del 9 9 ,9 1 (segn sectores y grado de criticidad de lo* SI con relacin al im pacto en la organizacin) lo que nos llevara a no tener interrupciones durante m is de 2 horas en total en un aflo para un servicio estimado en 2.000 horas anuales. Vase que un total de 10 horas de parada en un ato para ese mismo servicio supondra una disponibilidad del 99,5%.

www.FreeLibros.me CArtTVtOl AUPrrORlAPtTbOX'AW-SlSTtMAS

La disponibilidad. siendo lundamciMal. no ex el nico parmetro a medir, toda ve/ no se (ra u de tener un sistema que responda durante un determinado nm ero de tocas al aAo. sino que adems, debe hacerlo bien, liste ltimo aspecto slo puede aprobarse mediante tiempos de respuesta que den una medida de la utilidad del yco. La satisfaccin de los usuarios e s fruto del resultado general del servicio y depende tamo de la eficacia de las aplicaciones com o de la eficiencia del sistema. Ene ltimo aspecto est bien representado por los parmetros d e disponibilidad y tempo de respuesta, pero se completa con el anlisis de las incidencias originadas por U infraestructura y las opiniones de los usuarios sobre el servicio e n la parte Respondiente a ese mismo componente.

15.4. LOS PROCEDIM IENTOS

Toda tarea organizada debe estar descompuesta en una serie d e actividades o acciones a realizar con unos procedim ientos especficos que garanticen su calidad (o conecto funcionamiento). De la orientacin que hemos dado hacia el servicio, se deduce la tarea de ninrtlrjctti de los rec u n o s del SI (infraestructura) que debe optim izar los parmetros antes mencionados, cuestin que ha de convenirse en el objetivo de Mestrox procedimientos. Podemos efectuar una clasificacin en: 1. 2. 3. 4. . 6. Instalacin y puesta en servicio. Mantenimiento y soporte. Requisitos para otros componentes. Resolucin de Incidencias. Seguridad y Control. Informacin sobre la actividad

La clasificacin anterior sirve para cualquier elemento de infraestructura, pero cono ejemplo, podemos pensar en el Sistema Operativo de una mquina.

15.4.1. Instalacin y puesta en servicio

Comprendera todas las actividades para conseguir el funcionamiento adecuado del elemento en cuestin:

www.FreeLibros.me
kU)ltORlA P.KMIMATK A UN I.MKXAt IKSCTKX) Planificacin. Documentacin. Parametrzacin. Procedim iento general del suministrador adaptado a h instalacin concreta. Inventario de componentes del elemento y normas de actualizacin. Valore d e parmetros del sistema en funcin del resto de elementos planificados (nmero y tipos de usuario, aplicaciones...) Verificaciones a realizar y sus resultados.

Pruebas.

Debe partirse de los documentos existente* en la organizacin sobre normatna general: estructura organizativa (especialm ente informtica), normativas de instalar* (como, por ejemplo, direcciones IP a utilizar), metodologa general de proyectos y dems informaciones que puedan y deban condicionar la instalacin.

15.4.2. Mantenimiento y soporte

Comprendera el conjunto de acciones necesarias para la puesta al da dd elemento. as com o la asistencia d e terceros pora la consecucin de dicha puesta al da y la asistencia a prestar a otros colectivos (desarrolladores. por ejemplo) para facilitar informacin necesaria sobre el sistema y sus herramientas para su mejor utilizacido. Planificacin. Documentacin. Parametnzacin. Control del perodo d e garanta y comienzo dei mantenimiento del elemento. Procedim iento pora contactar con el soporte. Adaptacin de los parmetros del sistema en funcin de nuevos requerimientos o com o resultado de nuevas versiones o resolucin d e incidencias. Verificaciones de los cam bios o adaptaciones realizadas.

Pruebas.

15.4.3. Requisitos para otros componentes

Procedim iento de requerimientos o comportamiento de otros componentes del SI. Planificacin. recomendaciones para el mejor

Considerar los requisitos cruzados de unos elementos c< otros, por ejemplo: considerar el espacio en disco necesario para una nueva instancia de una base de datos y. por ende. H impacto en el subsistem a de discos y las consecuencias en los boik-ups en cuanto a espacio requerido y tiempo necesario, teniendo en cuenta las limitaciones que en cualquiera de estos aspectos pudieran existir.

www.FreeLibros.me
Documentacin. Procedim iento que determ iru los. efectos a considerar en otros componentes. Adaptacin de los parmetros del sistema en funcin de nuevos requerimientos o como resultado de nuevas versiones o resolucin de incidencias. Pruebas. Verificaciones de los cambios o adaptaciones realizadas. Parametri/acin.

15.4.4. Resolucin de incidencias

Procedim iento para registrar, analizar, diagnosticar, calificar y seguir las inciden cias que se produzcan en relacin con el elemento en cuestin con el objetivo de su resolucin. Registrar Supone abrir un form ulario en el medio habilitado <papel. electrnico...) que permita recoger los datos que identifican la anomala: momento en que se produjo, elementos y servicios/usuarios afectados, dados producidos y/o que pueden producirse, entonto del problem a y una descripcin de lo acaecido (las opiniones de los observadores pueden resultar de inters en algunos casos). Supone buscar una relacin entre el efecto y sus posibles causas, para lo que se cuenta, adems de los comentarios de los observadores y a mencionados, con la experiencia del tcnico que trata la incidencia y la informacin ya registrada sobre otras incidencias producidas que pudieran estar relacionadas o responder a la misma causa u otra parecida. Determinar de entre las causas posibles aquella que tuviera ms probabilidad de resultar el origen del problema una vez analizada la informacin disponible. En el caso hipottico de no poder establecer una causa del fenmeno reportar al soporte disponible para su diagnstico. Es un dato importante en el enfoque d e la resolucin, pues n o tiene el mismo tratamiento una anomala bloqueante que afecta a todo un sistema que un e n o r que se produce de forma muy espordica y cuyos efectos no son muy problemticos. Para resolver definitivamente un problem a hace falta conocer su causa y la forma d e evitar que se reproduzcan las condicione* origen. En caso d e disponer d e la solucin, su

Analizar

Diagnosticar

Calificar

Resolucin

www.FreeLibros.me
U : AirOCTOUlAINFORMATICA UN L-SHJQt't: fUM'TKIl aplicacin deber atenerse a los criterios <lc nivd de servicio, evaluando la problemtica creada por la falta de solucin y la que pueda crear la resolucin, pora coorn* las acciones que menos perjudiquen el servicio global ei c u n o . Supngase el caso de un problema que slo puede solucionarse medanle un parche" d e softw are que sto puede instalarse parando una mquina que control! a proceso crtico (im agnese cualquier ejemplo en: hospital, banco, produccin d e fbrica...). Seguimiento Es la accin continua y normalizada pora conseguir el diagnstico d e una incidencia y la persecucin de h resolucin.

15.4.5. Seguridad y control

Estos procedimientos adquieren una especial relevancia en el proceso de evitacin de incidencias y. caso de producirse, e n su temprana deteccin. La proteccin debe considerar tanto la posibilidad d e hechos fortuitos cono malintencionados. Los prim eras se evitarn partiendo de un formacin adecuada y competencia profesional ms la organizacin que establezca unos proced meteos robustos que incluyan elementos de control. Los hechos malintencionados se prevendrn mediante una poltica d e personal adecuada y unos procedimientos que eviten concentracin de tareas y consideren la segregacin de funciones y ks correspondientes controles. E s necesario proteger los accesos a la informacin y funciones con criterio de mnimos reservando funciones y accesos especiales a niveles d e responsabilidad superiores con los controles adecuados. Por poner ejemplos, direm os que el personal de desarrollo no debe tener acceso a modificar parmetros del sistem a operativo y . de igual form a, los TS no deben poder modificar programas. Uno de los controles tpicos en cuanto a los programas objeto o compilados en explotacin es el que comprueba que dichos objetos se corresponden con las versiones fuente en vigor. Un control de este tipo tambin detecta aquellos objetos que no disponen de su correspondiente programa fuente. Los entornos de desarrollo y mantenimiento de programas deben dejar informacin sobre las sentencias borradas, modificadas y aliad idas, as como los autores de las modificaciones. Estas pistas d e auditora permiten realizar investigaciones pora determinar el origen de un determ inado cambio.

www.FreeLibros.me
C A rtm O 1 5 AtT>fTOlA PE r t OilCAPfc SISTEMAS W Es imprtame que existan una see de normativas para realizar las funciones aormfeicas. aunque es igual d e importante que Ules normas se cumplan.

15.4.6. Informacin sobre la actividad

Rirma parte de la esencia de cualquier actividad rendir cuentas al responsable Kperioe del trabajo realizado. Disponer dc una informacin estructurado, d c acuerdo coo los parmetros dc seguimiento ms acordes con los objetivos de devrmpefto. es cuestin prim ordial para: Conocer la evolucin de la actividad. Comparar la realidad con objetivas y estndares Mejorar la calidad dc la tarea. Anticiparse a situaciones criticas analizando los tendencias.

Es uno dc los elementos bsicos del nis! dc servicio siempre que se objetiven Trmetros para su seguim iento, e s decir, que seamos capaces de medir coeportamientas del sistema que estn directamente ligados con la calidad del vicio. La informacin debe servir para gestionar y. por tanto, debe ser resumida y exfresiva en cuanto a la reprcscnucin de la realidad, permitiendo profundizar si se aquiete un anlisis ms fino de algn parmetro en aras d e localizar la causa d e un m in ad o comportamiento o magnitud.

1 i JS. LOS C O N TR O LES

Deberan determinar el comportamiento del sistema y presenir situaciones no deseadas desde cualquier punto de visu : Hardware Existen los componentes adquiridos (inventario) listn correctamente instalados Se mantienen adecuadamente Dan el rendimiento requerido Se dispone de las correspondientes licencias E st correctamente in su lad o Se mantiene adecuadamente (versiones oficialmente sopor tadas)

Software

www.FreeLibros.me
U4 AtWTOItlA INKMtMTTCA t'N tMOQt'K m\CTK Comunicaciones Existen componentes Estn correctamente instalados

Conmutacin

Comunicaciones

Existen lo contratos o servicios Estn correctamente parametrizados Se mantienen adecuadamente Dan el ancho de banda y respuesta Existen los procedim ientos Se llevan a cabo Se controlan las excepciones Se toman medidas Se Se Se Se dispone de procedim ientos de h aci-u p realizan los back-ups correspondientes guardan adecuadamente comprueban por muestreo

Plan de contingencia

Se dispone de un procedim iento Estn contratados tos servicios necesarios E st debidamente actualizado Se realizan los ensayos peridicos

La Fundacin de Auditoria y Control d e Sistemas de Informacin (ISACF) que otorga la certificacin ('ISA (Certified Information System Auditor dispone de un publicacin interesante sobre los Objetivos de Control para la Informacin y U Tecnologa relacionada (COBIT). A ll se relacionan los procesos de los Sistemas de Informacin clasificados en dominios: Organizacin y Planificacin, Compras t Implantacin. Puesta en Servicio y Soporte y. por ltimo. M om ton/acin. Esto procesos engloban todas las actividades relacionadas con los Sistemas de Informacin y. a su ve*. con factores como: Personas. Aplicaciones. Tecnologa. Explotacin y Datos. Por otra parte tienen una conexin mayor o menor con siete Criterios de Informacin: 1. 2. 3. 4. 5. 6. 7. Eficacia Eficiencia Confidencialidad Integridad Disponibilidad legalidad Fiabilidad.

www.FreeLibros.me A rtn .io i At mnmlA t*

tecnica i sistemas

us

La definicin del factor Tecnologia puede idem ifi carie eoo el mbito que estamos aplicando a Tcnica de Sistemas, puesto que comprende: Hardware. Sistemas Operativos. Gestore de Bases de Dalos. Redes. Multimedia.

Extrayendo los procesos relacionados con esta definicin Je Tecnologa (tendram os, segn ISACA. los objetivos de control correspondientes al rea que no* ocupa: Tcnica de Sistemas. Veamo* los objetivo* de control en lo* que se involucra Tcnica de Sistemas. Kgiln. el concepto anterior.

Definicin del plan estratgico tecnolgico Pretende la satisfaccin de los requerimientos del negocio buscaido un balance ptimo entre las oportunidades de la tecnologa de la informacin, dichos requerimientos y su posterior cumplimiento. Permite un proceso de planificacin etiratgica que. a intervalos regulare*, va cumpliendo las piane* a larjo plazo. E*to* planes a largo plazo deben traducirse peridicamente en planes operativos con cfcjetivos claros y concretos a corto plazo. Toma en consideracin objetivos de negocio y necesidades de tecnologa de la formacin, inventaro de soluciones tecnolgica* e infraestructura actual y estudios de factibilidad. Primando fundamentalmente el criterio de eficacia, concede tambin importancia a b eficiencia.

Determinacin de la direccin tecnolgica Se trata de obtener ventajas d e las tecnologas emergente*. Pietende crear y nauener un plan de infraestructura tecnolgica, adecuando y haciende evolucionar la capacidad de la infraestructura actual siguiendo los desarrollo* tecnolgicos, las testriccione* del negocio y los planes d e adquisicin. Como en el caso anterior, prima la eficacia sobre la eficiencia.

www.FreeLibros.me
M 6 Ai'DIKUtlA INKHWIK'A IW HNHOqWt ACTICO___________________________ t m G estin de inversiones Asegura la disposicin y el control de desembolsos d e recursos financieros por medio de los correspondientes presupuestos operativos peridicos establecida j convenientemente aprobados. Tiene en c u en u alternativas d e financiacin, control sobre lo gastado j justificacin de costes. En este proceso tienen la misma importancia, eficacia considerndose, adems, la fiabilidad de lo adquirido. y cfkietc,

A preciacin d e riesgos Pretende el aseguram iento d e la obtencin de los objetivos d e TI (tecnologa de ti informacin), previniendo las amenazas en la obtencin d e los servicios de TI Permite a la organizacin identificar los riesgos, analizar su im pacto y tomar la medidas de coste efectivo para mitigarlos. Considera distintos tipos de riesgos (tecnologa, seguridad, continuidad...), loi momentos de anlisis (peridicos o durante la implantacin d e nuevos sistema^ mbitos globales o especficos, informes de incidencias y el mantenimiento de modelo de riesgo. Estn involucrados los siete criterios, pero especialmente: confidencialidad, integridad y disponibilidad.

G estin de proyectos Supone m arcar prioridades p a n conseguir objetivo* en tiempo dentro de V x presupuestos. Permite a la organizacin identificar y priorizar proyectos en lnea cce el plan operativo. Ms an. la organizacin debe adoptar y aplicar tcnicas seguras de gestin de proyectos para cada proyecto emprendido. E s preciso tener en cuenta el promotor del proyecto, lo s usuarios involucrados, las incidencias y los hitos, la determinacin d e responsabilidades, el comit de seguimiento, los presupuestos de costes y mano de obra, la calidad del plan y h seguridad del plan para con los sistemas sensibles. E n este cavo intervienen por igual los criterios de eficacia y eficiencia.

www.FreeLibros.me
CaHUIjO IS ADOtWKlA I* X~NK'A Df. SlMhSllS W likulificackin de soluciones auto m atizad o s Se trata de asegurar la mejor aproximacin para satisfacer los requerimientos de k* usuarios, facilitando un anlisis claro de las oportunas alternativas ajustadas a los requisitos. Se han de tomar en consideracin las restricciones internas y extem as (como sistemas heredados), la direccin de la tecnologa, los estudios de factibilidad (costes, beneficios, alternativas...). los requerimientos y la arquitectura de informacin. Prevalece la eficacia, aunque la eficiencia debe considerarse tambin.

Adquisicin V m a ntenim iento de in fra e stru c tu ra tecnolgica Este proceso provee las plataformas adecuadas para soportar las aplicaciones del Kgocio. Permite definir consideraciones especficas de requerimientos funcionales y petamos y una implantacin por fases con hitos claros. Se deben considerar: la disponibilidad d e la tecnologa, la direccin de su evolucin, las polticas de seguridad, el ajuste de los procedimientos a la instalacin y U flexibilidad. Es importante la integridad, pero han de prevalecer eficacia y eficiencia.

Desarrollo y m a nten im iento de p rocedim ientos relacio n ad o s con los SI (Sistem as de Informacin) Pretende asegurar el uso adecuado de las aplicaciones y d e la soluciones tecnolgicas instaladas Supone una aproxim acin estructurada, al desarrollo del euurio y a los manuales de procedimientos operai i vos. as como a requerimientos de v icio y material de entrenamiento. Tiene en consideracin tanto procedim ientos como controles de usuario y procedimientos y controles operativos. Prevaleciendo eficacia y eficiencia, tambin -e n segundo trm ino- intervienen crios de integridad, legalidad y fiabilidad.

www.FreeLibros.me
U> ALPITOHtA INKIHNIAIUA I X INKXJO IUMDO Instalacin v certificacin d e sistema* Verifica y confirma que la solucin encaja con el propsito perseguido, lo qoc permite la realizacin de una correctamente formalizada instalacin, migracin y conversin as como un plan de aceptacin. Considera la aprobacin de la estructura, la documentacin, pruebas especfica, entrenamiento, conversin y/o carga de datos y revisiones post-implantacin. Busca la integridad y la disponibilidad, prevaleciendo la eficacia.

Gestin de cambios Pretende m inim i/ar defunciones, alteraciones n o autorizadas y errore, habilitando la gestin del sistema para el anlisis, la implantacin y el seguimiento de los cambios solicitados y realizados en la infraestructura de TI existente. Tiene en cuenta la identificacin de los cambios, la categorizacin. priorizacin y procedim ientos de emergencia, el impacto, la autorizacin de los cambios, gestit delegada y distribucin de softw are. Son criterios prioritarios, adems d e eficacia y eficiencia, integridad y disponi bilidad. mientras que la fiabilidad se considera en un segundo plano.

D efinicin de niveles d e servicio Persigue un entendim iento generalizado sobre el nivel de servicio requerido Permite el establecimiento d e acuerdos d e nivel de servicio que formalizan k criterios de rendimiento con los que deben medirse cantidad y calidad del servicio. Involucra definicin de responsabilidades, volmenes y tiempos d e respuesta, dependencias, cargas, garantas de integridad y acuerdos de discrecin. Intervienen los siete criterios, siendo primarios: eficacia y eficiencia.

(e-\tin de relacin** de servicios d e tercero s Aseguran que los roles y responsabilidades de terceras partes estn definidos coa claridad, son conformes con los requerimientos y continan satisfacindolo. Facilillo

www.FreeLibros.me
CArtTVLO IS AUPUOWUIH- TfCNW'A I; SISTEMAS VI medidas de control para revivir y monitorizar los contratos existentes y lo procedimiento para su eficacia y cumplimiento de las polticas d e la organizacin. Tiene que ver con los acuerdos de nivel de servicio. con los acuerdos de discrecin. las polticas de la comparta, las leyes y regulaciones y los contratos de e m o m in g . Igual que el proceso anterior, requiere de todos los criterio y. en especial, de eficacia y eficiencia.

Gestin d e rendim iento y capacidad Asegura la existencia de la capacidad adecuada, su disponibilidad y uso ptimos de acuerdo con los requerimientos establecidos. Permite controles pora gestionar la pocidad y el rendim iento, que recopilan datos e informan para gestionar la carga, el umarto de las aplicaciones y la gestin de recursos y peticiones. Tiene en cuenta volmenes, tiempo de r e c u e sta y rendim ientos. Busca el factor de disponibilidad, prevaleciendo siempre eficacia y eficiencia.

Aseguramiento de la con tinu idad del servicio Dispone el servicio tal y como se requiere y contina facilitndolo cuando se produce una incidencia. Permite el ejercicio regular de un plan de contingencia estructurado (sim ulacros) facilitando distintas fases c hitos claro, alineando las TI con los aspectos del negocio. Considera la clasificacin critica, el plan documentado, los procedimientos alternativos y las pruebas y ensayo temticos y regulares. Se fuiKiamrnu i-n dis(mnihiliiUd > eficacia y. d e manera secundaria, en eficteacia.

Aseguramiento de la se guridad d e los sistem as Para salvaguardar la informacin contra usos no autorizados, revelacin de iaformacin. modificacin, corrupcin o prdida, controla el acceso lgico al sistema, a los datos y a los programas, restringiendo o s a los usuario autorizados.

www.FreeLibros.me
Involucra autorizacin. autenticacin. perfiles e identificacin de usuaria,, gestin de claves e informe de incidencias y seguimiento. Aplica criterios de confidencialidad c integridad y, en segundo orden, ditpobilidad. legalidad y fiabilidad.

Identificacin y re p a rto de costes Asegurar la correcta atribucin de los costes d e los servicios de TI. Debe I disponerse de un sistema de contabilidad de costes que garantice el registro de lo I mismos, con el consiguiente clculo y distribucin d e detalle. Considera los recursos a incluir, las polticas de reparto y los ratios de j distribucin. Utiliza criterios de eficiencia y fiabilidad.

G estin de la configuracin Inventariar todos los componentes de los SI. previendo alteraciones no autorizadas, verificando su existencia fsica y facilitando una base precisa pan gestionar el cambio, los controles que identifican y registran todos los bienes y sa localizacin fsica, a si com o un programa regular de verificacin que asegure s* existencia. Tiene en cuenta el registro de activos y su etiquetado. Usa criterios de disponibilidad y fiabilidad, dando prioridad a la eficacia.

G estin de p roblem as e incidencias Asegura que se conocen los problemas y las incidencias, que se investigan 1 causas y que se previene su repeticin, permitiendo un sistema que registre y persiga i resolucin. Determina la existencia de pistas d e auditoria suficientes sobre problemas y soluciones, el tiempo de resolucin d e los problemas reportados, procedimientos de escalado (paso de problema a otras instancias) c informes de incidencias. Criterios prim arios: eficacia y eficiencia: secundarios: disponibilidad.

www.FreeLibros.me
Monitori/acin dc los procesos

CAfn:U> IV AlIQtTOtA l*. IffMCA O SOTfcMAS 1

Persigue la consecucin dc k * objetivo* buscados por Ion procesos dc lo SI. definiendo la gestin de informes relvame-* para la dircecin y d e indicadores dc rendimiento de La implantacin del soporte de los sistemas, as como clarificando los informes sobre una base regular y normalizada. Son importantes los auto-controles, benchmarks, indicadores c lase dc medicin de rendim ientos c informes dc gestin. Intervienen los siete criterios, siendo primara la eficacia.

Seguridad Independiente Para incrementar los niveles dc confidencialidad y el beneficio dc referencias dc las mejores prcticas e s importante realizar auditoras independientes a intervalos regulares. I j mencionada auditora independiente con conceptos d c auditora proactiva. la ejecucin dc los controles por personal cualificado y la clarificacin dc las observaciones y las recomendaciones constituyen aspectos clave dc esta actividad. Como en el caso anterior, intervienen los siete criterios, pero aqu, con prioridad los dc eficacia y eficiencia.

15.6. AUDITORA DE LA FUNCIN

No vamos a repetir conceptos clsicos dc auditora, com o la necesidad dc confeccionar un plan de la misma que incluya el anlisis de ejercicios anteriores determinando objetivos precisos y estableciendo un conjunto de pruebas: sustantivas y de cumplimiento que permitan obtener unas cooclusiones reflejadas en el informe oonrs|Win<1irnte Se trata pues dc aplicar las ideas anteriores, al segmento de actividad al que nos estamos refiriendo: Tcnica de Sistemas. El ltimo informe de auditora realizado debe servir para fijar un objetivo ceocrcto: la comprobacin de que se han llevado a cabo las recomendaciones eipecstas y se han corregido debilidades o puntos negros detectados con anterioridad. El informe final deber reflejar, en este caso, la realidad contrastada, haciendo ta ca p il en aquellos objetivos n o conseguidos las razones expuestas por los

www.FreeLibros.me
i AUDITORA IXTORMTKA: UN ENFOQUEPRCTICO responsables y unas nueva recomendaciones al respecto que pueden ratificar 1 planteamientos orijiirulcs o plantear alternativa* o nuevo objetivos para resolver la debilidades encontradas (controles compensatorios). Kn cuanto a lo procedimiento, y d e acuerdo con lo expuesto en el pido anterior, debe comprobarse: 1. Que existen. 2. Que son consistente con lo objetivo d e control. 3. Que se ejecutan. Comoquiera que el ejercicio de auditora supone coleccionar unos hecho* observado para emitir un juicio ecunime, profesional e independiente, dicho hecha deben estar contrastados, por lo que se realizan tas prochas sustantivas y de cumplimiento cuyo resultado debe soportar las cooclusiones del informe de auditora. N o podemos olvidar que es el informe de auditora -co m o resultado final dd trabajo realizado- la base de las accione correctoras posteriores que debe promover b direccin para soslayar cuantas debilidades y problemas pueda plantear el sistema en mi funcionamiento, y consecuentemente, mejorarlo para que responda a Im requerimientos que constituyen su razn de ser. Una adecuada metodologa en el desarrollo d e la auditora es fundamental y requiere de aspectos generales, tanto del campo de la auditora como de la organizacin de lo Sistemas de Informacin, tanto com o de aspectos especfico que. en el caso de T S son especialmente importantes, a tenor de la tecnificacin profunda de la funcin y de la especificidad de los diferente entorno tecnolgico existentes. Existe, adems, un problema aadido que se origina en la variedad y multiplicidad de los entornos. Hoy en da es difcil encontrar entorno puros y. en la realidad actual, existen distinta pones de los SI que se ubican en mquinas de tipo mainframe. de tipo mini y micros que cada vez son menos micro, puesto que b tecnologa evoluciona y desarrollos de unos entornos se aplican a otros; baste poner com o ejemplo que la tecnologa d e discos del entorno microinform liico ha sido U hxsc de los actuales desarrollos de sistemas array que construyen grande sistemas de almacenamiento por agregacin d e elementos ms pequeos con el origen mencionado, que. atiem. se beneficia de lo desam>llo de entornos mainframr 01 cuanto a rendim ientos: varias viax d e acceso, dispositivos cach, etc. Resulta normal en una empresa de cierto tamao encontrar un entorno mainframt que soporte una serie de funcionalidades, ju n to con entornos medios para otras y un soporte micromformtico. articulado generalm ente alrededor de una red que completa la infraestructura de sus sistemas centrales. Pero esto no e s todo, sino que se completa

www.FreeLibros.me
CAitmtx) i ' Av imcmlA p. ifrviCA di stsu .s u s m i -tambin usualmente con equipos en sus ceiros perifricos que integran tas instalaciones con los correspondientes enlaces le comunicaciones > la electrnica inherente. En entornos heterogneos se requieren conocimientos especficas 1c cada sistema operativo, gestor de base de datos, herramientas d e desarrollo, administracin, seguridad y monitorizacin. La funcin, e n estos casos, debe ser auditada desde dos perspectivas diferentes y con equipos d e personas distintas: Equipo de organizacin con conocim ientos generales que chequee aspectos operativos, conso establecimiento y separacin d e entornos y los procedim ientos inherentes a dicha separacin y a las funciones generales com o resolucin de incidencias, planes de contingencia, niveles de servicio o informes peridicos de Tcnica de Sistemas sobre el desarrollo de la tarea. E quipas expertos en entornos especficos que sean capaces d e analizar los parmetros claves del softw are de base en sus distintas concepciones: sistemas operativos, gestores de bases de datos y herramientas varias.

La existencia de una red de comunicaciones incorpora un nuevo nivel de complejidad, puesto que. para diferentes servicios, pueden existir distintas infraestructuras que se solapan, por ejemplo: lneas de dalos para conectar tcrminalcs/rcdcs a instalaciones centrales (computadores y/o redes) y otro conjunto de enlaces pora inierconectar las diferentes ubicaciones de la organizacin y soportar el servicio de correo electrnico. Lo servicios a travs de redes pblicas m s abiertas y econmicas pero mucho menos seguras generan una complejidad aadida que. desde el punto de vista del control. hacen cada vez ms difcil su vigilancia, dado el elevado nivel tecnolgico de las soluciones e n curso y su vocacin de apertura y flexibilidad que chocan frootalmcntc. com o se puede comprender fcilmente y ya hemos dicho, con aspectos de ( fu n d id y control necesario. En grandes organizaciones e s relativamente sencillo urdir estrategias organizativas que cumplan con los criterios bsicos d e control en cuanto a establecimiento de procedimientos y segregacin de funciones para que. por ejemplo, los programadores no puedan modificar los parmetros del sistema (operativo, gestor de dalos...) y quienes puedan ejecutar programas en real no puedan modificarlos. Pero a veces, bien porque se trata de organizaciones ms pequeas con menos recursos tanto operativos como de control, com o d e grupos de servicio a determinados objetivos parciales con elementos de proceso departamentales, se producen situaciones donde la segregacin funcional no existe y surgen -e n consecuencia- amenazas y

www.FreeLibros.me
JM Al'PrroaU ISTORMATKA: un ENFOQUE PRACTICO debilidades que el auditor debe determinar para que mediante otro* medios pool* compensarse dichas debilidades. bien a travs de oros controles ylo medidas (segure, por ejemplo). Puesto que en la presme obra se tratan especficamente aspectos que tienen qoe ver con TS. vamos a profundizar un poco en el rea especfica del sistema operativo y herramientas complciixmarias. La separacin de entornos de traba o constituye un planteamiento undamctal para aislar la produccin de los riesgos del desarrollo. Hay que tener en cuenta que. llevadas las cosas al lm ite en el rea de produccin, se persigue la estabilidad de los procesos, mientras que en desarrollo, se trata de comprobarla, lo que obligara a intentar -en pruebas- buscar sus fallos y conseguir incidencias para prevenirlas. Ea ocasiones, cabria incluso la existencia de otros entornos (en funcin de lat organizaciones) como el de implantacin que -siendo una rplica del de produccinpermitira com probar (en laboratorio) incidencias producidas en explotacin, probv circunstancias especficas, sin necesidad de involucrar a las ejecuciones reales e impartir entrenam iento (training) a nuevos usuarios o ante nuevas versiones de aplicacin. Por otra parte, las mencionadas separaciones deben conllevar un conirct sobre las conexiones entre los mismos y las restricciones de acceso de los distinto perfiles (operadores que no pueden compilar programas, programadores que no pueden acceder al entorno de produccin, etc.). Los datos reales no deben ser accesibles ni utilizados para pruebas: slo en casos especiales pora pruebas de volumen podran lomarse como punto de partida, desvirtundose en su contenido para el traspaso al entorno correspondiente. K1 softw are de base debe aportar herramientas para modificar programas y controlar los cambios dejando pistas de auditoria, debiendo existir el correspondiente procedimiento que contemple la segregacin funcional (aprobacin del carato, realizacin, validacin y puesta en explotacin). La consistencia de los programas ejecutables con las fuentes origen e s verificaNe y garantiza que las aplicaciones en ejecucin coinciden con las desarrollada, validadas, y que sirven de base para cualquier modificacin posterior. Debe comprobarse la existencia d e todas las fuentes. La prdida de alguno deja a la organizacin en precario frente a cualquier modificacin necesaria que afecte a la funcionalidad que soporta el programa en cuestin. Un control especial debe aplicarse con las utilidades d e uso restringido qee permiten accesos directos a) ncleo del sistema operativo o a los datos. S e trata de elementos sensibles cuyo uso debe estar especificado, toda vez. que -e n determinados

www.FreeLibros.me

CArtn tt) iv AfiMTimtA pe tt-cxKA de sistem as j

casos- n<> dejan pid a de las modificaciones realizadas. Existen opiniones a favor de deponer de estas funciones fuera del sistema, cargndolas nicamente cuando sean recesaras y borrndolas despus, para evita que -p o r una debilidad d e segundad alguien pudiera acceder a ellas. C on esto se trata de eliminar la omnipotencia de los Tcnicos de Sistemas, que deben estar, tambin, sujetos a una normativa rigurosa. H a de tenerse en cuenta el nisvl de actualizacin de los mdulos del SO (sistema operativo) y si existen parches pendientes d e aplicar, dado que la no actualizacin mencionada supondra el riesgo ante los errores que las actualizaciones corrigen. La planificacin de acciones debe ser cuidadosa, documentada y con posibilidad de alternativas y de marcha atrs ante cualquier eventualidad im prevista que no permita el conecto funcionamiento del sistema. Ha de tener en consideracin los tseles de servicio pactados y procurar el mnimo impacto en la explotacin del sistema. Deben existir planes de respaldo y continuidad en cuanto al softw are de sistemas, as como el adecuado soporte interno/externo. El seguimiento de la adecuada sintona del sistema y su rendimiento debe ser una prctica habitual y continua, para lo cual, adems d e los datos objetivos sobre parmetros y mediciones, existen herramienta* d e contraste que permiten evaluar su funcionamiento. Constituyen riesgos una dependencia inadecuada (del responsable del desarrollo, por ejemplo. k> que supondra falta de segregacin funcional), los cam bios sin una planificacin adecuada y la existencia de supem suarios con una concentracin de poder que atente igualm ente contra la segregacin funcional, l-os controles deben buscar supervisin, comprobar la restriccin de kw accesos y efectuar las revisiones correspondientes. El riesgo valorado debe estar en consonancia con la organizacin: no es el mismo en un hospital o en un banco que en un fabricante d e sillas. Aunque la repercusin para el negocio pueda ser la misma, no son iguales, ni la probabilidad de su produccin ni la repercusin en otros factores (las personas, por ejemplo). En cienos casos, como complem ento o como sustitucin por no justificarse determinadas medidas en funcin de la complejidad y el riesgo en cuestin, puede estudiarse una poltica de leguros: SPS SPW SICO ISPB Seguro d e soportes d e datos Seguro d e software Seguro pura cobertura de contingencias Seguro d e prdida de beneficios

www.FreeLibros.me
ft Al'IMIOHlA INHJKMAItCA CN hMOQUfc HtCTSCO Tambin conviene de*tacar la existencia Je herramientas que ay u d m en b metodologa, recogiendo resultados d e observaciones, tabulndolos d e acuerdo coa factores y parmetros d e riesgo para obtener un valor objetivo de los resultados, construyendo, de forma semiautomtica el informe d e auditora. De igual forma cabe utilizar tiles especficos pora sistemas concretos y revisar sus parmetros e histricos -e n cuanto a pistas de auditora- que. en casos d e sistemas complejos, so# especialmente recomendables.

15.7. CON SID ERACION ES SOBRE LA TEC N O L O G A Y SU EVOLUCIN

Debemos prepararnos para el cambio de paradigma que se nos avecina, puesto que la complejidad alcanzada por los sistemas distribuidos no compensa su aparente eficiencia. Para justificar esta apreciacin baste con referir el alcance tcnico de tos sistemas distribuidos que -p ara conseguir la consistencia en la informacin de los diferentes nodos- se ha normalizado el cornil de doble fase para garantizar b actualizacin, en tiempo real, de todos los computadores d e la red. En trminos vulgares baste con decir que es necesario un enlace de comunicaciones fiable y permanente para garantizar que en lodos los nodos queda actualizada la in/ormaaii en e l m om ento y yo me pregunto qu diferencia existe entre este sistema y uno centralizado clsico? Segn m opinin, la diferencia es inexistente toda vez que -en ambos c asos- el funcionamiento correcto se basa en unas comunicaciones fiables mi las cuales no funciona, adecuadamente ninguno d e los dos. y con las que amboi permiten una operata correcta. En el lm ite un sistema distribuido podra tener ciertas ventajas en los costes de las comunicaciones siempre que parte de los accesos puedan ser locales y la diferenc compense las actualizaciones distribuidas. Lo que sucede e s que es ms barato ere, mantener y actualizar un sistema centralizado y . adems, si hay caldo en comunicaciones en algn enlace, e l resto estn totalmente operativo*, mientras que a e l caso distribuido, si cae un enlace, slo estn operativos k accesos locales y hasu que no le restaura e l enlace cado, no funciona e l sistema para actualizaciones qm deban replicarse. Para soslayar estas dificultades, los sistemas distribuidos han urdido otras estrategias, basadas e n replicadores de transacciones y permitiendo registros pendientes de aciualizar que se ponen al da al levantarse la linea de comunicaciones cada. Lo que sucede es que. para que este esquema d e replicacin (sin cornil de doNc fase) funcione, obliga a mantener la actualizacin en un nico nodo, lo que supone b nica opcin para mantener la consistencia de los dalos.

www.FreeLibros.me
m w CAytTVLO 15: AUOTOlA I, TCNICA DtjSKTtMAS 7 Para colm o de males, la liberalizacin del sector de las telecomunicaciones y el incremento de las redes y la mejora de calidad d e los enlaces, junto al incremento de los costes de desarrollo y mantenimiento de los sistemas, especialmente de los distribuidos, inclina definitivamente la balan/a en favor de los sistemas centralizados. Resulta curioso que en el momento en que la microintorm tica ha adquirido el espectacular desarrollo de hoy nos planteemos el retom o a los sistemas centralizados, pero todo indica ese camino, ya que. adems de los razonamientos expuestos, la realidad de k que se nos ofrece es incuestionable: NetWork Com puter <NC. Com putadores ms simples gobernados por elementos remotos que les suministran los programas a ejecutar. Desarrollo de navegadores (Netscape y Explorer) com o entornos d e trabajo universales. Internet c o n paradigma d e conexin y protocolo de comunicacin (TCP/IP). Este nuevo modelo .se convcnir en la base d e la evolucin de las aplicaciones, los centros de proceso y los usuarios. Las aplicaciones se desarrollarn para instalarse en entornos W eb y la pane diente (a ejecutar en k terminales ms o menos inteligentes) en estndar Java, derivados o similares. Los centros de proceso se centralizarn y los se rv id o s se conectarn con incrancLs. extrais y/o Internet, tomando una relevancia capital la proteccin de la informacin y los accesos, sobre todo en el entorno de negocios: considrense los esfuerzos para poner en marcha el estndar SET para securizar las transacciones va Internet, cuestin que supone integrar en el proceso a las entidades financieras y de crdito (es un paso ms adelante del tradicional EDI). lo s usuarios sufrirn tambin cam bios radicales, puesto que los dos aspectos anteriores son la bave para poder trabajar desde cualquier punco (a travs de las redes Rbales mencionadas), tanto en oficinas como en centros de servicio o domicilios particulares servirn de base para lodo trabajo que ve pueda realizar a travs d e un computador, e s decir, aquel en el que nicamente se maneje informacin, y no podemos olvidar que el sector de servicios (creciente en economas desarrolladas) tiene un componente importantsimo de trabajo cuyo fundamento es la informacin. Para justificar cuanto antecede y sin necesidad de ejercitar la imaginacin baste, adems de considerar el desarrollo del (ekirabajo en otros pases, la experiencia, por cjeaplo. de entidades financieras en tal asunto: bancos, aseguradoras...

www.FreeLibros.me
.1 5 1 AUXIOKlA INKXRMMlCA UN K V K W t ACOCO

15.8. ALG UN AS REFERENCIAS

Desde el pum o de vista metodolgico y p ira ayudar en el proceso dc recopilante y tabulacin de la informacin, as como en la redaccin de resultado*. LOGIC CONTROL dispone dc un programa: AUDINFORM que funciona en enlom o PC. Aunque cada fabricante d e equipo dispone de oferta complementarias en cun a herramientas para administrar, controlar y nvonitorizar los sistemas, exiae* especialistas que se han centrado en desarrollar paquetes que ayudan a normalizar toda una serie de aspectos relacionados con la seguridad, el control y la monitori/acin de los sistemas que se convienen en piezas bsicas para la articulacin de lo procedim ientos dc que hem os hablado.

Tal e s el caso dc Com puter Associates, que con su sistema UNICENTER j pretende integrar un conjumo de herramicmas com o el descrito, buscando, adems, una homogeneidad funcional d c dichas herramientas en los distintos sistenai operativos (como MVS de IBM. Unix, o NT dc Microsoft). Es ejemplo obligado ciar CAExamine que. en un enlom o M VS. permite obtener en tiempo real una revisita sobre seguridad, integridad y mecanismos de control, cuestin que -p o r otros m<dxrcsulta muy costosa. Tambin existen compartas cuya cspecializacin consiste en la monitorizaciede los sistemas, tratando alertas de sistemas operativos, bases de datos y apticacioeci Tal es el caso de la lnea PATROL dc BMC Software y otras lneas com o TVO lJo productos dc fabricante d e softw are de base como O racle A len (Oracle) o equipo como AV/A lert (Dala General). En el apaado dc las comunicaciones el sistema SNMP. para control de elementos remotos (a travs dc agentes que reportan informacin a u n sistema ccntrali. se ha convenido en un estndar, y productos com o Opcnvicw (HP) o Nctvicw (IBM), gestionan la informacin dc este tipo d e agentes para permitir una administracin centralizada dc elementos remotos d e red (redes W AN. estaciones dc trabajo o cIchiciiUk s d.>Ubufcn). En el campo del contraste. COM PASS (sede en Barcelona) realiza en Espada estudios dc instalaciones considerando distimos parmetros y comparndolos coe otras organizaciones ( b ra p ra c tk ts ) y estndares, produciendo un anlisis y d correspondiente diagnstico d e la instalacin. En materia de seguros TELA IBRICA (comparta re-aseguradora) especializada en sistemas electrnicos, constituye una referencia (al igual que las principales compartas dc seguros: AGF-Fnix. La Estrella...) com o especialista en seguros de

www.FreeLibros.me
Artlll O H AUDITORA t ifCNK'A IH SlVtl.SIVt IV) pone* de dalos, software. inaiwem miento de actividad ante contingencia* y prdida 4c beneficio*. Existen organizaciones independenles, como el Transaction P ro trtu n g C om et. p e realizan pruebas de rendim ientos estndar y facilitan datos certifio do s e indepenAentes del funcionamiento de los equipos. Tales datos se exprcsai en Tpro-C o Tpm (transacciones por minuto de tipo C o D) que sirven para evala' la potencia de ln mquinas y contrastar -c o n la requerida para cada usuario software- la validez, de li entalacin. Los resultados del T. P. Council estn disponibles en Internet.

15.9.

L EC TU R A S RECOM ENDADAS

COBT (Control Objetive* for Information and related Technology) d e ISACA (Information Systems Audit and Control Association). HotJhoot o f E D P AitdHtntt. En general la mencionada ISACA constituye una fuente muy am plia ce informacin, al ser su principal objetivo el control y la auditora d e lo SI. Su publicacin IS AUDIT & CO NTRO L JOU RNAL publica en su nmero de 1997 (volumen III) interesantes artculos como: "Steps to auditing W indows N T . "SAP R/3 and auditing lgica! access".

15.10.
1. 2. y

C UES TIO N ES DE REPASO

Qu mbito abarca actualmente la tcnica de sistemas? Defina nivel d e servicio. Qu procedimientos deberan existir para la instalacin y puesta en servicio de un equipo? Enumere los principales aspecios a contemplar en la resolucin de incidencias. Con qu criterios auditara un plan de infraestructura tecnolgica? recu la heterogeneidad d e los entornos a la auditora de tcnica de

4.

5.

www.FreeLibros.me
mommU inh3matca ex ewfoqu: raAcrico 7. m u Por qu son p elig ro s algn** utilidades que permiten acceso directo a 1 datos o al ncleo del sistema operativo?

9.

Analice el im pacto de la replicackta d e dalos en un colom o distribuido.

10. Establezca los principales criterios para evaluar herramientas de momio rizacin de sistemas.

www.FreeLibros.me

C A PTU LO 16

AUDITORA DE LA CALIDAD
Jos Luis Lucero Mantesa

16.1. PREMBULO
La calidad t u dejado de ser un tpico, y fo m u parte, es necesario que forme pww. de los productos o servicios que comercializamos para nuestros clientes Esti incorporada en nuestra form a de se r la vida. Cada vez exigimos m is que los productos o servicios que no* suministran nuestros proveedores tengan el mayor grado d calidad dentro de un precio razonable. El aforismo de El precio se olvida y la calidad perdura" se hace cada vez ms patente. El d iente e s el mejor auditor de la Calidad, l exige el nivel que est dispuesto a pgjr por e lla pero no m is. Por tanto, debemos de cuantificar cul es el nivel de Cali dad que nos exige para poder planificar la Calidad d e los productos semielaborados <pe se generen a lo largo del proceso d e produccin del producto o servicio final. Al analizar las necesidades de nuestros clientes, deberemos tener en cuenta tam bin la previsible evolucin de sus necesidades y tendencias en cuanto a caractersti cas. Deberemos tener en cuenta la evolucin tecnolgica del entorno de produccin de nuestros productos para suministrarlos con el nivel tecnolgico adecuado. No debe la olvidar tampoco el nivel de Calidad de nuestros competidores, debiendo elaborar productos cuyas caractersticas y funcionalidades sean competitivas con las de nues tro competidores, asi como su calidad. La Calidad se ha convertido en el medio d e subsistir dentro de un mercado competitivo, lo cual beneficia al consumidor final, e s decir, a nosotros. Es el pnm er Mo lgico por el que las empresas prevalecen en el mercado, el segundo ser la productividad que emplean para conseguir esa calidad.

www.FreeLibros.me
VQ UTUrORM ISHHtMStKA I .NfXfOQLT, PRACTK.X) l a Calidad ser el objetivo global a conseguir, y la Productividad no* vendr por aadidura, nunca al revs.

16.2. DEFINICIONES PREVIAS

Vamos a citar algunas definiciones de varios autores que nos ayudarn a centnr lo que se entiende por calidad: I J AI JURAN: Adecuacin al uso. P.B. CROSBY: Cum plimiento de unas especificaciones. W.E. DEA1ING: Un grado predecible de uniformidad y fiabilidad a bajo me y adecuado, a las necesidades del mercado. G.T AG U CIII: Prdida mnimas para la sociedad en la vida del producto. FEIGENBAUM: Conjunto d e caractersticas del producto de marketing, ingeniera, fabricacin y mantenimiento a travs del cual el prcxhicto en cao satisface las expectativas del d ien te. P. DRUCKER: Calidad es lo que el cliente est dispuesto a pagar en funcin de lo q u e obtiene y valora. AEC (Asociacin Espaola para la Calidad: Conjunto de propiedades y caractersticas de un producto o servicio que le confiere su aptitud pan satisfacer necesidades establecidas o implcitas.

Los Sistemas de Informacin cada vez estn ms presentes en nuestra actividad y en las cosas que nos rodean y que usamos. Simplemente recordar que cuando samas i un banco cualquier operacin que hacemos tiene detrs un Sistema de Informacin 4 hacem ot un seguro, al comprar en un supermercado o en unos grandes almacenes, al pagar con nuestra tarjeta de crdito, en lodos tos casos hay un Sistema d e Informante que est controlando y gestionando esas operaciones. Incluso al arrancar nuestro coche hay un softw are que chequea los puntos vitales del mismo. En este captulo vamos a centrar nuestro foco e n 1a Calidad del Software y podemos recordar la definicin que encontram os en Pressman: "Concordancia con lo* requisitos funcionales y de rendimiento explcitamente establecidos, con los estndares de desarrollo explcitamente documentados y con las caractersticas implcitas que se espera de todo software desarrollado profesional mente." En esta definicin podemos destacar qu se entiende por calidad, el cumplimiento de los requerimientos que se han establecido (normalmente por el usuario o el cliente) y las "caractersticas implcitas" que debe cumplir todo softw are hecho profesionalmente aparte de su realizacin segn unos determinados estndares. Es decir, que

www.FreeLibros.me

f A fflllO I*. AtPtTOKlA IX. LACA1JUAO V >

*iem\ de cumplir con la* especificaciones que no t u dado el d ie n te o el usuario, rte cumplir con otras caractersticas que se dan por sobreentendido que estn dentro del "saber hacer" de un buen profesional y que no estn especficamente explcitada. En muchas ocasiones, esta circunstancia no se da. y algunos desarTolladores de dolosa profesionalidad se parapetan tras la frase: "de eso n o se dieron eyecificacioncs". para ocultar una falta de previsin o una carencia de habilidad para Atener del usuario en Ixs entrevistas la informacin necesaria para com pletar y cceplemcntar los requerimientos funcionales.

16.3. INTRODUCCIN
Al decidir acometer la realizacin de un producto softw are, deberemos hacer una (lanificacin, y entre otros, habr que hacer un Plan d e Calidad especfico para ese producto. En el centro de produccin de softw are, deber haber un Plan General de Calidad * el que estarn las especificaciones para poder definir cada uno de los Planes Bpcdfkos de nuestros desarrollos en fu ndn d e k atributos de Calidad que deseamos implementar en d software. En este Plan se definen la actividades de Calidad que se tienen que realizar, en <f* momentos tiene que intervenir la funcin de Aseguramiento de la Calidad, que a dferencia del Control de Calidad intervendr proponiendo y supervisando los procesos de calidad a realizar en la fase de generacin de los distinto componente, herencia a estndares, y la intensidad de aplicacin d e la misma segn la crticidad de los productos y el nivel de riesgos que se haya encontrado en la evaluacin del

Dentro de este captulo, como no podra ser menos, nos vamos a referir a una Ke de norma que afectan a su contenido, y en algunos casos incorporaremos ripeo de sus prrafos o apartados completos. En el caso de los procesos de revisiones de calidad, tenemos la norma IEEE S an tal 1028 for Software Rcvicws and Audils. El objeto de esta norma e s definir los requerimientos para los procesos de Rrifl y auditora. No est dentro d e su cometido el establecer cundo se necesita catar un proceso d e revisin o d e auditora, quedando determinado este aspecto la Calidad especficos d e cada

www.FreeLibros.me
W AIHW ICWU lsroVtST>C,A UNEXFOQll! PUAdlCO lin dicha n o m u d a las siguientes definiciones:

16.3.1. R evisin
Hs una evaluacin del elem ento o elementos software o estado del proyecto que investiga las discrepancias con los resultados planificados y las mecm recomendadas. Esta evaluacin sigue un proceso formal (por ejemplo, proceso de revisin de gestin, proceso de revisin tcnica, proceso de inspeccin de softw ,o proceso de walkthrough).

16.3.2. E lem en to so ftw a re

Es un producto entregablc o un documento producido durante el proceso o adquirido durante el desarrollo o mantenimiento del softw are. Algunos ejempta pueden ser: 1. Documentos de Planificacin del proyecto (por ejemplo, planes del desairfle del softw are y planes de verificacin y validacin del software). 2. Especificaciones de requerimientos y diserto del software. 3. Documentacin del esfuerzo de las pruebas. 4. Documentacin su m in istrare al cliente. 5. Cdigo fuente de los programas. 6. Representacin de las soluciones softw are impementadas en el firmware. 7. Informes (por ejemplo, revisiones, auditoras y estado del proyecto) y d*M (por ejemplo, deteccin de defectos, pruebas).

1 G.3 .3 . A u d ito r ia
Es una evaluacin independiente de los procesos, los productos software, d progreso del proyecto o el cmo se realii el trabajo, que investiga la coincidencia coa los estndares, lineas gua, especificaciones y procedimientos basados en criteri objetivos que incluyen k documentos que especifican: 1. I-a forma o contenido de k productos a producir. 2. Los procesos en los que los productos deben ser producidos. 3. Cm o debe ser medida la adherencia con los estndares o lneas gua.

t u __________________________________ CAftTVLO 1 6 : At'PTTOUlA IX. U CALIDAD > 6 5 Tambin incluimos otras definiciones segn la EEA 1.

www.FreeLibros.me

16.3.4 Concepto de evaluacin segn la E E A 1

Es el proceso de recoleccin y anlisis, de informacin, y a partir de ella presentar las recomendaciones que facilitarn la toma de decisiones, luis decisiones resultantes de esta evaluacin o valoracin pueden dar lugar a: Autorizacin para proceder con un proyecto. Aprobacin para incluir en las listas a nuevos contratistas o sumhistradores. Defensa de la aprobacin de un contratista.

16.3.5 Concepto de Auditora segn la E E A '

Es una herramienta de valoracin. Es un documento interpersonal d e examen y u isis de evidencias objetivas. A los efectos del control de la calidad, una auditora incluye vigilancia o inspeccin con el objeto de un control de calidad. Debe reconocer que slo una muestra de la informacin disponible puede ser examinada Que es importante que el tamafto d e la muestra de la auditora aporte la confunda suficiente en las recomendaciones finales.

16.4. C A R AC TER STIC A S DE LA CALIDAD SEGN ISO 9126

Antes de detallar los Procesos de Calidad, vamos a describir lo* co n ponentes de ma especificacin de calidad del softw are segn el modelo definido en la norma ISO 9126 y el modelo extendido ISO pora la Calidad del Software.

16.4.1. Caractersticas
Segn la citada norma ISO 9126. define las caractersticas de calidad como "Un ccajunto de atribuios del producto software a travs de los cuales la calidad es descrita y evaluada. Las caractersticas de calidad del software pueden ser pcecxadas a travs de sshiplcs niveles de subcaractersticas. Dicha norma define seis caractersticas: Funcionalidad: Conjunto de atributos que se refieren a la ex iJen cia d e un ccajunto de funciones y sus propiedades especificas. L as funciones son tales que ampien unos requerimientos o satisfacen unas necesidades implcitas. 'Cirit to S c 4 n m Quility AuJ Je U ERA. (Kkcuonx Enjr.wnr.f Asmucxa).

www.FreeLibros.me

Fiabilidad: Conjunto d e atributos que se refieren a la capacidad del so frw de mantener su nivel de rendim iento hajo unas condiciones especificadas duran* m perodo definido. Utabilidad: Conjunto d e atributo que se refieren al esfuerzo necesario pan usarlo, y sobre la valoracin individual de tal uso. por un conjunto de utiurio definidos o implcitos. Eficiencia: Conjunto de atributos que se refieren a las relaciones entre el nivd de rendim iento del softw are y la cantidad de recursos utilizados bajo unas condiciona predefinidas. M anienibilidad: Conjunto d e atributos que se refieren I esfuerzo necesario pan hacer modificaciones especificadas. Portabilidad: Conjunto de atributos que se refieren a la habilidad del software pora ser transferido desde un entorno a otro. l- i norma incluye un anexo en el que desglosa en un conjunto de subcaractersticas cada u iu de las caractersticas anteriormente citadas. F.ste aneio puede considerarse informativo y no como parte oficial del estndar ISO 9126. El prefijo sub nos hacc destacar un importante aspecto del modelo ISO 9126: U calidad e s modelizada en form a jerrquica. En la figura adjunta se incluye un representacin de este modelo jerrquico.

www.FreeLibros.me
16.4.2. Modelo ISO Extendido
El modelo ISO Extendido incluye al modelo ISO 9126 adicionando doce caracterstica* ms. segn ve expone en la figura adjunta.

La valoracin de esta caractersticas es til para que el usuario pueda definir los requerimientos del producto utilizando solamente las caractersticas que emplee en la prctica Para algunos tipos de productos, hay determ inadas caractersticas que no son tignificativas. y las restantes no garantizan que con ellas comprendan lodos los requerimientos de los productos, por lo que en cada caso habr que completarlas con otras definiciones ms especficas para esos productos o situaciones. N o obstante el modelo nene el nivel de abstraccin suficiente com o para que sea adaptable en la mayora de las situaciones, siendo, adems, independiente d e la enologa. Las caractersticas no pueden ver cuantificada* com o tales, y para cuantificarlas i alguna form a, usaremos los Indicadores". Para usar los indicadores, deberemos definir un "Protocolo'', d e forma que mediante dicho protocolo podamos establecer la medida de la caracterstica repetibk. Ee protocolo nos describir los posos que hay que dar para conseguir obtener esta cedida de forma tal que en las mismas situaciones obtengamos idnticos resultados.

www.FreeLibros.me
<6i AUXIOXU INIOHMTICV UXI.MOQCI HtAcnCU CIlka Los indicadores que v : describen en d modelo ISO Extendido. sirven como puno de partida, no queriendo decir que esa lista sea completa. En ella se pretendes presentar ideas para poder definir las especificaciones de calidad, siendo mey importante seleccionar los indicadores que mejor se ajusten a la situacin de nuestro proyecto o producto. El protocolo de medida tiene como objetivo el reproducir los resultados de las mediciones de los indicadores. Segn se ha indicado anteriormente, al describir k requer miemos de la calidad del softw are, se corre el peligro de una interpretacMi subjetiva del significado de calidad. Es. por tanto, de gran importancia acordar de usa forma clara cm o medir los indicadores d e forma que esta medida a reprodcele con los mismos resultados. Ejemplo': Si deseamos medir el atributo Facilidad d e a p re n d iza je , que pdeme* definir como el esfuerzo de los usuarios para aprender a manejar una aplicacin. Podramos hacer una cuantificacin fcil, si pudiramos medir de una forma objetiva un factor de Facilidad de aprendizaje d e 7 sobre 10. pero ste n o sera retr descriptivo ni til. Podemos buscar un indicador d e este atributo que estuviera presente en el producto software. Este indicador debe estar acompaado del Protocolo d e mcdxii que describa los pasos a dar para asegurar la repetitis idad d e la medida. En este ejemplo hemos tomado como indicador el tiem p o m edio d e aprendizaje, siendo el tiempo promedio que el usuario final de un determinado grupo necesata para aprender a trabajar con el producto softw are, m is el tiem po necesario d e tutelaje. El protocolo sera: 1. Seleccin de un grupo representativo de usuarios. 2. Preparacin de un curso para este grupo, diseado para este producto software, o dar a este grupo la oportunidad de auto-enseanza del producto. 3. Definicin del tiempo del curso o d e la auto-cnscfanza. ms el tiempo de tutelaje necesario para conseguir su manejo o pasar con xito un test. 4. Clculo del nmero medio de horas.

1 "Spesifyinf toftwvr quafaty HcJnA (Soft* areQulily Juuiful)

ntrndrd ISO modcf R H J Van Z*i*l 1 PRJl

www.FreeLibros.me
m w ___________________________________c a K r i lo 16 AunirrwA o f ia c a u p a d m Los valores obtenidos de las caractersticas se pueden representar en un diagrama de Kivial segn se muestra en la figura, en el que en cada radio nos mostrara el valor de una caracterstica. El valor de los indicadores depende del propsito de la especificacin de calidad, podiendo definirse diferentes valores. Es aconsejable usar una plantilla con estos alores. A continuacin se expone un pequeo ejemplo de este tipo de plantilla'. Peor: El peor lmite aceptable d e la escala, tal como un fallo total del sistema. P lanificado: Valor esperado del indicador que se considera un xito. R cord: Mximo valor terico o prctico d e un indicador, valor lmite pero no un requerimiento esperado. A ctual: Valor actual del indicador en el sistema que se est considerando a efectos de posibles comparaciones.

I"T. GtfelAddivoe-Wnky

www.FreeLibros.me
*> At IHTOtUA INTOKMTKA l'N tMOQUi PRACTICO Com o experiencia prctica del uso del modelo ISO Extendido tenemos b realizada por las compaas participante* en el proyecto QUINT (Quality in Information Technology)* cuyo primer proyecto empez en 1991. siendo su objetivo el desarrollar un modelo y una gua para las especificaciones de calidad del software, participando todas las panes involucradas en la negociacin sobre los requerimientos. FJ segundo proyecto QU IN T expandi los resultados del prim ero. En < 1 participaron seis com paas bajo la direccin de los institutos d e investigacin SERC. TN O/TPD y FPKJM.

ie.5. O B JE TIV O S DE LA S A UDITORAS DE CALIDAD

Una auditora de Calidad tiene como objetivo el mostrar la situacin real pan aportar confianza y destacar las reas que pueden afectar adversamente esa confianza. Hay varas razones para realizar una auditora: Establecer el estado de un proyecto. Verificar la capacidad de realizar o continuar un trahajo especfico. Verificar qu elementos aplicables del programa o Plan de Aseguramiento de la Calidad han sido desarrollados y documentados. Verificar la adherencia de esos elementos con d programa o Plan de Aseguramiento de la Calidad.

El propsito y la actividad de la auditoria es recoger, examinar y analizar b informacin necesaria para tomar las decisiones de aprobacin. La auditora debe tener capacidad para investigar la pericia tcnica, el desarrollo del software o la capacidad del departamento de desarrollo, el esfuerzo disponible, el soporte del mantenimiento o la efectividad de la gestin. En las auditoras debe acordarse el dirigirse a criterios especficos tales como la realizacin del cdigo software. Cuando se identifiquen los puntos dbiles, los auditores debern tomar una actitud positiva y utilizar sus conocimientos y experiencia para hacer recomendaciones constructivas. En realidad, una funcin del auditor e s pactar la idoneidad de cualquier accin correctiva propuesta. Este papel, si e s usado adecuadamente, es uno de los vnculos ms valorados entre las pones.

4"QUIVT Htl prom m >h>are-taatawil''. Kluon Boirijf\m<hppcn. D n n M . Ih e NcthTlwlv ISBN 90 26? ISO X 11992)

www.FreeLibros.me CAPfTVLO It. AUDITORA DE L< CALIDAD

16.6. PROCESOS DE CALIDAD

fJI

En el enlom o econmico actual, la caracterstica ms impenante e s la competitividad. lo que quiere decir que los precios a los que ofrezcamos nuestros productos a nuestros clientes deben ser iguales o m s bajos que los de la competencia, pero con una calidad ms alta. Para conseguirlo es necesario tener una estructura de costes adecuada y disponer de una estrategia de Calidad que afecte a todfs las reas de it entidad u organismo. Para satisfacer los requisitos de calidad es necesario conocer las Necesidades del Chente. stas vienen dadas por estos tres parmetros: Calidad de los productos y servicios. Plazo de entrega adecuado. Coste dentro de los lim ites fijados. El establecim iento de acuerdos de Nivel de Servicio y el cumplimiento de sus Kqutnimentos le dar un determinado grado de satisfaccin, que Jetaremos saber Kdsr sobre todo una vez. pasado el perodo de estabilizacin del producto entregado. lina de las principales caractersticas de los procesos de calidad es It repetitiv id*d e tos mismos. Todo proceso debe estar suficientemente definido ccmo para que puU v:r repetido consiguiendo los mismos resultados cada vez que se realice el sismo proceso. I j idea "Sigm a" est unida a la variabilidad de un proceso. Una vez alcanzada esta repetitividad de los procesos y teniendo ekm entos para ncds los atributos de los producios obtenidos, trataremos d e ir refinando el modelo del proceso para reducir los defectos entregado (definiendo defecto ccmo cualquier variacin de una caracterstica estableada que origina el incum plinicnto de las xcesidadcs del cliente con la consiguiente insatisfaccin del mismo). Como se ha indicado anteriormente, las revisiones y las auditoras pueden usarse pr actividades de aseguram iento de la calidad, gestin de proyectos, gestin de la ccaigvacin o funciones de control singulares. Segn el estndar IEEE 1028. incluimos una tabla en la que se seiValan los prcipales Procesos para conseguir Objetivos d e Calidad.

www.FreeLibros.me
XJl AMMTORU INFORMATICA UNKXKXXJHfHACIKX)_______________________ Principal* Proceso pana c onseguir O bjetivos d e C alidad

Inspecciones. Waltilirougli

Tam bin en la figura siguiente se relie; la relacin entre proceros y prodixtoi dentro de la actividad de Aseguramiento d e la Calidad.

Relacin entre Procesos S Q A con Productos y Proyectos P R O D U C TO /' Pruebas Simulaciones Pruebas formales
V

P R O Y EC TO > \

Revisn Tcnica Inspeccin Software Walkthrough Auditora

y

Revisin de Gestin

AM BOS

El examen de los aspectos tcnicos y de gestin se realiza en varias fases duran* el ciclo de vida del proyecto. E l resultado son controles para permitir mejorar les mtodos y asegurar la calidad del software y la posibilidad d e conjugar bi restricciones de tiempo y coste. La evaluacin de los elementos softw are se realizi durante la generacin de esos elementos y a su trmino. Esto asegura que 1 elementos terminados expresan correctamente las especificaciones d e su "lnea base".

www.FreeLibros.me

C A F Ia iO lt W D ITO M lltU CA U W D )

Cualquier proceso estndar licne uims condiciones como prerrequisiias: %tas son *cccsjn*s. aunque no .son suficientes en si mismas para que el proceso quede completado. Para las revisiones las auditoras las condiciones son:

P rtrrequW tos en los Procesos de Revisin t i objetivo de una Revisin de un elemento softw are ex evaluar el software o el nudo, del proyecto para identificar las discrepancias sobre los resultados planificados y recomendar mejoras cuando sea apropiado. En la figura de la pgina siguiente se reflejan los prerrequisitos del Proceso de Revisin. El objetivo de la auditora del Softw are es suministrar una evaluacin objetiva de tos productos y los procesos para corroborar la conformidad con los estndares, las lineas gua, las especificaciones y los procedim ientos. Los siguientes requerimientos oo prerrequisitos para conseguir c a e objetivo: 1. O bjetivo de la auditora, criterios existentes (por ejem plo, contratista*, requerimientos, planes, especificaciones, estndares) e n relacin con los elementos softw are y los procesos que puedan ser evaluados. 2. El personal de auditora ex seleccionado para promover los objetivos del grupo. Son independientes d e cualquier responsabilidad directa para los productos y los procesos examinados y pueden prosenir de una organizacin extema. 3. El personal de auditora debe tener la suficiente autoridad que k permita una adecuada gestin con el fin de realizar la auditora.

www.FreeLibros.me

En la figura de la pgina u guente vr incluye una descripcin esquemtica de! procedimiento a utilizar pora pUnificar, preparar y realizar cualquier proceso de revisin o de auditora, segn el estndar IIF.E 1028.

www.FreeLibros.me

16.7. EL PROCESO DE AUDITORA D EL SOFTW ARE

I. Objetivo. Segn se ha indicado es proveer la confirmacin de U conformidad de lo* producios y los proceso* para certificar la adherencia con los esundares. lneas fsa. especificaciones y procedimiento*.

www.FreeLibros.me
At/MTORlA INFOKMTKA UN llVKXHI mCIlCO 2. Resumen. 1j auditora es realizada le acuerdo coa los planes > procedimiento* documentados. E l plan de auditora establece un procedimiento para dirigir la auditora y para la acciones, de seguimiento sobre las rccumendactoaes de la auditora. Al realizar la auditora, el personal de la auditora evala tos elementos software y los procesos para contrastarlos con los objetivos y criterios de la auditora, tale* como contratos, requerimientos, planes, especificaciones o procedimientos, lneas j* u y estndares. Los resultados de la auditora son documentados y remitidos al director de b organizacin auditada, a la entidad iniciadora d e la auditora, y a cualquier organizacin extem a identificada en el plan de auditora. El informe incluye una b ta de elementos no conformes u otros aspectos pora las posteriores revisiones y acciones Cuando sea estipulado en el plan d e auditora, las recomendaciones son informad e incluidas e n los resultados d e la auditora. 3. Responsabilidades especiales. Es responsabilidad del lder del equipo de auditora el organizar y dirigir la auditora y la coordinacin d e la preparacin de tos puntos del informe de auditora. El lder del equipo deber asegurar que el equipo de auditora e sti preparado para llevar sta, y que los procedimientos y lo* distintos puntos son realizados y reflejados en los informes de acuerdo con su alcance. 1.a entidad iniciadora de la auditora es responsable pora autorizar sta. La direccin de la organizacin auditora asume la responsabilidad d e la auditora, y la asignacin de k>* recursos necesarios para realizar dicha auditora. Aquellos cuyo productos y procesos son auditados suministrarn todos los materiales y recursos relevantes y corregirn o resolvern las deficiencias citadas pe* el equipo de auditora. 4. Entrada. Se requieren las siguientes entradas para realizar la auditora: 1. El propsito y alcance de la auditora. 2. Criterios objetivos Je la auditora, tales com o contratos, requertmenlas, planes, especificaciones, procedim ientos, lneas gua y estndares. 3. Los elementos software y tos procesos a auditar y cualquier anteccdenlc pertinente. 4. Informacin complementaria respecto a la organizacin responsable de kn productos y los procesos a auditar (por ejemplo, organigramas de la organizacin). 5. Criterio de comienzo. La necesidad para que una auditora se inicie debe ser por uno de tos siguientes sucesos:

www.FreeLibros.me CAPTULO 16 AliDTTORtA PC LACAUDA

W T

1. Se ha alcanzado un hito especial del proyecto La auditora e s iniciada por planes previo (por ejemplo, el plan de aseguram iento de calidad, el plan de desarrollo del software). 2. Panes externas (por ejemplo, agencias reguladores o usuarios finales) demandando una auditora en una fecha especfica o en un hilo del proyecto. sta puede ser por la realizacin d e un requerimiento de un contrato o como prerrequisto a un acuerdo contractual. 3. Un elemento de la organizacin local (por ejemplo, el director del proyecto, la direccin funcional, ingeniera de sistemas, aseguram iento o control interno de la calidad) ha requerido la auditora estableciendo una necesidad clara y especfica. 4. Un hito especial del proyecto, fecha d e calendario, u otro criterio ha sido alcanzado y dentro de la planificacin de la organizacin de auditora le corresponde la iniciacin de una auditora. 6. P roctdim itnM s: 6.1. Planificacin. La organizacin de auditora debe desarrollar y documentar en plan de auditora para cada auditora. Este plan deber apoyarse en e l alcance de la Mfctora identificando lo siguiente: El proceso del proyecto a examinar (suministrado como entrada) y el tiempo d e observacin del equipo de auditora. Lo* requerimientos del softw are a examinar (suministrado como entrada) y su disponibilidad. Cuando se usa el muestreo. debe utilizarse una metodolo ga estadstica vlida al respecto pora establecer los criterios d e seleccin y el tamaAo de la muestra. 3. Los informes sern identificados (informes de resultado, y opcional mente el informe de recomendaciones y definido su formato general). Si la* reco mendaciones son requeridas o excluidas, debe ser indicado explcitamente. 4. Distribucin de informes. 5. Requerim ientos d e las actividades de seguimiento. 6. Requerimientos: actividades Recesaras, elementos y procedim ientos para cubrir el alcance de la auditora. 7. Objetivos y criterios de auditora: proveen las bases para determinar las coincidencias (suministradas como entrada). 8. Procedim ientos de auditora y lisias de comprobacin. 9. Personal de auditora: nmero requerido, perfiles, experiencia y respon sabilidades. 10. Organizaciones involucradas en la auditora (por ejemplo, la organizacin cuyos productos y procesos estn siendo auditados). 11. Fecha, hora, higar. agenda y la audiencia a quien se dirige la sesin de introduccin (opcional). 2. 1.

www.FreeLibros.me
El lder del equipa le auditora au g u ra r que su equipo est preparado e incluye los miembros con la experiencia y pericia necesaria.

1 _a notificacin de la auditora a las organizaciones involucradas debe rca con una anterioridad razonable, excepto en el caso de las auditoras no anunciadas La notificacin deber ser hecha por escrito y deber incluir el alcance la idcntifkaota d e los procesos y productos a auditar, asi com o la identificacin de los auditores. 6.2. Introduccin. Opcionalm ente es recomendable hacer una reunita introduclora con la organizacin a auditar en el momento del arranque para cxaaniftx las fases de la auditora. La reunin de introduccin encabezada por el lder dd equipo de auditora, abordar lo siguiente: 1. Introduccin sobre los acuerdo existentes (por ejemplo, alcance de U auditora, planificacin, contratos afectados). 2. Introduccin de la produccin y procesos a ser auditados. 3 Introduccin del proceso de auditora, su objetivos y sus salida. 4. Contribuciones esperadas de la organizacin auditada al proceso de audrtor (nmero de persona a entrevistar, facilidades para reuniones, etc.). 5. Planificacin especifica d e la auditora. 6.3. P rep arac i n . Los siguiente puntos son requeridos pura la preparacin dd equipo de auditora: 1. Entender la organizacin: e esencial para identificar las funcione y Ui actividades realizadas por la organizacin auditada, a s como para identifioe la responsabilidades funcionales. 2. Entender los productos y los procesos: e s prerrequisito para el equipo de auditora conocer los proceso y los productos a auditar mediante lecturas c informe. 3. Entender los objetivos y criterios de la auditora: es importante que el equip de auditora est familiarizado con e l objetivo d e la auditora y los criterios usados en ella. 4. Picpw scta paia el infueme de auditoria: e s impunarae seleccionar d mecanismo administrativo de informacin que ser usado durante la auditora para ir confeccionando el informe siguiendo el diseo determinado en el pUr de auditora. 5. Detalle del plan de auditora: seleccionar el mtodo apropiado para cada paso en el programa de auditora. Adicional mente el lder del equipo d e auditora deber hacer los preparamos necesarios para:

www.FreeLibros.me

ca OTv l u i auihtoh U w . i a

CALIDAD 1 > V

1. Orientar a su equipo y formarlo si es necesario. 2. Preparar lo necesario para las entrevistas d e la auditora. 3. (reparar los materiales, documentos y herramientas necesarias segn los procedimientos de auditora. 4. identificar los elementos software a auditar (por ejemplo, documentos, archivos informticos, personal a entrevistar). 5. Planificar las entrevistas. 6.4. E xam en. Los elem entos que han sido seleccionados para auditarse debern valorados en relacin con el objetivo y criterios d e la auditora. Las evidencias debern ser examinadas con la profundidad necesaria para determinar si esos elementos cumplen con los criterios especificados. l a auditora ser la adecuada para conseguir: 1. 2. 5. 4. Revivar los procedim ientos e instrucciones. Examinar la estructura de descomposicin de los trabajos. Examinar las evidencias de la implantacin y lo equilibrado del control. Entrevistar al personal para averiguar el estado y el funcionamiento d e los procesos y el estado de los productos. 5. Examinar cada documento. 6. Comprobar cada elemento.

6.5. Inform es. A continuacin del examen d e auditora, el equipo auditor deber cutir un borrador del informe de auditora a la organizacin auditada pora su revisin y comentarios. El equipo auditor podr rehacer el informe de auditora ames de que se tenga el multado formal del informe. Estas adaptaciones se harn de acuerdo con la revisin del borrador del informe y resolvern cualquier mal entendido o ambigedad mientras k mantiene la objetividad y exactitud. Esto tambin sirve para asegurar la fcil utilizacin del informe dndole consistencia en los detalles c incluyendo cualquier xva informacin verificada. 1.a prctica rccontendada es involucrar a los Kprtseniantes de la organizacin auditada en la revisin de los resultados de la loria. Involucrando a la organizacin auditada se contribuye a mejorar la calidad del iefotrae mediante la interaccin y la posible aportacin de cualquier evidencia dkwoal. El grupo de auditora organizar una conferencia posterior a la auditora para to iu r con los tcnicos de la organizacin auditada las deficiencias, fallos y (si es ipbcabie) las recomendaciones. Los comentarios y los puntos abordados por la organizacin auditada, debern ser resueltos.

www.FreeLibros.me
W) AIDCTOHU INHWMTK'A: tN KVPOQtT. PKACTKXI hi informe final de la auditoria debe ser preparado, aprobtdo y distribuido pcc d lder del equipo de auditora a las organizaciones especificadas en el plan d e auditori* 6.6. C rite rio d e term in aci n . Una auditora debe -ser considerada temutali cuando: 1. 2. 3. 4. Se ha examinado cada elemento dentro del alcance de la auditora. Ix>s resultados han sido presentados a la organizacin auditada. La respuesta al borrador de los resultad ha sido recibda y evaluada. El resultado final ha sido formalmente presentado a la organizacin audiiadiy a la entidad iniciadora. 5. F.l informe final ha sido preparado y enviado a los receptores designados d plan de auditora. 6. El informe de recomendaciones, xi el plan lo requiere, ha sido preparai) y enviado a los receptores designados en el plan de auditora. 7. Se han realizado todas las acciones de seguimiento incluidas en el alcance de la auditora (o en el contrato). 6.7. Salidas. Com o un marco estndar para los informes, el informe borrador de auditora y el informe final d e auditora, debern contener como mnimo, lo siguiente: 1. Identificacin d t la auditora. T tulo del informe, organizacin auditada, organizacin auditiva y fecha d e la auditora. 2. Alcance. Alcance de la auditora, incluyendo U enumeracin de ka estndares, especificaciones, prcticas y proccdimieitos que constituyen a objetivo y el criterio contra el cual ser dirigida la auditora de los elemento softw are y de los procesos a auditar. 3. Conclusiones. Un resumen e interpretacin de los resultados de la auditori! incluyendo los puntos clave d e los aspectos no confom es. 4. Sinopsis. Un listado de to dos los elementos software auditados, los procesos y los elem entos asociados. 5. Seguimiento. El tipo y el cronograma de las actividad:* de seguimiento de b auditora. Adicionalm ente, cuando lo estipule el plan d e audilori. las recomendaciones debern enviarse a la organizacin auditada o a la entidad que inicie la auditora, l.as recomendaciones irn en un informe separado de lo* resultado. 6.8 A u d ib ili d a d . L os materiales que documentan el proceso de auditora deben ser mantenidos por la organizacin auditor durante un perodo estipulado despus de la auditora c incluyendo lo siguiente:

www.FreeLibros.me CAffTVIjO 16. AllOtTOftlA DCLACAUPAD Ml

2. 3. 4. 5 6. 7. 1. Todos los programas de trabajo. listas d e comprobacin, ele. con todos mis comentarios. El equipo de tcnicos. Com entnos de las entrevistas as como d e las observaciones. Evidencias de prueba* de conformidad. Copias de los elem entos examinados con sus comntanos. Informes borradores con las respuestas d e la organizacin auditada. Memorndum del seguimiento si es necesario.

16.8. AUDITORA DE SISTEM AS DE CALIDAD DE SO FTW AR E

Kl propsito de la auditora de un Sistema de Calidad, o un programa de evaluacin le la calidad, es suministrar una valoracin independiente sobre la conformidad de un H an de Aseguramiento d e la Calidad del Software. Especficamente el objetivo e s determinar, basndose en ev idencias observables y verificables. que: 1. La documentacin del programa de calidad del softw are establecida por la organizacin de desarrollo recoge como mnimo los elementos bsicos del estndar ANS1/1EEE 730 u otro estndar apropiado. 2. La organizacin de desarrollo del softw are sigue el programa de calidad de software por ellos documentado. El Plan de Aseguramiento de la Calidad del Software debe incorporar lodos los objetivos y los criterios de actuacin organizativos: estndares internos y procedimientos; procesos requerid por la legislacin, contratos u Mras polticas; conformidad con el estndar ANS1/1EEE 730 u otro estndar apropiado para el aseguramiento de la calidad del software.

16.9. PROCESO DE ASEGURAM IEN TO DE LA CALIDAD DESCRITO POR ISO 12207

Para realizar cualquier proceso d e auditora, e s im prescindible conocer la actividad que se va auditar, por tanto, n o debe extraar al lector que vayamos Kcreliando descripciones de los procesos de calidad y los de desarrollo a lo largo del texto, en este caso k> que al respecto describe la norma ISO 12207. La nonna ISO/IEC 12207 "Information icchnotogy - Software life eyele processe*" 1995. no podrame dejar de citarla en este captulo, y a que es una portante norma para el proceso de desarrollo del softw are y para los procesos de calidad

www.FreeLibros.me
m AlDUOUlA INKMtMXTKA: UNESTOQUE WACTKO

En la figura anterior se muestra la estructura de dicha n o rn a en la que vemos los Proces* Primario del Ciclo de Vida, los de Soporte y los Organizativos. E l nmero que figura antes de cada proceso corresponde al apartado donde se describe el mismo e n la norma. De ella vamos a describir dos de los procesos ms relacionado* con nuestro tema, como son el Proceso de Aseguramiento d e la Calidad y el Proceso de Auditora, que consideramos que contribuyen a completar una perspectiva ms amplia del tema que nos ocupa. El apartado 6.3 relativo a los Procesos de Aseguramiento de la Calidad dice: l/y s Procesos de Aseguramiento d e la Calidad .sirven para suministrar la seguridad de que durante el ciclo de vida del proyecto los productos y los procesos estn de acuerdo con los requerimientos especificados y se adhieren a los planes establecidos. Al ser imparcial, el aseguramiento d e la calidad necesita tener libeitad organizativa y autoridad de las personas directamente responsables del desarrollo de los productos softw are o los que realizan los procesos en el proyecto. B aseguram iento d e la calidad puede ser interno o externo. Ccpendiendo de si la evidencia de la calidad de los productos o los procesos se va a demostrar a la direccin del suministrador o al cliente. El aseguram iento de la calidad puede hacer uso de los resultados de otros procesos d e Soporte, tales como Verificacin. Validacin. Revisiones Conjuntas. Auditoras y Resolucin de Problemas. Este proceso de aseguram iento d e la calidad se compone de las cuatro actividades que describimos a continuacin:

www.FreeLibros.me
b M'mrOKlA DE IA CM.I1>M> W .>

16.9.1. Implementacin del proceso

Esta actividad tiene I siguiente* tafea*: El proceso de aseguramiento de ln calidad debe establecerse adaptado al proyecto. Los objetivo de este proceso d e aseguram iento de la calidad sern asegurar que los productos software y los procesos utilizados para conseguir esto* producto softw are cumplen con lo requerimiento* establecido y se adaptan a los planes previstos. Los procesos de aseguram iento d e la calidad deben ser coordinados con los procesos indicados tic Verificacin. Validacin. Revisin Conjunta y Auditoria. El plan para dirigir lo* procesos, actividades y tarea* de aseguram iento de la calidad debe ser desarrollado, documentado, implemcntado y mantenido durante el tiempo de duracin del contrato. Este plan deber incluir lo siguiente: a) Estndares de calidad, metodologas, procedim ientos, y herramientas para realizar las actividades de aseguram iento de la calidad (o sus referencias a la documentacin oficial de la organizacin). b) Procedim iento para la revisin y coordinacin del contrato. c> Procedim ientos para identificar, recoger, cumplimentar, mantener y acceder a lo registros de calidad. d) Recursos, planes, y responsabilidades para dirigir las actividades de aseguram iento de calidad. e) Determinada* actividades y tareas de los procesos de soporte, tales como Verificacin. Validacin. Revisiones Conjuntas. Auditorias y Resolucin de Problemas. 1j s actividades y larcas planificadas de aseguram iento de la calidad deben realizarse. Cuando son detectados problem as o no conformidades con los requer miento* contractual, deben *cr documentados y ser* ir de enerada al Proceso de Resolucin de Problemas. Deben prepararse y mantenerse los registros de estas actividades y larcas, su realizacin, los problem as y su resolucin. Los registros de las actividades y u rea s de aseguramiento de la calidad deben estar disponibles al cliente as como especificado en el contrato. * Deber cerciorarse de que las personas responsables de asegurar la concordancia con los requerimientos del contrato tienen la libertad

www.FreeLibros.me
4 AtpfTiXIA INKMtMTlCA lN F.MOQtJfc mACTICO organizativa, los recursos y la autoridad para permitir evaluaciones objetvate iniciar, efectuar, resolver y verificar la resolucin de problemas.

16.9.2. Aseguramiento del producto

Esta actividad tiene las siguientes tarcas: Deber asegurar que aquellos planes requeridos por el contrato Un documentados, cumplen con el contrato, son mutuamente consistentes, y eslia siendo ejecutados com o se requiere. Deber asegurar que aquellos productos softw are y su documentacin cumplen con el contrato y estn d e acuerdo con los planes. En la preparacin para el i ministro de los productos software, deber* asegurarse de que satisfacen completamente los requerimientos contractuales y son aceptables para el diente.

16.9.3. Aseguramiento del proceso

Esta actividad tiene las siguientes tareas: Deber asegurar los procesos del ciclo de vida del softw are (suministro, desarrollo, operacin, mantenimientos y opone, incluyendo el aseguramiento de la calidad) em pleados para que el proyecto est de acuerdo con el contrato y se ajuste a los planes. Deber asegurar que las prcticas intentas d e ingeniera de softw are, entorno de desarrollo y libreras estn d e acuerdo con el contrato. Deber asegurar que los requerimientos aplicables del contrato principal sen pasados al subcontratista. y que los productos softw are del subcontratisu satisfacen los requerimientos del contrato principal. Deber asegurar que al cliente y a las otras parte se le aporta el soporte y la cooperacin requeridos de acuerdo con el contrato, las negociaciones y los planes. D eber asegurar que los productos software y los procesos medidos estn de acuerdo con los estndares y procedim ientos establecidos.

www.FreeLibros.me

CaHTMjO 16: AUDITORIA Dt LACAUDA!) M

D eber asegurar que el personal tcnico asignado tiene el perfil y los conocimientos necesarios para conseguir cumplir los requerimientos del proyecto y que recibe la formacin que pudiera necesitar.

16.9.4. Aseguramiento de la calidad de los sistemas

Esta actividad tiene la siguiente tarea: Las actividades adicionales d e gestin d e calidad debern asegurar su concordancia con la clusula de ISO 9001 segn especifique el contrato.

16.10. PROCESO DE AUDITORA D ESC RITO POR ISO 12207

El proceso de auditada sirve pora determinar la adherencia con los reque rimientos. lo s planes y el contrato cuando e s apropiado. Este proceso puede ser trapicado por cualquiera de las dos partes, donde una de ellas (parte auditora) audita los productos softw are o lav actividades de la otra parte (parte auditada). Etfc proceso se compone de dos actividades:

16.10.1.

Implementacin del proceso

Etfa actividad tiene las siguientes tareas: Las auditoras deben realizarse en determinados hitos, segn lo especificado en los planes del proyecto. El personal auditor no debe tener ninguna responsabilidad directa en los productos softw are ni en las actividades que auditan.

Todos los recursos requeridos para llevar la auditora deben ser pactados por las partes, stos incluyen personal d e soporte, locales, hardware, software, herramientas y elementos complementarios. Las partes debern ponerse d e acuerdo en cada auditora sobre: agenda: productos software (y resultados de las actividades) a revisar, alcance d e la auditora y procedim ientos; y criterios de comienzo y de terminacin de la auditora. Los problemas detectados durante la auditora deben ser registrados y tratados en el Proceso de Resolucin de Problemas.

www.FreeLibros.me
M'DHOOlA INFORMATICA: l~S fcNTOQlT PKAfTKX___________________________ t m Despus de completar la auditora, los resultado de sta deben set docum enudos y entregados a la parte auditada, quien deber acusar recibo a U parte auditora de cualquier problema detectado en la auditora y en la resolucin de problem as planificada. * Las partes debern p onerte de acuerdo sobre los resultados de la auditor y sobre cualquier punto de accin, responsabilidades y criterios d e ciee.

16.10.2.

Auditora

lista actividad tiene la siguiente u rea: 1.a auditora deber ser dirigida para asegurar que: a) l.o \ productos softw are codificados ( u l como un elem erto softw are) reflejara lo disertado en la documentacin. b) 1-Os requerimientos de la revisin ele aceptacin y de prjeba* prescritos por la documentacin son adecuados pora la aceptacin de los productos software. c ) Los datos d e prueba cumplen con la especificacin. d> Los productos softw are fueron sucesivamente probados y alcanzaron sta especificaciones. e ) Los informes de pruebas son correctos y las discrepancias entre los re su lu fo conseguidos y lo esperado han sido resueltas. 0 l-a documentacin del usuario cumple con los estndares tal como se tu especificado.

g) Las actividades han sid o llevadas de acuerdo con los requerimientos aplicables, los planes y el contrato. h) El coste y el cronograma se ajustan a los planes establecidos.

16.11. CON CLUSION ES

liem os pretendido hacer una semblanza d e los aspectos que consideramos ms importantes para hacer una Auditora de Calidad, tratando de soportarlos en diversos estndares y norm as que en la mayora de los casos hemos insertado traducindolos directamente de las mismas para no adulterarlos con una posiMe subjetividad. Con

www.FreeLibros.me

CMmiX ) Ifc AtPtKMtlA I. LACAUDA!) un

esto convide ramo* que nos puede permitir tener una visin inv amplia a travs le los distintos enfoque* que ilan d ic h normas sobre las Auditoras de Calidad. Aunque somos conscientes de que el abordar una auditora slo con este bagaje no es suficiente. Un buen auditor en Tecnologas de la Informacin necesita tener una pila experiencia en las distintas funcione de dicha actividad, estar muy al da en las distintas metodologas, procesos y herramientas que se emplean, d e forma que le sea fcil detectar los defectos en los planes, en los productos y en los procesos, as como esur capacitado para poder proponer recomendaciones. Reconocemos que no e s una tarea fcil, pero precisamente por e llo es altamente gratificante el alcanzar un xito que satisfaga los intereses, en muchas ocasiones contrapuesto*, de las partes involucradas, consiguiendo de la entidad auditada el reconocimiento de la profesionalidad del auditor al conseguir detectar los problemas existentes y proponer soluciones, y de la p an e que promovi la auditora el conseguir que se pueda conocer e n dnde residan los problemas que no permitan alcanzar los objetivos deseables. Pero debemos recordar que esta actividad n o e s un arte, vino una tcnica, y como tal debe seguirse un orden y un mtodo en el que nada se da por supuesto si n o existe una evidencia objetiva que lo acredita. En ese conjunto de evidencias se apoyaran nuestras conclusiones, y de nuestra experiencia y b u n v h m - saldrn las recomendaciones a proponer.

16.12. L EC TU R A S RECOM ENDADAS

Cohn. L. Inspeciion Moderaiors llandbook. Corporation. 1991. Maynard. M . A: Digital Equipment

Freedman D. P. y W cinberg G . M. H andbooi o f W atkihrougtu. Intpccrion i. and Ttchnical Revicn't. 1990. ttlE 1028 "Standard for Software Rcviews and Audits.

16.13. C UES TIO N ES DE REPASO

I. 2. Elabore su propia definicin d e "calidad". Qu caractersticas de la calidad define la norma ISO 9126?

www.FreeLibros.me
** .\H>ITORlA INtORMATK'A I M M m jlll IKCTKO Objetivos de las auditorias de la calidad. Qu prerrequisitos se exigen a los tcn revisin? Resuma las principales fases del proceso de auditora software. Cmo se incluyen los procesos de auditoria en la iKma ISQ/IKC 12207? Diferencias entre aseguram iento del producto y ascguiamicnto del proceso. Elementos a incluir en un plan para el aseguram iento de la calidad. Qu conocimientos se requieren para poder llevar a cabo con xito una auditoria de la calidad? 10. Cm o explicara a un director de informtica las sentabas de llevar a cabo una auditora de la calidad?

www.FreeLibros.me

CAPTULO 17

AUDITORA DE LA SEGURIDAD
M iguel ngel Hamos Gonzlez

17.1. INTRODUCCIN
Para muchos la segundad sigue siendo el rea principal a auditar, hasta el pumo de que en algunas entidades se cre nicialm entc la funcin d e auditoria informtica p in revisar la segundad, aunque devpos se hayan ido ampliando los objetivos. Ya sabemos que puede haber seguridad sin auditoria, puede existir auditoria de ras reas, y queda un espacio de encuentro: la auditoria de la seguridad (figura I7 J). y cuya rea puede ser mayor o menor segn la entidad y el momento.

Figura 17.1. Encuentro entre seg u rid a d ) auditoria Lo cierto es que cada da es mayor la im p o rta n cia d e la inform acin, especialmeate relacionada con sistemas basados en el uso de tecnologas de la informacin y rooBOcacioncs. por lo que el impacto d e los fallos, la accesos n o autonzados. la

www.FreeLibros.me
m Aim in m u FSHUIMATKA UN hNWQt'F. PUAtUTO
revelacin de la informacin, y oirs incidencias. tienen un impacto mocho mayor que hace unos artos: de ah la necesidad de protecciones adecuadas que se evaluarn o recomendarn en la auditora de seguridad. (Tambin es cierto que en muctios casos tan necesario o ms que la proteccin de la informacin puede ser que las inversiones en sistema y tecnologas de b informacin estn alineadas con las estrategias de la entidad, huyendo del enfoque de la tecnologa por la tecnologa .1

I j s rea* que puede abarcar la Auditoria Informtica las recoga el autor de es capitulo en su tesis doctoral en 1990, y en lneas generales vienen a coincidir coa Ib expuestas en esta obra. En realidad, debemos ir hablando m de A u d ito ra en Sistemas de Inform acin que slo de Auditoria Informtica, y n o se tra(a de un juego de palabra sino de una actualizacin acorde con e l nuevo enfoque y las reas que llega a cubrir, y lejos ya de la denominacin e n ingls que seguim os viendo en muebos libros y artculos actuales -algunos citados en la bibliografa EDP Audit. auditora en proceso electrnico de dalos (Electronic Data Processing). La nueva denominacin abarca globalmenie los sistemas de informacin: desde b planificacin, el alineamiento con las estrategias de las entidades, hasta los sistemas de informacin y el aprovechamiento de las tecnologas de la informacin aporun ventajas competitivas a la entidad, la gestin de los recursos, c incluso la medida Je b rentabilidad de todo ello, que e s quiz el nico ponto que personalmente teta cuando se nos sugiere a la hora de establecer objetivos de la auditora. Algunas entidades tienen detallados sus costes en la contabilidad analtica, pero cmo cuantificar en algunas semanas las ventajas y los beneficios -algunos intangibles y difcilmente cuantificables- si la propia entidad no ha podido hacerlo en (oda su existencia? Com o se indica en la figura 17.2. adaptada de la obra d e Emilio del Peso y el propio Miguel A. Ramos Confulencialidad y Seguridad de la Informacin: L l.ORTAH y %ut aplicaciones socioeconmicas, la a u d ito ra viene a se r el c ontrol del c ontrol. (Recordemos que LORTAD significa Ley Orgnica de Regulacin del Tratamiento Automatizado d e Datos d e carcter personal.) V olviendo a la seguridad, aunque solemos oir varias expresiones como segundad informtica, seguridad de los sistemas y tecnologas de la informacin, seguridad -o p roteccin- de la inform aci n , puestos a elegir, y sin llegar a descartar ninguna, nos quedaramos con la ltima, ya que los datos y la informacin son los activos ms estratgicos y valiosos relacionados con los sistemas y d uso de las tecnologas de li informacin.

www.FreeLibros.me

F ig u r a 1 7 .2 .A u d it o r a c o m o c o n t r o ld e lc o n t r o l
La expresin seguridad informtica, que e s la ms usada, puede llegar a relacionarse, slo con 1 equipos y los entornos tcnicos, como si la informacin en rm soporte* y ambientes no requiriera proteccin, cuando so* las propias operaciones de la entidad, el negocio en entidades con nim o d e lucro, b que requiere proteccin. Si no existen suficientes y adecuadas medidas de proteccin se puede perder in formacin vital, o al menos no estar disponible en el momento requeride (pensemos en |rrficos de pacientes muy graves o en control de vuelos), las decisiones tomad* |eden ser errneas, o se pueden incumplir contratos e incluso la propia legislacin, lo <fx puede traducirse en grandes multas en el caso de infracciones gravrs. o lo que es tin peor la inmovilizacin de los archivos prevista en la LORTAD. Debe evaluar* en la auditora si los m odelos d e seg u rid ad estn n consonancia cea las nuevas arquitecturas, las distintas plataformas y las posibiidade* de las cwwanicaciones. porque no se puede auditar con conceptos, tcnicas o recomen daciones de hace algunos arios (que en realidad no son tantos). F.n cuanto a Ij Justificacin d e la a u d ito ra, que no parece necesaia en una obra de este tipo, slo decir que tanto la normativa com o la auditora son tecesanas: una Minora no basada en polticas de la entidad auditada (adems de Us normas pora alizar la auditora) sera subjetiva y hasta peligrosa (aunque en sistemas de formacin es una situacin habitual, que no normal); y la existencia de normativa sin auditora podra equivaler a la no-existencia de la Guardia Civil de Trfico, lo que bcrcmcntara los accidentes e ira conviniendo la circulacin en catica y peligrosa.

www.FreeLibros.me
w; AMXfOXIA ISKMtMATIC'A liX KVKXH l; WtM-TKO La realidad e s que no se conocen dolos completos y fiables sobre el nivel de proteccin de las entidades en Espaa respecto a sistemas d e informacin y vendr bien algunas estadsticas En definitiva, como deca un cliente: N o pasan ms cosas porque Dios a bueno", y podemos aadir, que no conocemos la mayor parte de las que pasan, pxij ya se ocupan las entidades afectadas de que no se difundan. Volviendo al c ontro l, los grandes grupos de controles son los siguientes, adeab de poderlos dividir en manuales y automticos, o en generales y d e aplicacin: Controles directiv o s, que son los que establecen las bases, com o las poltica o la creacin de comits relacionados o de funcione: d e administracin de seguridad o auditora de sistemas de informacin interna. Controles preventivos, antes del hecho, como la identificacin de utu (seguridad fsica) o las contrasellas (seguridad lgica). Controles d e deteccin, como determinadas revisiones de accesos producid o la deteccin de incendios. Controles correctiv o s, pora rectificar errores, negligencias o accuxa intencionadas, com o la recuperacin de un archivo daado a partir de ua copia. Controles de recu p eraci n, que facilitan la vuelta a la normalidad despe* de accidentes o contingencias, como puede ser un plan de continuidad adecuidx

Podemos hablar de O bjetivos d e C o n tro l respecto a la seguridad, que vienen ser declaraciones sobre el resultado final deseado o propsito a ser alcanzado mediae las protecciones y los procedimientos d e control, objetivos com o los recogidos b publicacin C O B IT (Control Objectives for nformation and Related Technologic) A ISACA (Information System s Audit and Control Association/Foundation). Cada entidad ha de definir sus propios objetivos de control, en cuanto a seguriid y otras reas, y crear y mantener un Sistema de Control Interno (funciones, procese* actividades, dispositivos...) que puedan garantizar que se cumplen los objetivos de control. I x auditores somos, en cierto modo, los o jo s y od o s" d e la Direccin, qoc i menudo no puede, o n o debe, o no sabe, cm o realizar las verificaciones o evaluaciones. (En cuanto a tos ojos ligue existiendo en algunos sectores la fip n clsica del veedor.)

www.FreeLibros.me
capitulo i r. mixtoIa pfcla niGt'iunad m En los informe* se recomendar la implantacin o refuerzo de controles, y en ocasiones inclino que *e considere la supresin de algn control, si resilla redundante o ya *o es necesario. hl sistem a de c on trol in te rn o ha de basarse en las polticas, y s: implanta con po)o de herramienta, si bien encontram os a menudo en las auditorias que lo que tinie es ms bien la implantacin parcial de controles de acceso l g e o a travs de piquetes o sistemas basada en el criterio d e los tcnicos, pero no sustentada en aonnativa. o bien habiendo partido sta de los propios tcnicos, sin aprobaciones de ro nivel. La realidad e s que el control interno no e sti generalizado en Espaa fuera de los prevesos que implican gastos, y especialmente pagos, pero existen otros riesgos u n aportantes o ms que las prdidas monetarias directas, relacionados con la gestin adercada de los recursos informticos o con la propia proteccin de h informacin, que podran suponer responsabilidades y prdidas muy importantes p a n la entidad. Cuando existe un sistema de control interno adecuado, los procesos de auditora, especialmente si son peridicos, son revisiones necesarias pero mv rpidas, con formes ms breves; si el sistema d e control interno es dbil, la auditera llevar ms tiempo y esfuerzo, su coste ser mayor, y las garantas de que se pongan en marcha las recomendaciones son mucho menores; e n ocasiones la situacin dista u n to de la ideal como la del paciente que se somete a un chequeo despus de varios aoi sin control. Finalmente, querem os indicar que por la lgica lim itacin de espacio no ha sido ponble detallar ins los puntos, ni incluir listas, que en todo cato sin evtar referidas a u g n entorno y sector concreto y. por tanto, sin tener pesos, pueden dar resultados dudosos si quien las usa no sabe adaptarlas e interpretar sus resultados.

17.2. REAS QUE PUEDE CUBRIR LA AUD ITORA DE LA SEGURIDAD

Se incluyen las que con carcter general pueden formar parte de Im objetivos de uta revisin de la seguridad, si bien sta puede abarcar slo parte de e la s si as se ha determinado de antemano. En una auditora de otros aspectos - y . por tanto, en otros captulos de evta misma otra- pueden tambin surgir revisiones solapadas con la seguridad: a*i. a la hora de retur los desarrollos, normalmente se ver si se realizan en un enlomo seguro y protegido, y lo mismo a la hora d e revisar la explotacin, o el rea de tcnica de miemas. las redes. la informtica de usuario final, las bases de datos., y en general cualquier rea, salvo que expresam ente se quiera pasar por alto ti seguridad y

www.FreeLibros.me
U CXTOSIA IMmtMVnCA: UX m ACUCO c on ce n tra re en M rm aspecto* com o pueden ser U gestin. costes, nivel de vemen, cumplimiento de procedimiento* generales, calidad, o cualquier otro. Volviendo a la rea*, las que te citan pueden ser objeto de la auditora de seguridad, si bien en cada caso se habrn fijado lo objetivos que m is intereses, no considerando o por lo menos n o con el mismo nfasis otros, si bien debiendo quedar claro y por escrito cules son eso* objetivos, tanto cuando se trate d e una audrtori interna como ex tem a, e n cuyo caso puede mediar un contrato o al menos c u propuesta y carta de aceptacin. La re a s generales citadas, algunas d e las cuales se amplfan despus, son: Lo que hemos denominado controle directivo, es decir, los fundamentos de la segundad: polticas, planes, funciones, existencia y funcionamiento de algn comit relacionado, objetivos de control, presupuesto, as como que existen sistema y mtodos de evaluacin peridica de riesgos. F.l desarrollo de las polticas: procedimientos, posibles estndares, norma y guas, sin ser suficiente que existan estas ltimas. Q ue pora los grupos anteriores se ha considerado el marco jurdico apIxaNe. aspecto tratado en otros captulos de esta obra, as com o las regulaciones o loi requerimientos aplicables a cada entidad: del Banco de Esparta en el caso de las entidades financieras, del sector del seguro, los de la Comunidad Autnoma correspondiente, tal vez d e mi Ayuntamiento, o de la casa raitru las multinacionales o que formen paite d e un grupo. O tro aspecto es d cumplimiento de lo* contrato*. Amenazas fsicas extema: inundaciones, incendios, explosiones, corte de lneas o d e suministros, terremotos, terrorismo, huelgas... Control de accesos adecuado, tanto fsicos com o los denominados lgico, para que cada UMiaro pueda acceder a los recurso* a que est autorizado y realizar slo las funciones permitidas: lectura, variacin, ejecucin, borrado, copia... y quedando las pistas necesarias para control y auditora, tacto de accesos producidos al menos a lo recurso* ms crticos com o los intento en determinado* casos. Proteccin de datos: lo que fije la LOPD en cuanto a los datos d e carcter personal bajo tratamiento automatizado, y otro* controles en cuanto a los dabx en general. *egn la clasificacin que exista. la designacin de propietarios y los nesgos a que estn sometidos.

www.FreeLibros.me
CAHUH OIT AflHTORUllfe LA SMitRIDAD *S Comunicaciones y redes: topologa y tipo de comunicaciones, posible uso de cifrado, protecciones ante virus, stas tambin en sistemas aislados aunque el impacto ser menor que en una red F.l entorno de Produccin, entendiendo com o tal Explotacin ms Tcnica de Sistemas, y con especial nfasis en el cumplimiento de contrato en lo que se refiera a protecciones, tanto respecto a terceros cuando se trata ce una entidad que presta servicios, como el servicio recibido de otros, y d e forras especial en el caso de la vubcontratacin total o outsourcinx. El desarrollo de aplicaciones en un entorno seguro, y que se incorporen controles en los productos desarrollados y que stos resulten auditaMcs. La continuidad de las operaciones.

No se trata de reas no relacionadas, sino que casi to d a s tienen p u n to s d e enlace y partes com unes: comunicaciones con control de accesos, cifrado con comunica ciones y sopones, datos con sopones y con comunicaciones, explotacin con varias de das, y asf en otros casos.

17.3. EVALUACIN DE RIESGOS

Se trata de identificar los riesgos, cuantificar su p ro b ab ilid ad t im p acto , y nuli/ar medidas que los eliminen - lo que generalmente no es posible- o que feminuyan la probabilidad de que ocurran los hechos o mitiguen el impacto. Para evaluar riesgos hay que considerar, entre otros factores, el tipo de informacin alm acenada, procesada y transmitida, la criticidad d e las aplicaciones, la tecnologa usada, el marco legal aplicable, el sector de la entidad, la entidad misma y el momento Para ello los auditores disponemos de listas, que normalmente inclum os en hojas c clculo, o bien usamos paquetes, y tal vez en el futuro sistemas exentos. El problema sigue siendo la adaptacin d e los puntos a cada caso, y asignar el p eso que puede tener cada uno de los puntos. Desde la perspectiva de la auditora de la seguridad es necesario revisar si se han considerado las am enazas, O bien evaluarlas si e s el objetivo, y de lodo tipo: errores y negligencias en general, desastres naturales, fallos d e instalaciones, o Nen fraudes o delitos, y que pueden traducirse en daos a: personas, datos, programas, redes, instalaciones, u otros activos, y llegar a suponer un peor servicio a usuarios internos y externos stos normalmente clientes, imagen degradada u otros difcilmente

www.FreeLibros.me
*0 AimUHtU INHMtMnCA: l-S- EZiHJQCtl PRACTICO cuantificables. c incluso prdida irreversible de datos. y tunta el fin de la actividad* la entidad en los casos m is graves. Para ello es necesario evaluar las vulnerabilidades que existen, ya que la cafaa d e proteccin se podr romper coo mayor probabilidad por les eslabones ms dta. que sern k que preferentemente intentarn usar quienes quieran acceder de forma autorizada. Debemos pensar que las medidas deben considerarse com o inversin a seguridad, aunque Cn algunos casos se nos ha dicho que n o e s fcil reflejarla ccm activos contables ni saber cul es su ren ta b ilid ad ; poden** estar de acuerdo, pero cul e* la rentabilidad d e blindar la puerta d e acceso a m es tro domicilio o U de instalar un antinrobo cn nuestro automvil? K u rentabilidad ti podemos determiar los dispositivos o controles han servido para evitar la agresin, y a veces h*M constituido sim plemente una medida disuasorio. sobre todo en seguridad lgica, y m llegaremos a conocer i efecto positivo. En todo caso debemos transm itir a los auditados que. acems. la segundad ueot un im pacto favorable en la imagen de las entidades (aunque esto *k> no web justificar las inversiones), y tanto para clientes y posibles como para los emplala. U nos y otros pueden sentirte ms protegidos, asi como sus activos. La proteccin no ha d e basarse slo cn dispositivos y medios fsicos, sino a formacin e informacin adecuada al personal, empezando p x la mentalizacio a la directivos para que. en cascada, afecte a toos lo s niveles de la pirmide organizativa El fac to r h um a no e s el principal a considerar, a l v o e i algunas situaciones de proteccin fsica muy automatizados, ya que es muy crtico: a las personas no quera colaborar de poco sirven los medios y dispositivos aunque s e caros y sofisticados. Adems, es conveniente que haya clusulas adecuadas en lo s contratos, sean de trabajo o de otro tipo, especialmente para quienes estn cn funciones ms criticas. E s necesaria una separacin de funciones: e s peligroso que una misma penca realice una transaccin, la autorice, y revise despus los x sultados (un diario de operaciones, por ejemplo), porque podra planificar un fraude o encubrir cualqaa anomala, y sobre todo equivocarse y no detectarse: per ello deben intenedr funciones/personas diferentes y existir controles suficientes. En un proceso de auditora, por tanto, se evaluarn todos estos aspectos y otra, por ejemplo si la seguridad es realm ente una preocupacin co p o rativ a no es suficiesit que exista presupuesto para ello: si las personas a diferentes niveles esk mental izadas, pues es necesaria una cultura de la seguridad: y si hay un corar tft

www.FreeLibros.me
CAPTULO 17 AUWTMl D t u a C t lllW O W fije o apruebe los objetivos correspondientes y en qu medida v: alcan/an. qu modelo de seguridad se quiere implantar o se ha implantado, qu polticas y procedim ientos cuiten: mi idoneidad y grado de cumplimiento, as com o la forma en que se realiza el desarrollo de aplicaciones, si el proceso se lleva a cabo igualmente en un enlomo seguro con separacin de programas y separacin en cuanto a datos si los seguros cubren los riesgos residuales, y si es t prevista la continuidad de las ofcraciones en el caso de incidencias. Una vez identificados y medidos los riesgos, lo mejor sera poder eliminarlos, pero ya hemos indicado que normalmente lo ms que conseguim os rs disminuir la probabilidad de que algo se produzca o bien su impacto: con sistemas de deteccin, de tincin, mediante revisiones peridicas, copiando archivos crticos exigiendo una contrasea u otros controles segn los caso. Algunos manuales hablan de tra n s fe rir los riesgos, por ejemplo contratando un seguro pero debemos recordar que si se pterden los datos la entidid aseguradora taara el importe estipulado - s i no puede acogerse a alguna cliusula e n letra pequea- pero la entidad seguir sin recuperar los datos. Otra posibilidad es a su m ir los riesgos, pero debe hacerse a un ni<el adecuado en b entidad, y considerando que puede ser mucho mayor el coste de la nseguridad que ti de la seguridad, lo que a veces slo sc sabe cuando ha ocurrido algo. Cul es el nesgo mximo admisible que puede permitirse una entidad? Alguna vez se nos ha hecho la pregunta, y depende de k> critica que sea para la entidad la informacin as con disponer de ella, e incluso puede depender del momento: es un lema tan critico qae no puede generalizarse. Algunos de los riesgos se han podido asum ir de forma temporil, por estar en proceso "de cambio las plataformas, las aplicaciones o las instalaciones, o por no existir presupuesto ante las grandes inversiones necesarias: en todos los casos debe constar por escrito que se asumen y quin lo hace, y ha de ser alguien con potestad para hacerlo, ya que a m enudo son tcnicos intermedios quienes asumen la responsabilidad sin poder hacerlo, o bien los directivo* sealan a los tcnicos cuando comtc algo *in jsicrcr oMimir ninguna rcpoiv*ubli<JuU. Si la entidad auditada est en medio de un proceso de im p an u ci n d e la tegundad. la evaluacin se centrar en los objetivos, los planes, qu proyectos hay en curso y los medios usados o previstos. La evaluacin de riesgos puede ser global: todos los sistemas te informacin, centros y plataformas, que puede equivaler a un chequeo mdico general de un individuo, y que e s habitual la primera vez que se realiza, o bier cuando se ha producido el nombramiento de algn responsable relacionado, o cuando una entidad cotapra otra, pero puede producirse tambin una evaluacin parcial de riesgos, tanto

www.FreeLibros.me
W K U IHHHtl.V ISHMtVIVnCA I V FNHXJt fcPRACTICO por reas como por centros, departa memos, redes o aplicaciones, m como previ* a proyecto, com o puede ser una aplicacin a iniciar. A menudo en la auditora externa se (rata de saber si la entidad, a travs de funciones com o administracin d e la seguridad, auditora interna, u otras a la anteriores no existieran, ha evaluado de forma adecuada los riesgos, si los informa han llegado a los destinatarios correspondientes y si se estn tomando las mci&da pertinentes, asi como si el proceso se realiza con la frecuencia necesaria y no te constituido un hecho aislado. En estos casos se debe considerar la m etodologa que se sigue para evaluar la riesgos m is que las h e rram ien ta , aunque sin dejar d e analizar estas, y si se h a considerado lodos los riesgos -a l menos los ms im portantes- y si se han medido btak ya que sobre lodo cuando la evaluacin se hace de forma interna por tcnicos del ir a de sistemas de informacin, suelen m inim i/ar los riesgos porque llevan A conviviendo con ellos o sim plemente los desconocen. La seguridad no es. un tema meramente tcnico, aunque sean muy tcnica algunas de Lav medidas que haya que implantar. Es necesaria la designacin de p ro p ietario s d e los activos, sobre todo los ft* (por delegacin de los titulares), y que son quienes pueden realizar la clasifican y autorizar las reglas de acceso; un buen propietario se interesar por los riesgos que puedan existir, por lo que promover o exigir la realizacin de auditoras y quer conocer, en trminos no tcnicos, la sustancia d e los informes. Al hablar de seguridad siempre se habla de sus tres dim ensiones clsicac confidencialidad, integridad y disponibilidad de la informacin, y algunos controla van ms dirigidas a tratar de garantizar alguna de estas caractersticas. La c onfidencialidad: -e cumple cuando slo las personas autorizadas (en aa sentido am plio podram os referimos tambin a sistemas) pueden conocer los daws o h informacin correspondiente. Podemos preguntam os qu ocurrira si un soporte magntico con los datos de lot clientes o empleados de una entidad fuera cedido a terceros?, cul podra ser su us> final?, habra una cadena de cesiones o ventas incontroladas d e esos datos? La LORTAD y la LOPD han influido positivamente en concienciarnos respecto i la confidencialidad.

www.FreeLibros.me
CAPtTVLO IT: AUDITORIA D fcLA SIXAJtlDAD V* La in te g rid ad : consiste en que slo los usuario* autorizados puedan variar (modificar o borrar) los datos. Deben quedar pistas para control posterior y para auditoria. Pendemos que alguien introdujera variaciones de forma que pediram os la informacin de determinadas deudas a cobrar (o que sin perderla tuviramos que recurrir a la informacin en papel), o que modificara de form a aleatoria pane d e los domicilios de algunos clientes. Algunas de estas acciones se podran lardar en detectar, y tal vez las diferentes copias de seguridad hechas a lo largo del tiempo estaran viciadas" (corruptas decimos a veces), lo que hara difcil la reconstruccin. La disponibilidad: se alcanza si las personas autorizadas pueden acceder a tiempo a la informacin a la que estn autorizadas. Kl disponer de la informacin despus del momento necesario puede equivaler a U falu d e disponibilidad. O tro lema es disponer de la informacin a tiempo sin que sta sea correcta, e incluso sin saberse, lo que puede originar la lom a d e decisiones, errneas. Ms grase an puede ser la ausencia d e disponibilidad absoluta por haberse producido algn desastre. En esc caso, a medida que pasa el tiem po el im pacto ser nayor, hasta llegar a suponer la falla de continuidad de la emidad como ha pasado en michos de los casos producidos (m is de un 80% segn las estadsticas). Debe existir adems auten ticid a d : que los dalos o informacin sran autnticos, ntroductdos o comunicados por usuarios autnticos y con las autorizaciones

cetarias. 17.4. FASES DE LA AUD ITORA D E SEGURIDAD

Con carcter general pueden e*r: * Concrecin de los objetivos y delimitacin del alcance y profundidad de la auditoria, asi com o del periodo cubierto en su caso, por cjcmjAo revisin de accesos del ltimo truncare; si no se especifica, los auditores debern citar en el informe el perodo revisado, porque podra aparecer a lju iu anomala anterior, incluso de hace mucho tiempo, y llegarse a considerar una debilidad de la auditora. Anlisis de posibles fuentes y recopilacin d e informacin: er el caso d e los internos este proceso puede no existir.

www.FreeLibros.me
no a u h to k Ia informtica , ux Exrowt. w tuco Determinacin del plan de trabajo y de los recursos y plazos en caso necesario, asi como de comunicacin a la entidad. Adaptacin de cuestionario*, y a veccs consideracn de herramienas o perfile* de especialistas necesarios, sobre todo en la auditora externa. Realizacin de entrevistas y pruebas. Anlisis de resultado* y valoracin de riesgos. Presentacin y discusin del informe provisional. Informe definitivo.

17.5. AUDITORA DE LA SEGURIDAD FSICA

Se evaluarn las protecciones fsica.* de datos, programas, instalaciones, equipo*, rede* y soportes, y por supuesto habr que considerar a las personas: que t# protegidas y existan medidas de evacuacin, alarmas, salidas alternativas, as cono que no estn expuesta* a riesgos superiores a los considerado* admisible* en la eabdad e incluso en el sector, por ejem plo por convenio o normativa especfica; y si twn todos estos aspectos suelen ser comunes con las medidas generales de la entidad, ea una auditora de sistemas de informacin nos preocupamos especialmente por quieao estn en el rea o de los daftos que puedan afectar a los usuirios d e los sistemas ti entra dentro d la auditora. Las am enazas pueden ser muy diversas: sabotaje, vandalismo, terronute, accidentes de distinto tipo, incendios, inundaciones, aserias importante, derrumbamientos, explosione*, as com o otros que afectan a las persona* y pueda impactar el funcionamiento de los centros, tales com o errorei. negligencias, huelga epidemias o intoxicaciones. (Hay algo ms que no recogemos en lo* informes, pero convencidos de que se trata de una amenaza real si lo comentamos verbalmente a veces en la presentacia del informe o en cursos a sabiendas de que produce comentarios: la lotera: si toca en n rea un premio im portante, juegan todos el mismo nmero, y no existen sustituto* o no hay una documentacin adecuada -pensem os en un grupo que mantiene uu aplicacin- se puede originar un problema importante, y la. prevencin no es fcil porque no se puede impedir el hecho.) Desde la perspectiva de las p rotecciones fsicas algunc* aspecto* a convaJenr son:

www.FreeLibros.me
CA>fn;Loi7: AiipmxtlA p t la g.om iPA i Ubicacin d d ccntro de procesos. de los servidores locales, y en general de cualquier elemento a proteger, como puedan ser lo s propios term inales, especialmente en zonas de paso, d e acceso pblico, o prxim os a ventanas en planUu. bajas. Proteccin d e computadores porttiles, incluso fuera d e las oficinas: aeropuertos, automviles, restaurantes... Estructura, diserto, construccin y distribucin d e los edificios y de sus plantas. Riesgos a los que estn expuestos, tin to por agentes externos, casuales o no. como por accesos fsicos no controlados. Amenazas de fuego (materiales empleados): riesgos por agua: por accidentes atmosfricos o por averas en las conducciones; problemas en el suministro elctrico, u n to por cadas com o por perturbaciones.

Controles tanto preventivos com o de deteccin relacionados con los puntos anteriores, asi como de acceso basndose en la clasificacin d e reas segn usuarios, incluso segn da d e la semana y horario. Adems del acceso, en determinados edificios o reas debe controlarse el contenido de carteras, paquetes, bolsos o cajas, ya que podran contener explosivos, as como lo que se quiere sacar del edificio, para evitar sustituciones o sustraccin d e equipos, componentes, soportes magnticos, documentacin u otros activos. El control deber afectar a las visitas, proveedores, contratados, clientes... y en caso ms estrictos igualm ente a los empleados; los ex empleados se debern considerar visitas en todo caso. Proteccin de los soportes magnticos en cuanto a acceso, almacenamiento y posible transporte, adems d e otras protecciones no fsicas, todo bajo un sistema de inventario, as como proteccin de documentos impresos y de cualquier tipo d e documentacin clasificada. Es fcil y barato obtener copias magnticas peridicas de datos y de programas frente al perjuicio que nos puede causar el no haberlo h edi: es mucho ms difcil o caro, o n o es posible, obtener copias ooo igual valor de otros objetos o activos com o obras de arte. Todos los puntos anteriores pueden, adems, estar cubiertos por seguros.

www.FreeLibros.me
17.6. A U D IT O R IA D E L A S E G U R ID A D L G IC A
Es necesario verificar que cada usuario slo pueda acceder a los recurso* a lo que le autorice el propietario, aunque sea de forma genrica, segn su funcin, y coa las posibilidades que el propietario haya fijado: lectura, modificacin, borrajo, ejecucin... trasladando a los sistemas lo que representaramos en una m a tr 61 accesos en la que figuraran los sujeto: grupos d e usuarios o sistemas. Irn objeto* qct puedan ser accedidos con mayor o menor granularidad: un ditca. una aplicacin, uta base de datos, una librera de programas, un tipo de transaccin, un programa, un (90 de campo... y para completar la tripleta, las posibilidades que se le otorgan: lerttn. modificacin, borrado, ejecucin... Desde el punto de vista de la auditora e s necesario revisjr cmo se identifican y sobre todo autentican los usuarios, cm o han sido autorizados y por quin, y qut ocurre cuando se producen transgresiones o intentos: quin se entera y cundo y cju se hace. En cuanto a autenticacin, hasta tanto no se abaraten ms y generalicen b i sistemas basados en la hi m trica. el mtodo ms usado es la co n trase a, cuya caractersticas sern acordes con las normas y estndares d e a entidad, que podran contemplar diferencias para segn qu sistemas e n funcin de la criticidad de lo* recursos accedidos. Algunos de los aspectos a evaluar respecto a las co n trase as pueden s e r Quin asigna la contrasea: inicial y sucesivas. l.ongitud mnima y composicin d e caracteres. Vigencia, incluso puede haberlas de un solo uso o dependientes de oaa funcin tiempo. Control para no asignar las V ltimas.

Nmero de intentos que se permiten al usuario, e investigacin posterior dt los fallidos: pueden ser errores del usuario o intentos d< suplantacin. Si las contraseas estn cifradas y bajo qu sistema, y sobre todo que no aparezcan en claro en las pantallas, listados, mensaje* d e comunicaciones o corrientes de trabajos (J O . en algunos sistemas). Proteccin o cam bio de las contraseas iniciales que llegan en los sistemas, y que a menudo aparecen en los propios manuales.

www.FreeLibros.me
CAPtnii.o i AUlHKHlUnEI-AtfcGtRIPAP W Controles existentes p o n evitar y detectar caballos de Troya: en este contexto se trata de un programa residente en un P C que emulando un terminal simule el contenido de la pantalla que recoge la identificacin y contrasella del usuario, grabe la contrasella y devuelva control al sistema verdadero despus de algn mensaje sim ulado de error que normalmente no despenar las sospechas del usuario. I j no-cesin, y el uso individual y responsable de cada usuario, a partir de la normativa.

Siempre se ha dicho que la contrasea h a de ser difcilmente rnaginable por ajenos y fcilmente recordable por el propio usuario, y este ltimo aspccto se pooe en peligro cuando un mismo usuario ha d e identifican ante distintos sistemas, para lo (fte puede asignar una misma contrasea, lo que supone una vulnerabilidad si la prc*eccin e s desigual, por ser habitual que en pequeos sistemas o aplicaciones aisladas las contraseas no estn cifradas o lo estn bajo sistemas vulnerables; si opta por asignar varias contraseas puede que necesite anotarlas.

La solucin ms adecuada por ahora puede consistir en u tili/:r sistem as de identificacin nicos (u n g ir sign-on) que faciliten la administracin y el acceso, permitindolo o no a segn qu usuarios/sistemas/funciones, o bien adaptar cualquier eco tipo de solucin que. con garanlias suficientes, pueda propagar la contrasea entre tatemas.

En la auditora debemos verificar que el proceso de altas de usuiriox .se realiza tegsn la normativa en vigor, y que las autorizaciones requeridas son adecuadas, as como la gestin posterior com o variaciones y bajas, y que los usuarios activos siguen videntes, y si se revisa cules, son inactivos y por qu. por ejempto contrastando peridicamente con la base de datos de em pleados y contratados. Debiera estar previsto bloquear a un usuario que no accediera en un perodo determinado. 35 das?

Otra posible debilidad que debe considerarse en la auditora es si pueden crearse tuariones de bloqueo porque slo exista un administrador, que puecc estar ausente de forma no prevista, por ejemplo por haber sufrido un accidente, e im pedir la creacin nuevos usuarios en un sistema de administracin centralizada v nica: en ms de ca ocasin, segn de qu entorno se trate hemos recomendado la existencia de gn usuario no asignado con perfil especial y contrasea protegida qu: pueda utilizar aJpiieti con autoridad en caso de emergencia: todas sus operaciones debern quedar registradas para control y auditora.

www.FreeLibros.me
4M AtlCHTOUlA IXKKtMTICA I N l-NKKjt'F 1 ACUCO

17.7. AUDITORA DE LA SEGURIDAD Y EL DESARROLLO DE APLICACIONES

T odos los desarrollos deben estar autorizados a distinto nivel sejo U importancia del desarrollo a abordar, incluso autorizados por un comit si los costes los riesgos superan unos umbrales: se revisar la participacin d e usuarios, y <fc k auditores internos si la auditoria es externa, a qu libreras pueden acceder lo desanolladores. si hay separacin suficiente d e entornos, la metodologa s e g u k i ciclos de vida, gestin d e tos proyectos, consideraciones especiales respecto a aplicaciones que traten datos clasificados o que tengan transacciones econmicas o de riesgo especial, trm inos de los contratos y cumplimiento, seleccin y uso de paquetes, realizacin de pruebas a distintos niveles y mantenimiento posterior, as como desarrollos de usuarios finales. El pase al entorno de explotacin real debe e s u r controlado, no descartndose la revisin de p ro g ra m a s por pane de tcnicos independientes, o bien por audcm preparados, a fin de determinar la ausencia de "caballos de Troya", bombas lgicas; sim ilares, adem s de la calidad. Otro aspecto e s U p roteccin d e los p ro g ra m a s, al menos desde at perspectivas: de tos programas, que sean propiedad de la entidad, realizado* por d personal propio o contratado su desarrollo a terceros, como el uso adecuado de aquellos programas de los que se tenga licencia d e uso.

17.8. AUDITORA DE LA SEGURIDAD EN EL REA DE PRODUCCIN

luis entidades han de cuidar especialmente las medida de proteccin cn el caso de c o n tra ta ci n de servicios: desde el posible m arcado de datos, proceso, imprco de etiquetas, distribucin, acciones comerciales, gestin de cobros, hasta d outsourcing ms completo, sin descartar que cn el contrato se prevea la revisin por tos auditores, intentos o externos, de las instalaciones de la entidad que provee d ersieio Tam bin debe revisarse la proteccin de u tilid ad es o programas especialmente peligrosos, as como el control cn generacin y cambios posteriores de todo d software de sistemas, y de form a especial el de control de accesos. O tro aspecto a revisar e s el control de los formularios crticos. La gestin de problem as y cam bios y la calidad son aspectos que tambin benea que ver con la seguridad.

www.FreeLibros.me
17.9. A U D IT O R A D E L A S E G U R ID A D D E L O S D A T O S
Es un pecio que puede entenderse dentro de la Produccin y las Comunicaciones, pero que merece ser tratado de forma especfica. Decamos que los dato* y la informacin pueden llegar a constituir el activo m is critico para la entidad, huta el punto de que en muchas multinacionales la funcin genrica de adm inis tracin d e seguridad tiene la denominacin de Data Security. I-os datos, adems de alfanum ricos pueden consistir en im genes de planos, en ros disertos u objetos, grficos, acsticos, y otros, y estar almacenados en medios y soportes diversos. La proteccin de los dalos puede tener varios enfoques respecto a las caractersticas: la confidencialidad, disponibilidad e integridad. Puede haber datos trlleos en cuan to a su c onfidencialidad, como datos mdicos u otros especialmente sensibles para la LOPD (sobre religin, sexo, raza...), otros datos cuya criticidad viene dada p o r la disponibilidad: si se pierden o n o se pueden utilizar a tiem po pueden causar perjuicios graves y. en los casos ms extremos poner en peligro la continuidad de la entidad, y finalmente otros datos crticos aten d ie n d o a su integridad, especialmente cuando su prdida n o puede detectarse fcilmente o una vez detectada do es fcil reconstruirlos. Aunque los libros no suelen citarlo as. nos gusta hablar d e controles en k diferentes puntos del ciclo de vida d e los d a to s, que e s lo que ha d e revisarse en la auditoria: Desde el origen del dato, que puede ser dentro o fuera de la entidad, y puede incluir preparacin, autorizacin, incorporacin al sistema: por el cliente, por empleados, o bien ser captado de otra form a, y debe revisarse cmo se verifican los errores. Proceso d e los datos: controles de validacin, integridad, alm acenamiento: que existan copio oficente*, sincronizadas y protegidas. Salida de resultados: controles en transmisiones, en impresin, en distribucin, en servicios contratados de manipulacin y en el envi; conciliacin previa de salidas con entradas, por personas d i feren tes. p a n dctcct.tr errores y posibles intentos de fraude.

Retencin de la informacin y proteccin en funcin de su clasificacin: destruccin de los diferentes sopones que la contengan cuando ya no sea necesaria, o bien desmagnetizacin.

www.FreeLibros.me
iiv necesaria la designacin d e p ro p ican o s, clasifcacin de los m *. restriccin de su uso para pruebas, inclusin de m uescas para poder detectar mes o autorizados, asi como aprovechar las posibilidades de proteccin, control y audftrfa del Sistema de G estin de Bases d e Datos que se est utilizando.

En cuanto a la clasificacin de datos e informacin debe revisarse quin la ha realizado y segn qu criterios y estndares: n o suele ser prctico que haya ms de c uatro o cinco niveles. En ocasiones la denominacin sin clasificar se aplica tanto a ta datos que no requieren proteccin -e n ocasiones incluso conviene divulgarlos- cmo a los que estn pendientes de clasificar, por lo que e s necesario diferenciar las doi situaciones. Tam bin e s conveniente que se distinga por c a te a ra s, asociadas a rea funcionales o proyectos. A quellos soportes que contengan datos o informacin de o s niveles ms critica estarn especialmente protegidos, incluso cifrados. Entre esos supones pueden estar magntico, papel, comunicaciones, correo electrnico, fax. e iacluso voz. En algunas entidades tienen etiquetas o cartulas pora diferenciar soporto, listado, y documentos cuyo contenido est especialmente clasificado, lo que ca ocasiones puede llegar a alertar incluso a distancia a quienes no estn autorizados. Respecto a c liente-serv id o r es necesario verificar los controles en varios puto*, y no slo en uno central como en otros sistemas, y a veces en plataformas heterogneas, con niveles y caractersticas de seguridad ruiy diferentes, y cea posibilidad de transferencia de archivos o de captacin y exhortacin de datos que pueden perder mis protecciones al pasar de una plataforma a otra. En el caso del contenido de archivos y bases d e datos, las etiquetas tleburna acompaarles incluso en extracciones parciales que variaran d: plataforma, lo que cu la actualidad no est plenamente conseguido en todos los casos cuando en las mes intervienen plataformas y sistemas que n o se entienden bie# entre s en cuan a seguridad: aunque en este momento hay intentos d e cierta normalizacin y vaa apareciendo herram ientas que van permitiendo la prtteccin en entornos heterogneos. T am bin pueden usarse bases de datos distribuidas, lo que puede aAadu complejidad al sistema y a los controles a establecer. La informacin del nivel ms alto de clasificacin normalmente se entregar (o dejar ver) bajo controles estrictos, incluso anotando qu s t entreg o ensert. a quines, cundo, y con la autorizacin d e quin si este extremo es necesario.

www.FreeLibros.me
CArtTVLO Ir. AWtTOKlA PE L* iRGl/HlDAI) i? (in la auditora, si entra en los objetivos, se analizar la desxuccin de la informacin clasificada: tipo d e destructora, tamao de las partculas, y especialmente 5cde se alm acena hasta su destruccin, que suele ser un punto dbil. Fji el caso de soportes magnticos stos habrn de sa destruidas, desmagnetizados de forma adecuada, o sometidos a varas grabaciones o ferentes antes de su nueva utilizacin. En una ocasin hemos recomendado en una auditora que lis copias que recibieran distintos directivos no fueran idnticas - s in afectar a su contenido sustancial- a fin de poder detectar el origen de fugas o copias, que al parecer se sospechaba que se venan produciendo. En el caso de ser necesario el transpone de datos clasificados debe realizarse por a iles seguros, y si e s en soporte magntico o por transmisin deben ir cifrados, adems de la posibilidad de transportar soportes magnticos en compartimentos errados y que la llave no est en poder de los transportistas o est protegida.

17.10. AUDITORA D E LA SEGURIDAD EN COM UN ICACION ES Y REDES

Ea las polticas de la entidad debe reconocerse que los sistemas, roles y mensajes tacsrutxlos y procesados son propiedad de la entidad y no deben usctsc pora otros aes no autorizados, por seguridad y por productividad, tal vez salvo emergencias oorcretas vi as se ha especificado, y ms bien para comunicaciones por voz. En funcin de la clasificacin de los datos se habr previsto el uso de cifrado, qoe en la auditora se evaluar o se Ikgar a recomendar, y se revisarn la generacin, be|it<xl, comunicacin, almacenamiento y vigencia de las claves, especialmente de 1* maestras. Cada usuario slo debe recibir en el men lo que pueda seleccionar realmente. Los usuarios tendrn restriccin de accesos segn dominios, nicamente podrn cargar los programas autorizados, y slo podrn variar las c o n ju ra c io n e s y aprtenles los tcnicos autorizados. Debern existir protecciones de distinto tipo, y tanto preventivas como de Seccin. ante posibles accesos sobre lodo externos, as como frente a virus por fcres vas de infeccin, incluyendo el correo electrnico.

www.FreeLibros.me
*n Avtxu w u iMoiMncA un BaogiiEntcnco Se revirarn especialmente las redes cuando existan repercusiones ecoofieai porque se trate de transferencia d e fondos o comercio electrnico. A lgunos de los pu n to s complementarios a revisar son: Tipos de redes y conexiones. Informacin y programas transmitidos, y uso de cifrad'. Tipos de transacciones. Tipos de term inales y protecciones: fsicas, lgicas, llanada de retomo. Proteccin de transmisiones por fax si el contenido est clasificado, si bita <t preferible evitar el uso de este medio en esc caso. Proteccin de conservaciones de voz en caso necesario Transferencia de archivos y controles existentes. Consideracin especial respecto a las conexiones externas a travs 4t pasarelas Iftiu a w y ) y cncammadorcs (ro u ic n ). a s como qu ccoerota existen. Ante la generalizacin d e modalidades avanzadas d: proceso, empieza a preocupar y a ser objeto de auditora aspectos como: In te rn e t c In tra n e t: separacin de dominios c implantacin de medida especiales, com o normas y cortafuegos (firewaU ). y no slo en relacin con b seguridad sino por accesos no justificados por la funcin desempead, cobo a pginas de ocio o erticas, por lo que pueden suponer para la productividad El c o rreo electrnico, tanto por privacidad (PGP. Prety G ood Privacy te coi u o m lo mucho) y paro evitar viru com o paro que el uso del correo se* adecuado y referido a la propia funcin, y no utilizado para fines particular, com o se ha intentado hacer en muchas entidades y no siempre con xito, coa otros recursos anteriores com o telfono, fax. fotocopiadoras. o el uso de lo propios computadores. O tro de los aspectos que preocupan es la p roteccin dt p ro g ra m a s, y tanto I) prevencin del uso no autorizado de programas propiedad de la entidad o de los que tengan licencia de uso. como la carga o transmisin de otros de lo sq x no se tenga licencia o sim plemente para los que no exista autorizacin interna.

www.FreeLibros.me
U w _________________________________ CAPTULO I? Al'IXTORI D fcLA StCtlMUAD 40 Tambin preocupa el co n tro l obre la pgina web: quin puede modificarlo y desde dnde, porque ve han dado casos desagradables en alguna entidad que im p id an muy negativamente en su im agen, y no tanto por los que lo ven directamente, sino por la publicidad que en los medio* se puede dar a extox hechos. Finalm ente preocupan tambin los riesgos que puedan existir en el com ercio electrnico, aunque se estn empezando a itili/a r internas fiables como SET (Sccure Electronic Transaction). En relacin con todo ello, y para facilitar el control y la auditora, c necesario que queden registrados los accesos realizados a redes exteriores y protegidos esos registros, asi com o la fecha y hora y el usuario o terna, y el tipo de informacin transferida y en qu sentido.

17.11. AUD ITORA DE LA C ON TINUIDAD DE LAS OPERACION ES

Es uno de los puntos que nunca se deberan pasar por alto e n tn a auditora de seguridad, por las consecuencias que puede tener el n o haberlo rev sad o o haberlo hecho n la suficiente profundidad: no basta con ver un manual cuy ttulo sea Plan de Contingencia o denominacin sim ilar, sino que es im prescindble conocer si funcionara con los garantas necesarias y cubrira los requerimientos en un tiempo inferior al fijado y. con una duracin suficiente. Hablamos de P lan de C ontingencia o P lan d e C ontin u id ad , frente a otras denominaciones que en principio descartamos com o Recuperacin de Desastres o Plan de Desastres (s nos parece adecuada Plan de Recuperacin ante Desastres, pero las ciencias a prever son tambin de otros niveles). En la auditora e s necesario re v isar i existe tal plan, si completo y tetualizado. si los diferentes procesos, reas y plataformas, o bien si existen planes erentes segn entornos, evaluar en todo caso su idoneidad, as co m los resultados de Im pruebas que se hayan realizado, y si permite garantizar razonablemente que en caso necesario, y a travs de los medios alternativos, propios o contratados, podra permitir la reanudacin de las operaciones en un tiempo inferior al fijado por los responsables del uso de las aplicaciones, que a veces son tambin los propietarios de Im mismas pero podran no serlo. Si las revisiones no nos aportan garantas suficientes debemos sugerir prueba complementarias o hacerlo constar e n el informe, incluso indicarlo c r e l aportado de Imitaciones.

www.FreeLibros.me
i AUDTCmlA LNFCmMTKA: UN ENKXjO mCIl Es necesario verifica/ que la solucin adoptada es adecuada: c enuo propio. ijcoa. compartido o no... y que existe el oportuno contrato si hay participacin de oo entidades aunque sean del mismo grupo o sector. No est de ms revisar si en d cate de una incidencia que afectara a varias entidades geogrficamente prximas ta solucin prevista dara el servicio previsto a la auditada. Un punto fundamental en la revisin e s la existencia de copias actualizadas de los rec ursos vitales en un lugar distante y en condiciones adecuadas tanto fsica como de proteccin en cuanto a accesos: entre dichos recursos estarn; bases de daut y archivos, programas (mejor si existen tambin en versin fuente. JCL (JobControl I jn g u ag e ) o el equivalente en cada sistema, la documentacin necesaria, formulario! crticos y consumibles - o garantas de que se serviran a tiem po-, documeaoa. manuales tcnicos, direcciones y telfonos, los recursos de comunicado* necesarios; datos y voz. y cualesquiera otros requeridos para funcionar con garaatias. Otros aspectos que hemos encontrado cotivo d e b ilid ad es a veces son: que e<ta copia del propio plan fuera de las instalaciones primarias, que est previsto ejecutar determinado softw are en un equipo alternativo, con identificacin especfica diferett* de la del equipo primario que e s el inkialm ente autorizado; y que se tenga copa accesible del contrato, tanto para demostrar algo al proveedor como para verificar leu trm inos pactados. Dentro de la c riticid ad d e las aplicaciones se puede distinguir entre las mis crticas, con im pacto muy alto en el negocio y sin alternativa, otras con alternativas, e incluso diferenciando si con costes altos o inferiores, y aquellas cuya intcm ipcite.il menos en un nmero de das fijado, no tiene casi incidencia, y habr que distinguir qu tipos de consecuencias e impacto, en funcin del sector y entidad, y da del mes en qoe ocurriera el incidente, y tal vez la hora en algunos casos. Frente a lo que vena siendo la previsin de contingencias en estos artos posada, centrndose slo en el host com o gran servidor, hoy en da. con la clara tendencia a e n tornos d istrib u id o s, es necesario considerar tambin stos en la previsin de las contingencias. E s necesario en la auditora conocer las caractersticas del centro o sistema alternativo, y debe revisarse si la capacidad de proceso, la de comunicacin y la de almacenamiento del sistema alternativo son suficientes, as como las medidas de proteccin. Debe existir un manual completo y exhaustivo relacionado con la continuidad el que se contemplen diferentes tipos de incidencias y a qu nivel se puede decidir que se trata de una contingencia y d e qu tipo.

I * > .

www.FreeLibros.me
CArtIVIOIT At DItUKlA DKI.ASEGURIDAD 411 A pesar de la importancia del tema y de las consecuencias nefasta* que se pueden derivar si no se han previsto las contingencias, e s un tema no exigido por ley en Esparta. si bien parece sobradamente justificada su existencia para defender los intereses de los accionistas, clientes, proveedores, empleados, o ciudadanos cn general segn qu tipo de entidad sea: cn algn caso se ncu ha preguntado al incluirlo cn el informe como una recomendacin, pero qu me obliga a tener el plan? Afortunada mente ex un punto fcil de explicar y que la Alta Direccin suele entender y aceptar.

17.12. F U EN TES DE L A AUDITORA

Las fuentes estarn relacionadas con los objetivos, y entre ellas pueden estar. Polticas, estndares, normas y procedimientos. Planes de segundad. Contratos, plizas de seguros. Organigrama y descripcin de funciones. Documentacin de aplicaciones. Descripcin de dispositivos relacionados con la seguridad. Manuales tcnicos de sistemas operativos o d e herramientas. Inventarios: de sopones, de aplicaciones. Topologa de redes. Planos de instalaciones. Registros: de problemas, de cambios, de visitas, de accesos lgicos producidos. Entrevistas a diferentes niveles. Archivos. Programas. I j observacin: no figura en los manuales pero la consideramos importante. Actas de reuniones relacionadas. Documentacin de planes de continuidad y sus procbas. Informes de suministradores o consultores.

A menudo los clientes nos ofrecen a los auditores externos tos interines de los otemos o de otros externos anteriores, si bien nosotros en concreto preferim os Miliarios cuando ya est en vas el borrador de nuestro informe para no vemos fluidos.

17.13. EL PERFIL DEL AUDITOR

Kl perfil que se requiere para llevar a cabo auditoras de sistemas de informacin aocst regulado, pero es evidente que son necesarias una form acin y sobre lodo una p cricncia acordes con la funcin, c incluso con las reas a auditar: seguridad fsica. Ktmas operativos concretos, determinados gestores de bases de datos o plataformas.

www.FreeLibros.me
4i; AllXTOUlAISKWtMTMA UK S M X JI'I HtM lUO c incluso lenguajes si hubiera que llegar a revisar programas, adems de n imprescindible en el perfil otras caractersticas o circunstancias comunes, com independencia respecto a los auditados, m adure/, capacidad de anlisis y de lntesa, inters no meramente econmico. i En el seno de la citada ISACA existe un certificado relacionado: O S A (Certed Information Systems Auditor). < A la hora de crear la funcin de auditoria interna de sistemas de informaciog suele plantear m se forma a auditores y a expertos en otras reas: auditora de <eaui normalmente, o si se form a a tcnicos del rea d e informtica, o si se coaenea i auditores de otra entidad, ya experim entados: cada opcin tiene sus ventajas t inconvenientes, entre los que pueden estar: Lo* auditores de otras reas sern expertos en tcnicas generales con# entrevista, y en redactar informes, pero desconocern las particularidades jr riesgos de las tecnologas de la informacin. Los informticos y expertos en reas relacionadas no sern expertos ea tcnicas generales y en control (salvo que provengan de administracin de seguridad), si bien puede ser ms fcil que aprendan estos aspectos qse ensear --especialmente mantener al d a - a un auditor general respecto a novedades tecnolgicas. Quien venga de otra entidad puede no tener ni unos ireconveniente* ni otro, e incluso puede conocer el sector; y hay una ventaja ms: no conoce a fas personas que tendr que entrevistar, lo cual e s positivo, pero no siempre k quieren incorporar recursos externos.

O tro aspecto es dnde u b ic a r la fu n ci n : encontramos con frecuencia que etfi dentro del rea de Informtica o Sistemas de Informacin o Tecnologas: en definitiva dentro del rea auditada por lo que no tiene la independencia necesaria. Es preferible que est dentro de la auditora general o que sea una funcin staff de algtin directivo por encim a de las rea* objeto de auditora. Se incluye un cuadro (vase la figura 17.3) con algunas recomendaciones ea cuanto a pautas de conducta.

www.FreeLibros.me

Ser independeme* y objetivos

| Actuar en beneficio propio por encima del imerr del e lele Asumir encargos para lo* que no estn Basarlos en uiposiciones Revisar la segundad dia a d(a o administrarla (son funciooe* de otros) Realizar gestin perfile* de u u u n w Gestin/asignacin contmeAas o conocerla* Realizar funcione* de anlisis o gestionar

Ser competentes en la materia (eguridad) Basi# sus informe* en verificaciones y Verificar que se c* altan peridicamente nego* o bien evaluarlos Ccoorcr perfiles de usuarios ___ ___ Conocer criterios y prctica* sobre camellas Verificar que la aplicaciones se desarrollan y mantienen segn normas y se incorporan coMrote* Rrvnar codificacin de programa* (guridad >calidad) y la* proetia* realizadas. o bien

Codificar programa*

P"**1 *---------------------------------------------Realizar la documentacin Revisar la documentacin (jplicacionei. Verificar que siguen lo* procedimiento* Responcabtlizarse del contenido de sus lEvabtar riesgos e informe* Smentir los informes con pifvle* de trabajo Eitar al dia en cuanto a avances, riesgos. iModdoras Escnbr procedimiemos_________ Aceptar presiones de sus jefe* 0 clientes y que el informe no sea veraz Garantizar que no se puedan rralizaritaher j realizado delitos, fraudes o errore* Enzarzarse en discusiones de diferencias de ] Auditar con tcnica*, mtodo* o

Figura 17.3. Pauta* d e conducta d e lo s auditores

17.14. TC N IC AS, M TO D O S Y HERRAM IENTAS

En cada proceso de auditora se fijan los objetivo*, m bito > profundidad, lo que sn e para La planificacin y para la consideracin de las fuentes, segn lo s objetivos. m con de las tcnicas, mtodos y herramientas ms adecuados. El factor sorpresa pede llegar a ser necesario en las revisiones, segn lo que se quiera verificar. Coeno mtodos y tcnicas podemos considerar los cuestionarios, las entrevistas, b observacin, los mustreos, las CAAT (Computer Aidcd Auditing Tech iques), tas

www.FreeLibros.me
utilidades y programas, lo paquetes especficos, las pruebas, la sim ulacin en parakb con datos reales y programas de auditor o la revisin de programas.

17.15. CON SID ERACION ES R ES P E CTO AL INFORME

En I se harn constar los antecedentes y los objetivos, para que quienes lew d informe puedan verificar que ha habido una comunicacin adecuada, as como qt metodologa de evaluacin de riesgos y estndares se ha utilizado, y una breve descripcin de los entornos revisados para que se pueda verificar que se han revisado todas las plataformas y sistemas objeto d e la auditora. Debe incluirse un resumen p a ra U D ireccin en trmino* no tcnicos. Dependiendo de los casos ser preferible agrupar aspectos sim ilares: seguridad fsica, seguridad lgica... o bien clasificar los puntos por centros o redes, espccsalmertt en entidades grande* u existen responsables diferentes: en caso de duda ser un pumo a com entar previamente con quienes van a recibir el informe, ya que con frecuencia prefieren entregar, a cada uno la parte que ms le afecta, as como planificar y controlar rea por rea o por departam entos la implantacin de medidas. En c ad a p u n to que se incluya debe explicarse por qu es un incumplimiento o una debilidad, as como alguna recomendacin, a veces abarcando varios puntos. El informe ha de ser necesariamente revisado por lo* auditados, as como discutido si es necesario antes d e em itir el definitivo. En muchos casos, bien en el propio informe o en otro documento, se recogen las respuestas de los auditados, sobre todo cuando la auditora es interna. Ia entidad decide qu acciones tomar a partir del informe, y en el caso de t e auditores internos stos suelen hacer tambin un seguimiento de las implantaciones. Lo auditado r.i*mprc buscn un informe lo ms txnignu |* b Wc, nicmia-x que los auditores no* proponemos llegar a un informe veraz y til: estos diferente* pumos de vista a veces crean conflictos en el proceso de auditora y en la discusin del informe. En algunos casos los informes se han usado para comparar la seguridad de diferentes delegaciones, sucursales, o empresa* de un mismo grupo, o bien filiales de una multinacional, pero si los entornos no son homogneos las comparaciones pueden no ser muy tiles y llegar a distorsionar.

www.FreeLibros.me
CArtniio i r auottorI a de l a seoikpao <is Con frecuencia quienes han pedido la auditora quieren conocer la calificacin respecto a se guridad, adems de disponer de un informe complem entario o resumen ca trminos no tcnicos; quieren saber si estn aprobados e n seguridad, as como los riesgos ms destacados. Es necesario, por tanto, diferenciar puntos m uy graves, graves, memorables... u otra clasificacin, en definitiva establecer algunas m trica s d e se g u rid ad y clasificar los puntos segn su im portancia y prioridad, que pueden ser reconsideradas por la Direccin <fc la entidad a la hora de implantar las medidas, y en algunos casos se puede llegar a entregar una lista provisional d e proyectos de implantacin. En ocasiones, en e l caso de auditora externa, los clientes que no conocen los Km:tev. habituales de la auditora sobreentienden que una v e / finalizada sta los auditores daremos una asistencia m is propia de consultores, y que incluso llevaremos * cabo implantaciones, redactaremos normas, o que al menos en los informes especificaremos las soluciones: nombre de la herramienta que refuerza la seguridad en mi entorno por ejem plo, cuando a m enudo esto requiere un estudio que se sale de los faiites c incluso de la independencia propios de la auditora. Por ello, es importante qoe se delimiten las responsabilidades y los productos a entregar que son objeto de utu auditoria externa en el contrato o propuesta. Alguno* de los pu ntos im p o rta n te s que pueslen llegar a estar en los informes twpccto a seguridad, y sin que. se pueda generalizar porque depender de la entidad. KCtor y circunstancias, pueden ser la ausencia de: Copias d e activos crticos en cuanto a continuidad, en lugar diferente y distante. Cumplimiento de la legislacin aplicable asi como de las polticas y normas internas: e n el caso de la legislacin incluso pueden producirse sanciones, y en el caso concreto de la LO PI) la inmovilizacin de archivos com o hemos indicado. Diferenciacin de entornos de desarrollo y produccin, en cuanto a datos y programas, y control de accesos. Involucracin de la Alta Direccin, preferentemente a travs d e algn comit. Motivacin de los empleados y directivos en relacin con la seguridad. Evaluacin peridica y adecuada d e riesgos.

----------------------------------

www.FreeLibros.me
41 AUDITORIA IMOKMTtCA: UN ENFOQUE PRACTICO________________________ Es. frecuente tambin que quienes han pedido la auditora quieran despus, en qu medida se han resuelto los problemas, a partir de lax tomad**, a travs de los informes de los auditores interno* o de quienes impla medidas. O tro deseo frecuente es querer conocer la evolucin d e la situacin en el ti ya que aparecen nuevos riesgos, se reproducen oros, y algunos pueden vari clasificacin en funcin del cam bio d e plataformas u oros. Para elk> ex til mostrar en algin informe -principalmente los auditores irwroos-, algunos cuadros que muestren la evolucin, que en algunos casos ha sido til pan demostrar la rentabilidad de una funcin com o administracin d e la seguridad o auditora interna o para evaluar la utilidad de un plan de seguridad.

17.16. C O N TR A TA C I N OE AUDITORA EX TERN A

Incluimos el epgrafe porque consideramos su utilidad en funcin de las preguntas que a veces se nos hacen y d e los casos que hemos llegado a conocer: si so se sigue un proceso d e seleccin adecuado de auditores externos no se puede garantizar lo* resultados y se puede llegar al desencanto al recibir el informe, lo fte puede suponer no llegar a conocer las posibilidades reales d e la auditora de sistemas de informacin, sobre todo en un tema tan delicado com o la seguridad, o bien tescr una visin pobre y desfigurada, como les ocurre a algunos a partir de experiencias atpicas. Algunas consideraciones pueden s e r La entidad auditora h a de ser independiente de la auditada en el caso de una auditora extem a: si e s ti ofreciendo oros servicios a la v e /, o pieasa ofrecerlos en el futuro, o incluso a veces si ha sido proveedora en el pasado. a menudo puede encontrar dificultades internas para entregar un informe veraz j completo. En ocasiones los propios auditores lo han llegado a comunicar, por tica. I-a* persona* que vayan a realizar el trabajo han d e ser independientes y competentes, segn el objetivo: sistemas operativos o plataformas concretas, por lo que no e sti de ms examinar sus perfiles e incluso mantener alguna entrevista, sin descartar preguntar por sorpresa en una reunin qu aspectos revisaran y qu tcnicas usaran en el entorno que se les describa. N o es tan comn pedir referencias de otros trabajos sim ilares com o en el cuo de consultara pero se puede hacer, aunque para ello los auditores debieran pedir permiso previo a sus dientes.

www.FreeLibros.me
CAPfRIO IT AUWTOKU P t LAStGUHIHAO 417 La auditora ha de encargarte a un nivel suficiente, normalmente Direccin General o Consejero Delegado, y a este nivel recibir lo informe*, porque ti no a veces no se cuenta con el respaldo suficiente en las revisiones, y en todo caso puede que si el informe n o ex favorable quede escoodido. y se ha perdido el dinero y a veces la oportunidad. Finalm ente, a ttulo de curiosidad, en una ocasin se nos pidi que no figurara la palabra auditora cn el informe final, porque haba aversin por el trm ino, por asociarse en la entidad a los auditores con los verdugos: n o es un caso aislado y e s im propio. Recordemos que puede ser necesario dar o mostrar a los audiurcs todo lo que necesiten para realizar su trabajo, pero nada ms, e ineluse lo que se les muestre o a lo que se les permita acceder puede ser coa restricciones: slo parte de una base de datos, epgrafes de algunas actas, o sim plemente mostrarles documentacin, que no pueden copiar o no pueden sacar de las instalaciones del die n te: se puede exigir una clusula d e confidencialidad, y raramente se les deben mostrar dalos reales confidencial d e clientes, proveedores, empleados u otros, aunque se haga en la prctica to n frecuencia. E n c ato de duda o de conflicto puede decidir un comit de auditora o el propio de Direccin.

17.17. RELACIN DE AUDITORA CON ADMINISTRACIN DE SEGURIDAD

Hemos encontrado en ms d e una ocasin que la misma persona tena las fiincioow; de administracin de seguridad y auditora (informtica) ntcm a. lo cual peede parecer bien a efectos de productividad, pero n o e s admisible respecto a Kgregacin de funciones, siendo preferible, si la entidad no justifica q ie dos personas cumplan en exclusiva ambas funciones, que se cubra slo una, o bien que la persona (tabee otras funciones complementarias pero compatibles, como podran ser algunas relacionadas con calidad. En entidades grandes la funcin consta adems de corresponsales funcionales o autonmicos. La funcin de Administracin de Seguridad en parte ser nter ocutora en los procesos de auditora de seguridad, si bien los auditores no podemos perder nuestra tccesaria independencia, ya que debemos evaluar el desempeo d e la funcin de idministracin de seguridad, desde si sus funciones to n adecuadas y estn respaldadas

www.FreeLibros.me
41X AfPtTOWA IMORMM1CA l'N INKXJU! rKACllCO por algn documento aprobado a un nivel suficiente, hasta fi cumplimiento de am funciones y si no hay conflicto con otras. La funcin d e auditoria de sistemas de informacin y la de administracifa di seguridad pueden ser complementaria*, si bien sin perder su itdcpendcncia: se traud funciones que contribuyen a una mayor y mejor proteccin, y resultan como a id q protectores, com o se muestra e n la figura 17.4.

Figura 7.4. Funcione i de auditoria de S y auditora de seuridad como "amoi protectores Ambas funciones han d e mantener contactos per cos y prestarse cierta atinenc ia tcnica. Normalmente Administracin de seguridad habr d e inplantar las recomenda ciones de los auditores una s e / fijadas las prioridades por la Direccin de la entidad. Administracin de Seguridad puede depender del rea de Sistemas de Informa cin. sobre todo si existe Auditora de SI interna, pero s pjede estar en peligro n desempeo q u i/ sea preferible que tenga otra dependencia uperor. o al menos una dependencia funcional de reas usuarias como puede ser de Direccin de Operaciones o sim ilar, la existencia de un com it d e Seguridad d e la Informacin, o bien de una funcin de Seguridad Corporativa puede resultar til.

www.FreeLibros.me
CArtTlXO 17; AUPTTCXtlA PC LA SBCIHIPAP 419 En ocasiones los administradores de seguridad tienen casi exclusivamente una funcin importante pero que slo form a una paite d e i cometido: la administracin del paquete de control de accesos: RACF, T op Secrct. u otros, con frecuencia por haber sido tcnicos de sistemas, y en ocasiones porque siguen sindolo, lo que representa una gran vulnerabilidad y no siempre bien aceptada cuando la hemos recogido en los informes d e auditoria. Por otra porte, si la persona que oficialm ente administra la seguridad nicamente incorpora usuarios y asigna contrasellas iniciales en uno de los sistemas, generalm ente el ms importante, se trata de una labor necesaria pero en absoluto la nica, dndose a veces una carencia de objetivos de seguridad, de modelos, d e planes de seguridad. as como de seguimiento de transgresiones. Otra situacin que se suele producir respecto al paquete de control de accesos, y a veces coexistiendo con la sealada, es la que indicbamos: coincidencia de los roles de administracin de seguridad y auditora interna en la misma persona, relativamente comprensible porque son papeles que hay que asignar en los sistemas o paquete. Hemos conocido situaciones de cierta tensin cuando los administradores han tenido que crear usuarios con perfil de auditor -p o r ejemplo cuando stos asumen sus facciones respecto al paquete- y quitarte ese perfil a s mismos. Ambas funciones han de tener una dependencia jerrquica adecuada, una descripcin de funciones idnea, y que las personas cuenten con formacin y experiencia acordes y estn motivadas; cuando a alguien se le asigna una de estas fsncioocs pora que no desaparezca del rea o incluso de la entidad, como consecuencia de reorganizaciones o absorciones, difcilmente va a cumplir bien su papel. Finalm ente, que am bas funciones, sin perder d e vista su cometido, quieran colaborar para conseguir un boen nivel d e proteccin. Volviendo brevemente a la formacin y experiencia, hemos encontrado vulnerabilidades de distinta ndole e n individuos con un conocim iento tcnico de los nemas muy profundo, y probablemente mayores vulnerabilidades cuando se d a el caso contrario: aquellos que administran o revisan sin saber qu hacen, cmo lo hacen. afecta en el rendim iento, o i w i recomemlaciottc o iii^iusiviotics icspccto a la itguridad impactan gravemente en la productividad o crean situaciones de verdadero bloqueo o de autntica burocracia.

17.18. CONCLUSION ES
Aunque an no se ha producido en Esparta el despegue de la auditora ni d e la teguridad que esperam os desde hace artos, lo cierto e s que se han dado avances

www.FreeLibros.me
significativos. y cabe esperar que siga e*ia tendencia y las en tid ad vayan eniendiendo cada vez ms la utilidad de la proteccin de la informacin y de la auditora. Tam bin es cierto que han surgido bastantes entidades suministradoras que lu incluido la seguridad y la auditora entre sus posibles servicios, o simplemente h a aceptado trabajos, en ambos casos sin disponer de expertos, lo que con frecuencia ta supuesto un desencanto en la entidad auditada, y a veces resultados penosos, que so benefician ni a la profesin ni a la auditora misma. Por otra parte, y as lo hemos indicado en el captulo, los auditados finales, y mis los responsables de las reas que sus colaboradores, siguen en muchos caso to entender la esencia y utilidad de la auditora, y su obsesin e s evitarla y. cuando y inevitable, a veces eludirla o al menos no resultar entrevistados: como que el proceso no fuera con ellos (es del responsable hacia abajo, pero exclusiva, como nos dijo ui Director de Sistemas de Informacin en una ocasin), o tal vez para poder alegar <pe ellos no han facilitado la informacin que figura en el informe final. En otras ocasiones han preparando a los entrevistados respecto a qu deben decir y qu no en cuanto a riesgos o controles existentes, e incluso han hecho que todas Us entrevistas se mantuvieran en su despacho y en su presencia, como nos pas en un auditora de seguridad ciertamente delicada, por lo que los auditores a veces hemos de ser algo psiclogo sin formacin para ello e interpretar k> que se nos dice, lo que se nos quiere decir, y distinguir la versin oficial d e la realidad, interpretar silencios y miradas, entrevistar a varias personas y llegar a evidencias por distintos medios. Por otra parte, hemos podido verificar que la auditora, su filosofa, as como s tcnicas y mtodos, interesan cada vez ms a los responsables de Sistemas de Informacin, a veces para conocer cmo pueden evaluar los auditores sus reas, pero i menudo saber cules pueden ser los riesgos y q u controles implantar.

1.0 que ellos mismos pueden realizar no se puede considerar una auditora, mb por falta de independencia que por desconocimiento de las tcnicas, pero si pueden constituir unos autodtagnsticos muy tiles, especialmente cuando se realizan coa ayuda de listas o herramientas adaptadas o adaptables al entorno. 1.0* cam bios en la tecnologa influyen e n qu auditar y en cmo auditar. En efecto, en los ltimos aos han ido apareciendo rea* nuevas, c o n las mencionada de comercio electrnico, cliente-servidor, orientacin a objetos, entorne multiplataforma. teletrabajo y ottitourcing. adems de otros sistemas operativo* o nuevas versiones de los mismos, lo que viene a suponer novedad en los riesgo* y ea Us medidas y la necesidad im periosa por parte de tas auditores d e estar muy al tanto: como otros tcnicos relacionados con las tecnologas de la informacin tenemos U servidumbre - o el placer y la oportunidad- de estar permanentemente informados.

www.FreeLibros.me
C A ftni.o 11: AivnoKlA i. i,a se c ik id a d 4; 1 Aunque las implantaciones de la seguridad van siendo ms sofisticadas y llegando a reas o aspectos casi desconocidos hace artos, esto no implica que estn plenamente revuelto los ms bsicos: encontramos bastantes deficiencia en controles fsicos, no tanto porque no existan cuanto por las brechas o descuidos que se pueden encontrar. Ms preocupante an es la inexistencia de controle* bsicos, como en relacin con la segregacin de funciones, separacin de entornos o casi ausencia de normativa. La auditora en nxtem as de informacin no est suficientemente implantada en la mayora de las entidades espartlas, si bien supondra una mayor garanta de que las cosas se hacen bien y como la entidad quiere: en general hay coincidencia entre ambos puntos. Puede ser tambin una profesin con futuro cuando la auditora despegue. Com o funcin aporta al auditor un conocimiento privilegiado del rea de Sistemas de Informacin con una perspectiva muy amplia. La forma de realizar el trabajo va variando y se est llegando a aplicar el control por excepcin y la teleauditora. En cuanto a nuevas reas, surge el auge del com ercio electrnico, el control de pginas W EB : la revisin de quien autori/a. vara y controla los contenidos: en las calidades por seguridad y productividad, y en tos hogares, aunque esto se sale d e la aiditcra y queda en el control para evitar que los menores accedan a contenidos con iolcacia o pornografa. Por lo que se ha incluido en el captulo se presenta d e forma breve, como responde a obra general que abarca los diferentes aspectos de la auditora, por lo que hemos resumido el contenido del material de cursos propios tanto sobre Auditora de la Segundad como sobre diferentes aspectos de la propia Seguridad.

17.19. LEC TU R A S RECOM ENDADAS

EDPAmhting. A l'E R BA CH , 1997. ftjw Stcurily Management. AUERBACH. 1997. bttapro R epons on Inform al ion Security. DATAPRO. McGraw-Hill. 1997. BACA (Information Systems Audit and Control Association/Fosindation) COBIT: Conirot O bjectives f o t Information an d Related Technology. Abril. 1996. () Las tres primeras obras son d e actualizacin permanente.

www.FreeLibros.me
17.20. C U ES TIO N ES DE REPASO
1. La seguridad de la informacin en Espaila: situacin se conocen realmera lo* riesgos? Perspectivas. E l perfil del auditor en segundad de sistema de infoonacin.

2.

3 - Estndares para la auditora d e la seguridad. 4. 5. La comunicacin a auditados y el factor sorpresa en auditoras de segurtdal Qu debe hacer el auditor w se le pide que omita o vare algn punto o w informe?

6. Auditora de la seguridad en las prximas dcadas: nuevos riesgos, tctuca

y herramientas. 7. Equilibrio entre seguridad, calidad y productividad. Qu es m is crtico: datos, instalaciones...? programas, penaras, comunicaciones,

8.

9.

Relaciones entre Administracin de Seguridad y Auditora de Sistemas de Informacin interna y extema.

10. Clculo de la rentabilidad de la auditora de seguridad.

www.FreeLibros.me

C A PTU LO 18

AUDITORA DE REDES
Jo s Ignacio Boixo Prcz-Holanda

18.1. TERM IN OLOGIA DE REDES. M ODELO OSI

Para poder auditar redes, lo prim ero y fundamental e s utilizar el mismo vocabulario (m is bien jerga) que los expertos en comunicaciones que las manejan. Debido a la constante evolucin en este campo, un primer punto d e referencia e s poder referirse a un modelo comnmente aceptable. El modelo comn de referencia, adoptado por ISO (International Standardt Organizaran) se denomina Modelo OSI (Opcn Syitem Interconection). y consta d e estas siete capas:

Define el (omino de los datoque tg van a presentar a la aplicacin. Establece los proceiiirsmo* Je aperturas y erres de vcun de Comprad* la integridad de lo datos transmitidos (que no ha habido

Transforma los paquetes de informacin en tramas adaptada a lo dUpomio fsicos sobre los cuales te realiza la transmisin. Transforma la informacin en seAale ffuca* adaptada al medio de

www.FreeLibros.me
t u Al'IHIUKlA IXKHWIKA IX I.NKXJO. fKAfiMX)
La potencia del modelo OSI prov iene de que cada capa no tiene que preocupo de qu e s lo que hagan I capas superiores ni las inferiores: cada capa se comuna con su igual en el interlocutor, con un protocolo de comunicaciones especfico. Eatrc cada por de capa N y capa N -l c s ti perfectamente definido el paso de la informacita. que se produce dentro de la misma mquina, con m todos clsicos de programan! en kxal.

Para establecer una comunicacin, la informacin atraviesa descendentemente la | pila formada por las siete capas, atraviesa el medio fsico y a<ciende a travs de las * siete capas en la pila de destino. Por tanto, cada capa tiene ubos mtodos prefijad para comunicarse con las inmediatamente inferior y superior. IX* esta manera, se aslan los protocolos que se utilizan en unas capas con k protocolos que se utilizan e n otras. Por ejemplo, e s posible innsm itir trfico TCPrtP (capas superiores), a travs de Ethernet o Token-Ring indistintamente (captt inferiores), gracias a esta independencia entre capas. Este mtodo de especificar a qu capas correspond cada protocolo de comunicaciones resulta muy til a efectos didcticos, pues rpidamente se tiene una visin del alcance y utilidad del protocolo o elemento d e comunicaciones en cuestin. Com o regla mnemnica para recordar fcilmente el orden de las siete capas OSI. suele utilizarse la frase "Formemos Esta Red y Todos Seremos Pronto Amigof* (Fsico. Enlace, Red. Transporte. Sesin. Presentacin y Aplicacin). En los niveles inferiores, habitualmente hasta el nivel tres, rs donde se definen las redes LAN (Local A rca Xetwork). MAN (Metropolitan Area Network) y WAN fWide Arca Network). Las funcionalidades d e estos tres tipos de redes son similares, variando fundamentalmente la distancia que son capaces de salvar entre el emisor y d receptor (LAN: dentro de un edificio. MAN: dentro de >in cim pus o zona urbana. WAN: cualquier distancia), siendo la velocidad inversamente proporcional a la distancia. I-a red LAN ms extendida. Ethernet, est basada en q ic cada emisor enva, cuando desea, una trama al medio fsico, sabiendo que todos los destinatarios estn permanentemente en escucha. Justo antes de enviar, el em isor c pone a la escucha, y si no hay trfico, procede directamente al envo. Si al escichar detecta que cero emisor est enviando, espera un tiempo aleatorio antes d e volverse a poner a la escucha. Segn crece el trfico, se incremento la probabilidad de que dos emisores hayan escuchado que el medio est libre y se pongan a transmitir simultneamente. En ese caso, se habr producidos una colisin y las tram as :nviadas se destruirn mutuamente, crendose una alteracin que es percibido fin can en le com o colisin de tramas. Cada em isor procede entonces a dar la tram a como no enviada y a esperar n

www.FreeLibros.me
C A rtu ro I AtUXTTft A OfcmOJCS *2i tiempo aleatorio ante* de ponerte de nuevo a escuchar, exactamente igual que cuando el nvedio estaba ocupado. I-s tecnologa de Ethernet (10 Mcgabits por segundo Mbps). Fai Ethernet (100 Mbps) y G iga Ethernet ( 1.000 M bps) v batan cn el mismo principio, incrementando sucesivamente la velocidad de transmisin La Ethernet fue normalizada por el norteamericano Instilte o f Electric and Electronic Engincers con el nombre IEEE 802.3. El cable que fsicamente conecta a equipos Ethernet se denomina tegmento. En ve/ de tender un nico cable que recorra todo lo t equipos del tegmento, ve suele tender un cable por equipo y juntar todos los cables cn un concentrado- pasivo (lau ") o activo (hub). Cada segmento admite un nm ero mximo de equipos, por lo que los tegmentos han de ser conectados entre s mediante dispositivo que hagan que la informacin pase del segmento origen al segmento de destino, pero confinando cn cada segmento la informacin que no deba salir de l y as evitar anegar lo segmento adyacente. La l > N Token-Ring. desarrollada por IBM. est normalizada c o n o IEEE 802.5. w ne velocidades d e 4 y 16 Mbps y una mejor utilizacin del canal cuando se incrementa el trfico. La FDDI es otra IJVN. hatada cn inm tm isin a travs d e fibras pica, a velocidades de centenas de Mbps, que te suele utilizar para inu-rconcctar segmentos de LAN. Para rede W AN, est m uy extendido el X.25. Se basa en fragmentar la formacin cn paquetes, habitualmcnte de 128 caracteres. Estos paquetes se entregan a un transportista habitualmente pblico que se encarga d e ir c n v ii dolos saltando entre diversos nodos intermedios hacia el destino. En cada nodo te lleva una cuenta | con el nodo inmediato (colateral), para saber que cada paquete te ha recibido correctamente, o si hubo fallo, proceder a su retransmisin. Para su tnnsm isin. cada piquete recibe una cabecera y una cola, y as queda convertida en una trama con control de trfico y de errores entre cada pareja colateral de nodos. Mediante este salto de nodo a nodo se puede establecer trfico a cualquier distancia a velocidades Cficas de decenas de Kbps. Cl Trame-Relay e s U cuiK n tc lo mism o qsic el X.2S. pero, aprovechando que la fiabilidad entre nodo e muy alta, slo se comprueba que los pococies han sido transportado sin errores cuando son recibidos en el destinatario: esto ahorra multitud de comprobaciones c n los nodo intermedios, incrementando la v e lx id ad hasta cl ordena de los cientos de Kbps. El ATM (Asynchronus Transfer Modc/m odo de transferencia asincrono) utiliza m concepto de alguna manera sim ilar a Framc Relay, con tram as de 53 caracteres (cinco de cabecera y 48 de informacin a transportar), que se conmutan en nodos

www.FreeLibros.me
auimio b Ia inform tic a un f .nfoqce Acuco

o p ecialm ente diseftados, con lgica prcticamente cubicada, a muy alta velocidad, desde los cien .Mbps.

18.2. V ULNERABILIDADES EN REDES

Todos los sistemas de comunicacin, desde el punto de vista de auditora, presentan en general una problemtica comn: La informacin transita por lugares fsicamente alejados de las personas responsables. Esto presupone un compromiso en la seguridad, ya que no existen procedim ientos fsicos para garantizar la inviolabilidad, de la informacin. En las redes de comunicaciones, por causas propias d e la tecnologa, pueden producirse bsicamente tres tipos d e incidencias: I* Alteracin de bits. Por error en los medios de transmisin, una trama puede sufrir variacin en pane de su contenido. I-a form a ms habitual de detectar, y corregir en su caso, este tipo de incidencias, e s su fijar la trama coa ai Cdigo de Redundancia Cclico (CRC) que detecte cualquier error y permita corregir errores que afecten hasta unos pocos bits en el mejor d e los casos.

2* Ausencia de tramas. Por error en el medio, o en algn nodo, o po sobrecarga, alguna trama puede desaparecer en el cam ino del emisor il receptor. Se suele atajar este riesgo dando un nmero de secuencia a las tramas. 3* Alteracin de Secuencia. El orden en el que se envan y se reciben las tram as no coincide. Unas tram as han adelantado a otras. En el receptor, mediante el nmero d e secuencia, se reconstruye el orden original. Por causas dolosas, y teniendo en cuenta que e s fsicamente posible interceptar la informacin, los tres mayores riesgos a atajar son: I* Indagacin. Un mensaje puede ser ledo por un tercero, obteniendo b informacin que contenga. T Suplantacin. U n tercero puede introducir un mensaje espurio que el receptor cree proveniente del emisor legtimo.

3 M odificacin. Un tercero puede alterar el contenido de un mensaje. Para este tipo de actuaciones dolosas, la nica medida prcticamente efectiva en redes MAN y W AN (cuando la informacin sale del edificio) e s la criptografa En

www.FreeLibros.me
CAPtUILOIK Al'DtTORUPeREDCS 427 role* LAN suelen utilizarse ms bien medidas de control de acceso al edificio y al obleado, ya que U criptografa es muy onerosa todas (a para redes locales. Dada la proliferacin de equipos que precisan comunicacin de falos dentro de los edificio*, e s muy habitual plantearse sistemas de cableado integral en vez de tender u cable en cada ocasin. Esto es prcticamente un requisito en edificios con cierto volumen de usuarios. Los sistemas de cableado suelen dividirse segn su mbito. En cada plaa o m u se tienden cables desde un armario distribuidor a cada uno Se b s potenciales pacstos. Este cableado se denomina habitualrnente de planta". Estos armarios estn conectados a ku v e /, entre s y con las salas de computadores, denominndose a estas conexiones cableado "troncal". Desde las salas de computadores punen las lneas hacia los transportistas de datos (Telefnicas o PTTs). saliendo tos cables al exterior del edificio en lo que se denomina cableado de ruta". El cableado de planta suele ser de cobre, por lo que e s propenso a escuchas ("pinchazos") que pueden no dejar rastro. El cableado troncal y el de ruta cada vez ns frecuentemente se tienden mediante fibras pticas, que .son muy difciles de bterceptar. debido a que no provocan radiacin electromagntica y a qae la conexin fsica a una fibra ptica requiere una tecnologa delicada y compleja. En el propio puesto Je trabajo poede haber peligros, com o grabar.'retransmitir la imagen que se ve en la pantalla. tcclalos que guardan memoria del orden en que se han pulsado las teclas, o directamente que las contraseas estn escritas en papeles a la vhu. Dentro Je las reJe* locales, el mayor peligro es que alguien instale una "escucha" no auton/ada. A l viajar en claro la informacin dentro de la red local, es imprescindible tener una organizacin que controle estrictamente I equipos de acocha, bien sean stos fsicos (sn if f c O o lgicos ("traceadorts"). Ambos ocuchadores. fsicos y lgicos, son de uso habitual dentro de cualquier instalacin de cierto tamao. Por tanto, e s furxlamcnial que esc uso legtim o est o>ntrota<k> y no devenga en actividad espuria. El riesgo de interceptar un canal de comunicaciones, y poder extraer de l la formacin, tiene unos efectos relativamente sim ilares a los Je pxlcr entrar, sin ccctrol. en el sistema de alm acenamiento del computador. Hay un punto especialmente critico en los canales de com unicacioies que son las contraseas Je usuario. Mientras que en el sistema de almacenamiento las contraseas cien guardarse cifradas, es inhabitual que los terminales u computadores personales se capaces de cifrar la contraserta cuando se enva al computador central o al servidor.

www.FreeLibros.me

18.3. P R O TO C O LO S DE A L T O NIVEL
Com o protocolos <Ic alto nivel, los ms importante* por orden de aparicin en h industria so: SNA. OSI. Netbios. IPX y TCP/1P.

System N tlw ork Architecture. Fue disertado por IBM a partir de los artos al principio con una red estrictamente jerarquizado, y luego pasando a una trucan m is distribuida, fundamentalmente con el tipo de sesin denominado LU 6.2. El SNA se encuentra fundamentalmente en los computadores centrales donde sigue gozando de un extraordinario vigor, especialmente para con term inales no inteligentes de tipo 3270, y pora sesiones estableci computadores centrales y componentes softw are IBM.

asi
Fue disertado por el antiguo Comit Consultivo Internacional de Telooo*> Telgrafos -C C T IT -. actualmente Unin Internacional de Telecomunicaciones -flU bsicamente compuesto por las compartas telefnicas nacionales (llamadas KIT). 8 disertaron todas las capas, desde los medios fsicos hasta las aplicaciones trasferencia de archivos o terminal virtual. Donde ha tenido xito es en el pro de Ked X.25 y en el correo elecudnisv X.400.

N etbios Este protocolo fue el que se propuso, fundamentalmente por Microsoft, pa comunicar entre s computadores personales en redes locales. Es una extemita a n (net") del "Basic Input/Output System " del sistema operativo DOS. E* orientado a la utilizacin en I.AN , siendo bastante gil y efectivo.

www.FreeLibros.me
IPX Ei el protocolo propietario d e Novell que. al alcanzar en su momento una pttcin de predominio en el sistema operativo en red, ha gozado de gran difusin. Su

j serte est ligada a la de esc fabricante.

TCPilP

(Tramfer Control Protocol/Jntem et Prtnocol). Disertado originilmente en los atenta, para sobrevivir incluso a ataques nucleares contra los EE.UU.. e impjlsado desde los mbitos acadmicos, la enorme versatilidad d e este protocolo y aceptacin generalizada le ha hecho el paradigma de protocolo abierto, siendo la tase de interconexin de redes que forman la Internet. Es el protocolo que est opoafixJose. por derecho propio, corno gran unificador de toda-, las redes de ceancactoaes. Lamentablemente. no existe una independencia d e fa c to entre las aplicaciones y los protocolos de alto nivel. Es todava poco habitual que los clsicos programas de eompuiador central IBM se usen con protocolo distinto d e SNA. Por su parte el TCPiTP posee uru gran cantidad de aplicaciones, ampliamente difunds!, pero que no pueden funcionar con otros protocolos. Por ejemplo, la transmisin de archivos FT P (File Tram fer Proncol). el correo dectrnico SM TP (Simple M ail Tra m fer Protocol) o el terminal v irtud Tclnet han de cctct precisamente sobre una "pila" de protocolo TCP/1P. Se esablece as una alim entacin donde las utilidades refuerzan al protocolo TCP/1P. que se suelve cada vez ms atractivo para que los desabolladores escriban nuevas utilidades, a l orientadas. Adems, precisamente por su apertura, el TCP/IP es el preferido por organismos reguladores y grandes empresas, pues permiten evitar, a. ser abierto, la dependencia de ningn fabricante en concreto. Una solucin que est teniendo xito es "encapsulax" un protocolo sobre otro. Arf. el Netbios puede ser transportaste sobre TCP/IP: la capa inferior. Netbcui. puede ser sustituida por TCP/IP. quedando el Netbios "cncaptulado" sobre TCP/IP. Sin embargo, han de tenerse muy en cuenta las vulnerabilidades q je se crean al capsular. En el caso de Netbios sobre T CP/IP son vulnerabilidaJes serias, pues facilitan el tomar control rem oto de recursos que se pens que slo <e accederan en fecal. confiando, al menos en porte, en la proteccin fsica. Al ser los sistemas de comunicaciones, procesos "sin historia", donde no se almacenan permanentenvente datos de ningn tipo, los sistemas <Je recuperacin se ven especialmente beneficiados por esta caracterstica. Si una sesin cae. una vez que se

www.FreeLibros.me
* AUDITORA PiFORMATKA fX ENFOQIE PRACTICO

vuelve a establecer la sesin, el incidente queda solucionado. F.s responsabilidad del aplicacin volver a remicializar si la interrupcin se produjo en mitad d e una umdid de proceso. Por ejem plo, si la intem ipcin de la sesin se ha producido a mitad de uta transferencia de archivo, ver misin de la aplicacin, cuanlo la sesin se re.s-.ui, . determinar si vuelve a comenzar la transmisin del archivo desde el principio o ti | rcutili/a la parte que ya se ha transmitido. Si es una persona quien ha sufrido el incidente, cu an lo se reanude la scafe deber volver a identificarse con su nombre de usuario y ontraserta. comprobad hasta qu punto la aplicacin en la que estaba operando recogi los ltimos datos qae introdujeron.

Esta restriccin fundamental, d e que los sistemas d e comunicaciones te almacenan datos, permite una mayor facilidad a la hora de duplicar equipamiento Dado que una vez cerrada la sesin no queda ninguna infoimacin a retener (sai obv iamente estadsticas y pistas de auditora), la sesin, a l reanudarse, puede utilizar b misma o diferente rota. Si existen diversos nodos y diversos enlaces entre ellos, b ! cada de un nodo slo ha d e significar la interrupcin de las sesiones que per d transiten, que se podrn reiniciar a travs de los resu m es iodos. Por ello, es m norma generalmente aceptada, al menos en redes d e cierto lam ato . tener nodo j enlaces replicados para prevenir situaciones d e contingencia. Una vez ms. el protocolo TCP/1P demuestra en este caso su utilidad. Al haba sido este protocolo disertado pora encontrar rulas remanentes, inclusive ame carta masivas, est especialmente bien orientado para facilitar la reestructuracin de uru red ante fallos de parte de sus componentes, sean stos lneas, n o Jos o cualquier otro tijo de equipamiento. Cada vez m is se est orientando los e qiipos de red a manQ* prioritariamente trfico TCP/IP y aadir facilidades de gestrin de sobrecargas, rx* alternativas, tratamientos de contingencias y todo tipo de situiciones que aconteces a una red en funcionamiento.

18.4. REDES A BIER TA S (TCP/IP)

Ame el auge que est tomando el protocolo TCP/IP. como una primen . clasificacin de redes, se est adoptando la siguiente nomenclatura para las role b a sa d en este protocolo:

Intranet: Es la red interna, privada y segura de um empresa, utilice o t " medios de transporte de tercero.

www.FreeLibros.me
CArtnitO I AUDITORIA PC RUX 4)1 Extranct: Es una re<l privada y segura, compartida por un conjunto de empresas, aunque utilice medios de transporte ajenos e inseguro, como pudiera ser Internet. Internet: Es la red de redes, "m etared" a donde se conecta cualquier red que se desee abrir al exterior, pblica c insegura, de alcance mundial, donde puede comunicar cualquier pareja o conjunto d e interlocutores, dotada adem s de todo tipo de servicios de valor aadido. Infovfa es la Internet que sopona Telefnica, con peculiaridades fundamentalm ente comerciales. El mayor peligro que representa u n acceso T CP/IP no autorizado viene precisamente por la mayor virtud del TCP/IP: su amplia disponibilidad de utilidades. tW i la estandarizacin de las utilidades TCP/IP, es muy razonable suponer que cada a^uina con acceso T CP/IP tenga "puertos abiertos, que a su vez tienen direcciones realizadas donde encontrar transmisores d e archivos, servidores de correo. Kmtsalcs virtuales y todo tipo de servicios d e utilidad. Una ausencia d e proteccin Bfuficj/a que un tercero puede utilizar estos servicios normalizados, d e comn costeada en cualquier mquina, en beneficio propio. Un dispositivo especficamente dedicado a la proteccin de una Intranet ante una Eitraaet, y fundamentalmente ante Internet, es el cortafuegos (Firewall). sta es una tyina dedicada en exclusiva a leer cada paquete que entra o sale de una red para permit: vu paso o desecharlo directamente. Esta autorizacin o rechazo est basada a usas tablas que identifican, para cada pareja de interlocutores (bien sea basado en el tpo de interlocutor o inclusive en su identificacin individual) los tipos d e servicio* que pueden ser establecidos. Para llevar a cabo su misin, existen diversas figuraciones, donde se pueden incluir cncaminadores (routers). servidores de proximidad (proxy). zonas desmilitarizadas, bastiones, y dems parafemalia. a veces copiada de modelos militares. Las polticas de proteccin en un cortafuegos suelen denominarse desde paranoica.'' hasta promiscuas", pasando por todo tipo d e gamas intermedias. Dcese de la poltica paranoica cuando est prohibido absolutamente todo, requirindose una aM 'uA ii cspc^fii para cada servicio en concreto Mr cada par d e interlocutor tercios. Dccsc de poltica promiscua cuando todo c u autorizado, identificndose especficamente aquellos servicios concretos entre parejas concretas de interlocutores que se prohben. Lo m is habitual e s autorizar especficamente servicios (por ejemplo, arreo electrnico) para c ienos tipos genricos d e usuarios (por ejem plo, a todos). ow>* servicios (por ejemplo, terminal vinual) a ciertos usuarios especficos (por jtmpk>. servidor de term inales virtuales) y el resto no autorizarlo.

www.FreeLibros.me
INTERNET
EXTRANET

Figura 18.I. Proteccin de una red Intranet Para proteger la red interna "Intranet Sel exterior vuele utilizarse el esquena expuesto en la figura 18 .1. o bien variaciones del mismo. Se pane de la base de qse U informacin que viaja entre la Intranet y e l exterior ha d e atravesar la "zocu desmilitarizada" (DM Z de sus siglas inglesas), pasando por dos cncaminadores. Uo encaminadr protege las accesos desde el exterior hacia la zona desmilitarizad! (cncaminador externo) y otro protege los accesos desde la zona desmilitarizada hacii la Intranet (cncaminador interno). En la zona desmilitarizada se instalan aquclka servicios a los que haya que acceder desde el exterior y desde el interior, en m i mquina especialmente segura, denominada bastin, que debe ser dedicad! exclusivamente a este fin. Por ejemplo, un servidor proxy accede a un servidor Internet, recuperando U informacin que haya solicitado un usuario interno, y almacenndola para que poeili ser recuperada desde la Intranet. De esta manera ve evita una conexin directa dede una mquina interna a un servidor Internet. Del mismo modo, el correo clectrexo podra recibirse en un servidor instalado en la zona desmilitarizada y reexpedirse hac el interior. El objetivo e s evitar establecer sesiones directas entre una m ta aa i Intranet y una maquina externa Los encaminadores impedirn que se establezca conexiones de este tipo, salvo aquellas que especficamente se determinen. 0 cncaminador extem o slo permitir que atraviese trfico autorizado entre el exterior y el bastin, y el cncaminador interno har lo propio con el trfico entre el bastin y U red interna. Este esquema de proteccin puede ser sim plificado, a costa de disimeuir funcionalidades y solidez, prescindiendo en primer lugar del cncaminador interno, y en segundo lugar del bastin. A brir al exterior, sin proteccin, una red interna, quei fuera de la buena prctica informtica.

www.FreeLibros.me
El peligro m is clsico ex que un extrao se introduzca desde el exterior hacia U red interna. Dado que las tcnicas para saltar los procedimientos de seguridad son pibltcas y se puede acceder a ellas desde Internet, una primera preocupacin debiera ser, peridica, controlada y preventivamente, intentar sallar los procedimientos de segundad antes de que un extrao los ponga a prueba. Para comprobar los controles de acceso desde el exterior, asi corno las vulnerabilidades en la red interna, cortafuegos, servidores, etc. existen programas especfico* ya comercializados, como por ejemplo SAFEsuite. Satn. Cops... que facilitan esta tarca, comprobando la* vulnerabilidades ya cooocidai. Las nuevas versiones de estos programas, que aparecen regularmente, incluyen comprobaciones de las nuevas debilidades detectada*. Com o en el caso de los anti-vini*. *e deben tener estos programa* actualizados a fecha reciente. Un primer ataque es conseguir la identificacin de un usuario. Para ello pueden tizarse tcnicas de indagacin, leyendo el trfico hasta encomiar nombres sJe usuario y contraseas, poner a prueba la buena fe d e lo usuarios mandndoles un mensaje del tipo soy su administrador, por favor, cam bie su contrastla a manzana " o directamente intentar encontrar identificaciones habituales de usuirios ("prueba", opel". master"...). o que ya vienen por dcfecio en muchos sistemas. Aunque los archivos de contraseas estn cifrados, habitualnentc utilizando como clave de cifrado de cada contrasea la propia contrasea, com o kxs mtodos de cifra se conocen, existen programas que son capaces de probar miles de contraseas usuales ya cifradas para ver si corresponden con alguna del archivo de contraseas cifradas. Por ello es fundamental evitar que los archivos con las contraseas cifradas caigan en manos de terceros. En los sistemas distribuidos, se suele utilizar la tcnica de Vronfianza entre nodos", de manera que si un usuario est autorizado para el nodo A. y solicita desde el aodo A un servicio al nodo B. como el nodo B confa en que el nod> A ya ha hecho la autenticacin del usuario, el nodo B admite la peticin del usuaria sin exigirle la contrasea. Un intruso que sea cap o / de entrar en un nodo puede po: tanto entrar en ledos los nodos que confien" en el nodo ya accedido. Tambin aparece diversa "fauna maligna" como "gusanos", mensajes de correo electrnico que se reproducen y acaban por colapsar la red: caballos de Troya", programas aparentemente "inocuos" que llevan cdigo escondido: virus, que se amocopian de un programa/documento "infectado" a otros programas/dorumentov "limpios": puertas falsas", accesos que muchas veces se quedan de la etapa de instalacin/depuracin de los sistemas.

www.FreeLibros.me
4U AID1 TOKK INFORMTICA: US h.VKXJDI. fKCnCO

18.5. AUD ITAND O LA GERENCIA DE COMUNICACIONES

Cada v m is las comunicaciones estn tomando un papel determinante cn d tratamiento de datos, cumplindose cl lema el computador es la re d " . N o siempre esta importancia queda adecuadamente reflejada dentro de b estructura, organizativa de proceso de datos, especialmente cn organizaciones de tipo "tradicional". donde la adaptacin a los cambios no se produce inmediatamente. Mientras que comnmente el directivo informtico tiene am plios conocimiento* de proceso de datos, no siempre sus habilidades y cualificaciones en tema* de comunicaciones estn a la misma altura, por lo que cl nesgo de deficiente anclaje de li gerencia de comunicaciones cn el esquema organizativo existe. Por *u parte, j* informticos a cargo de la* comunicaciones suelen autoconsiderarse cxclusivameak tcnicos, obviando considerar la* aplicaciones organizativas de su tarea. Todo* estos factores convergen en que la auditora de comunicaciones no *iemf*t se practique con la frecuencia y profundidad equivalentes a las de otras reas del proceso de datos. Por tanto, el primer punto de una auditora e s determinar que la funcia de gestin de redes y comunicaciones est claramente definida, debiendo ser responnNe. en general, d e las siguientes reas: Gestin de la red. inventario de equipamiento y normativa de concctividad. Monitorizacin de las comunicaciones, registro y resolucin de problema*. Revisin de costes y su asignacin d e proveedores y servicios de trantpone. balanceo de trfico entre rutas y seleccin de equipamiento. Participacin activa cn la estrategia de proceso de dato*, fijacin de estndire* a ser usados en el desarrollo d e aplicaciones y evaluacin de necesidades e comunicaciones.

Com o objetivos del control, se debe m arcar la existencia de: Una gerencia de comunicaciones con autoridad para establecer procedimientos y norm ativa Procedim ientos y registro* d e inventarios y cambios. Funciones de vigilancia del uso de la red de comunicaciones, ajustes de rendim iento, registro de incidencias y resolucin de problemas.

www.FreeLibros.me
Procedim ientos para d seguimiento del coste de las comunicaciones y su reparto a las personas o unidades apropiadas. Procedim ientos para vigilar el uso de la red d e comunicaciones, realizar ajustes para mejorar el rendim iento, y registrar y resolver cualquier problema. Participacin activa de la gerencia de comunicaciones en el diserto de las nuevas aplicaciones on Une para asegurar que se sigue la normativa de comunicaciones.

lista de control

Comprobar que: * G . 1. La gerencia de comunicaciones despache con el puesto directivo que en el organigrama tenga autoridad suficiente para dirigir y controlar la funcin. Haya coordinacin organizativa entre la comunicacin de datos y la de voz. en casa de estar separadas estas dos funciones. Existan descripciones del puesto de trabajo, competencias. requerimientos y responsabilidades para el personal involucrado en las comunicaciones. Existan normas en comunicaciones al menos para las siguientes reas: T ipos de equipamiento, como adaptadores LAN. que pueden ser instalados en la red. Procedim ientos de autorizacin para conectar nuevo equipamiento en la red. Planes y procedimientos d e autorizacin p a n la introduccin de lineas y equipos fuera de las horas normales de operacin. Procedim ientos para el uso de cualquier conexin digital con el exterior, como linea de red telefnica conmutada o Internet. Procedim ientos de autorizacin para el uso de exploradores fsicos (sniffers) y lgicos (m ocadores).

* G.2.

*GJ .

* G.4.

www.FreeLibros.me
6 AUDITORIA lsmWMATK~A UN ENTOqtE PKCTKX) Concrol fsico d e los exploradores fsicos (sniffers). que deben war guardado*. Control d e qu mquinas tienen instalados exploradores lgica (traceadores). y de que stos slo se pueden invocar por u su n a autorizados.

G.5.

Los contratos con transportistas d e informacin y otros proveedla tienen definidas responsabilidades y obligaciones. Existan planes de comunicaciones a largo plazo, incluyendo cstrakpa de comunicaciones d e voz y datos. Existen, si fueren necesarios, planes para comunicaciones a a b velocidad. com o fibra ptica. ATM. etc. Se planifican redes de cableado integral para cualquier nuevo edificioo dependencia que vaya a utilizar la empresa. El plan general de recuperacin de desastres considera el respaldo y recuperacin de los sistemas d e comunicaciones. Las listas de inventaro cubren todo el equipamiento de comunicaciMCf d e datos, incluyendo mdems, controladores, term inales, lneas y equipos relacionados.

G.6.

G .7 .

G . 8.

G.9.

G . 10.

G .l 1. Se mantienen las diagramas de red que documentan las conexkaei fsicas y lgicas entre las comunicaciones y otros equipos de proceso de dalos. G. 12. Se refleja correctamente, en el registro de inventario y en los diag n o u de red. una muestra seleccionada d e equipos d e comunicaciones, de dentro y de fuera d e la sala de computadores. Los procedim ientos de cambio para equipos d e comunicaciones, m como para aadir nuevos term inales o cambios en direcciones, o adecuados y consistentes con otros procedimientos de cambio en la operaciones de proceso d e datos. Existe un procedim iento formal de prueba que cubre la introduccido de cualquier nuevo equipo o cambios en la red de comunicaciones.

G .l3.

G. 14.

www.FreeLibros.me
CAPTULO la AUPnom^DfcRfBfS 457 G.15. Para una seleccin de disersas altas o caminos en la red. e un perodo rccicnte. los procedimientos formales d e control han sido cumplidos.

* G .I 6. Estn establecidos ratios de rendim iento que cubren ir is como la de tiempos de respuesta en los term inales y tasas de errores. G. 17. Se vigila la actividad dentro de los sistemas on lin t y sr realizan los ajustes apropiados pora mejorar el rendimiento. Existen procedimientos adecuados de identificacin, documentacin y tom a de acciones correctivas ante cualquier fallo de comutcaciones. La facturacin de los transportistas d e com unicacknes y otros tendedores e s revisada regularmente y los cargos con discrepancias se conforman adecuadamente. Existe un sistema comprensible de contabilidad y cargo en costes de comunicaciones, incluyendo lneas, e quipos y term inales. Los gestores de comunicaciones estn informados y participan en la planificacin pre-im plementacin de los nuevos sistemas de informacin que puedan tener m pacio en las comunicaciones. Las consideraciones d e planificacin de capacidad en comunicaciones son tomadas en cuenta en el diseo c mplementacin de nuevas aplicaciones.

G .I 8.

G .I9 .

* G.20.

G .2 I.

* G 22

11.6. AUDITANDO LA RED FSICA

En una primera divisin, se establecen distintos riesgos para >xs datos que ceculan dentro del edificio de aquellos que viajan por el exterior. Por tanto, ha de diurse hasta qu punto las instalaciones fsicas del edificio ofrecen garantas y han Joestudiadas los vulnerabilidades existentes. Eb general, muchas veces se parte del supuesto de que si no existe acceso fsico desde el extenor a la red interna de una empresa las comunicaciones inte t u s quedan a alvo. Debe comprobarse que efectivamente los accesos fsicos provenientes del alee* han sido debidamente registrados, para c si lar estos accesos. Debe tambin reprobarse que desde el interior del edificio no se intercepta fsicamente el cableado ClMKteuo").

www.FreeLibros.me
m_AVDIJOKl\ INKWMAIK A I N I.MOQt'l IHAITX l En caso de dcvUre. bien ea total o parcial, h a de poder comprobarse cuil a b parte del cableado que queda en condiciones d e funcionar y qu opentisidid pucdi soportar. Ya que el rendido d e cables es una actividad irrealizable a muy corto pino, los p la n de recuperacin de contingencias deben tener prevista la recuperacio a comunicaciones. Ha de tenerse en cuenta que la red fsica e s un punto claro de contacto entre U gerencia de comunicaciones y la gerencia de mantenimiento general de edificios, qtc es quien suele aportar clectncistav y personal profesional para el tendido finco t cables y su mantenimiento. Com o objetivos de control, se debe marcar la existencia de: Areas controladas para los equipos d e comunicaciones, previniendo arf accesos inadecuados. Proteccin y tendido adecuado de cables y lineas de comunicaciones, paca evitar accesos fsicos. Controles de utilizacin de los equipos d e pruebas d e comunicaciones, sale# para monitonzar la red y su trfico, que impidan su utilizacin inadecuada Atencin especfica a la recuperacin de los sistemas de comunicacin de datos en el plan de recuperacin d e desastres en sistemas de informacin. Controles especficos en caso de que se utilicen lneas telefnicas nonrafa con acceso a la red d e datos para prevenir accesos no autorizados al sistema o a la red.

I.ista de control

Com probar que: * F. I. FJ equipo de comunicaciones se mantiene en habitaciones cerrad coa acceso limitado a personas autorizadas. La seguridad fsica de los equipos d e comunicaciones, tales con controladores de comunicaciones, dentro de las salas de computadora sea adecuada.

* F.2.

www.FreeLibros.me
H A * F.3. CAPfnftX) 18 AUDITOttU DfcRUX-S 4 Slo personas con responsabilidad y conocimientos estn incluidas en la lista de personas permanentemente autorizadas para entrar en las salas de equipos de comunicaciones. Se toman medidas para separar las actividades de electricista* y personal d e tendido y mantenimiento de tendido de lim as telefnicas, as com o sus autorizaciones de acceso, de aqullas del personal bajo control de la gerencia de comunicaciones. En las zonas adyacentes a las salas de comunicaciones, tudas las lneas de comunicaciones fuera de la vista. Las lneas de comunicaciones, en las salas d e comunicaciones, armarios distribuidores y terminaciones de los despachos, estarn etiquetadas con un cdigo gestionado por la gerencia de comunicaciones, y no por su descripcin fsica o mtodos sin coherencia. Existen procedimientos para la proteccin de cable y bocas de conexin que dificulten el que sean interceptados o enneciados por personas no autorizadas. Se revisa peridicamente la red de comunicaciones, buscando intercepciones activas o pasivas. L os equipos de prueba d e comunicaciones usados p a n resolver los problemas de comunicacin de datos deben tener propsitos y funciones definidos.

* F.4.

* F.S.

* F.6.

* F.7.

* F.S.

* F.9.

*F.IO. Existen controles adecuados sobre los equipos de prueba de comunicaciones usados para monitorizar lneas y fijar problemas incluyendo: Procedim iento restringiendo el uso de estos equipos a personal autorizado. Facilidades de traza y registro del trfico d e datos que posean lo* equipos de monitorizacin. Procedim ientos de aprobacin y registro ante las conexiones a lneas de comunicaciones en la deteccin y correccin de problemas.

En el plan genera) d e recuperacin d e desastres para servicios de informacin pre*ta adecuada atencin a la recuperacin y vuelta al servicio de los sistemas de comunicacin de dato*.

www.FreeLibros.me
AL'DtTORlA INFORMATICA- CX ENFOQUE PRCTICO___________________________ m * F .I2. Existen planes d e contingencia para desastre* que slo afecten a Ut comunicaciones, com o el fallo de una sala completa de comunicacioact

F . 13. l-as alternativas de respaldo de comunicaciones, bien sea con lis mismas salas o con sala* d e respaldo, consideran la seguridad fftica de estos lugares. * F .I4. Las lneas telefnicas usadas para datos, cuyos nmeros no debee ter pblicos, tienen dispositivos/procedim ientos d e seguridad tales ccoo retrol lanuda, cdigos de conexin o interruptores para impedir accesx no autorizados al sistema informtico.

18.7. A UD ITA ND O LA RED LGICA

Cada vez m is se tiende a que un equipo pueda comunicarse con cualquier otro equipo, de manera que sea la red de comunicaciones el substrato comn que le* ute. Ledo a la inversa, la red hace que un equipo pueda acceder legtim amente a cualquitt otro, incluyendo al trfico que circule hacia cualquier equipo d e la red. Y todo cll por mtodos exclusivamente lgicos, sin necesidad de instalar fsicamente runpit dispositivo. Simplemente si un equipo, por cualquier circunstancia, se pone a enviar indiscriminadamente mensajes, puede ser capaz de bloquear la red completa y. por tanto, al resto de los e quipos d e la instalacin. Es necesario monitorzar la red. revisar tos errores o situaciones anmalas que ie producen y tener establecidos l<xs procedim ientos para detectar y aislar equipos en situacin anmala. En general, si se quiere que la informacin que viaja por la red do pueda ser espiada, la nica solucin totalm ente efectiva a la encriptacin. C om o objetivos d e control, se debe m arcar la existencia de: Contraseas y otros procedim ientos para lim itar y detectar cualquier inientodt acceso no autorizado a la red de comunicaciones. Facilidades de control d e errores para detectar errores d e transmisin y establecer las retransmisiones apropiadas. Controles pora asegurar que las transmisiones van solamcnie a usur* autorizados y que los mensajes no tienen por qu seguir siempre la misan ruta. Registro de la actividad de la red. para ayudar a reconstruir incidencias y detectar accesos no autorizados.

www.FreeLibros.me
CA ttnix) i AiiDcronlA o: m iots m Tcnicas de cifrado de datos donde lu y a riesgos d e accesos impropio* a transmisiones sensibles.

Controles adecuados que cubran la importacin o exportacin d e dalos a trat* de puerta*, en cualquier punto d e la red. a otros sistemas informticos.

Luta de control

Comprobar que: L.l. El softw are de comunicaciones, para permitir el acceso, exige cdigo de usuario y contrasea. Revisar el procedimiento de conexin de usuario y comprobar que: L os usuarios no pueden acceder a ningn sistema, ni siquiera de ayuda, antes de haberse identificado correctamente. Se inhabilita al usuario que sea incapaz de dar la contrasea despus de un nmero determinado d e intentos infructuosos. Se obliga a cambiar la contrasea regularmente. la s contraseas no son mostradas en pantalla cuando se teclean. Durante el procedim iento d e identificacin, los usuarios son informados de cundo fue su ltima conexin para ayudar a identificar potenciales suplantaciones o accesos no autorizados.

L.2.

L.3.

Cualquier procedim iento del fabricante, mediante hardware o software. que permita el libre acceso y que haya sido utilizado en la instalacin original, ha de haber sido inhabilitado o cambiado. Se toman estadsticas que incluyan ta tas d e errores y de retransmisin.

L.4. L.5.

1.0* protocolos utilizados, revisados coa el personal adecuado de

comunicaciones, disponen de procedimientos de control de errores con la seguridad suficiente.

www.FreeLibros.me
4*2 AUDITORIA PtKHIMAllCA: W l-NKXX1 * PRCTICO__________________ L.6 . Lim mensajes lgicos transmitidos identifican el originante. U fedu, b j hora y e l receptor. El software de comunicaciones e>ccwa procedim ientos de control y | conectivos ante mensajes duplicados, fuera de orden, perdidos, o retrasados. l-a arquitectura de comunicaciones utiliza indistintamente cualquier reu disponible de transmisin pora minimizar el im pacto de una escucha dt datos sensibles en una ruta determinada. Existen contretes para que los dalos sensibles slo puedan set impresa en las im presoras designadas y vistos desde los term inales autorizado. Existen procedim ientos d e registro pora capturar y ayudar a rccoosmr todas las actividades de las transacciones. Loa archivos de registro son revisados, si e s posible a travs de herramientas automticas, diariamente, vigilando intentos irapropca de acceso. Existen anlisis d e riesgos pora las aplicaciones de proceso de dito > fin de identificar aquellas en las que el cifrado resulte apropiado. Si se utiliza cifrado: Existen procedimientos de control sobre la generacin e intercambio de claves. Las claves d e cifrado son cambiadas regularmente. El transporte de las claves d e cifrado desde donde se generan a ta equipos que las utilizan sigue un procedimiento adecuado.

L.7.

L. 8.

L.9.

I. 10.

L. 11.

I - 12.

L. 13.

L .I4 .

Si se utilizan canales de comunicacin uniendo d ise o s edificios de b misma organizacin, y existen datos sensibles que circulen por ello*, comprobar que estos canales se cifran automticamente, para evitar q x una interceptacin sistemtica a un canal comprometa a todas Ib aplicaciones. Si la organizacin tiene canales d e comunicacin con organizaciones se analice la conveniencia d e cifrar estos canales. otras

L. 15.

www.FreeLibros.me
* L .I6. Si se utiliza la transmisin de dMos sentibles a travs <k redes abiertas como Interne!, comprobar que estos datos viajan cifrados Si en una red local existen computadores con ntdems. ve han rev iu d o los controles de seguridad asociados para im pedir el acceso de equipos forneos a la red local. Existe una poltica de prohibicin d e introducir programas personales o conectar equipos privados a la red local. Todas las "puertas traseras" y accesos no especficamente autorizados estn bloqueados. En equipos activos de comunicaciones, como puentes, encaminadorcs. conmutadores, etc., esto significa que los accesos pora servicio remoto estn inhabilitados o tienen procedimientos especficos de control. Peridicamente se ejecutan, mediante los programas actualizados y adecuados, ataques para descubrir vulnerabilidades, que los resultados se documentan y se corrigen las deficiencias observadas Estos ataques deben realizarse independientemente a: Servidores, desde dentro del serv idor. Servidores, desde la red interna. Servidores W eb. especficamente. Intranet, desde dentro de ella. Cortafuegos, desde dentro d e ellos. Accesos desde el exterior y/o Internet.

L .I7.

* L .I8.

L .I 9 .

L.20.

18.8. LEC TU R A S RECOM ENDADAS

Aadrcw S. Tanenbaum. R e d a de computadores. Prentice Hall. Es el ib ro de referen cia. por antonomasia, en comunicaciones. Virios. COAST. Computer Operations. A udii a n d Scurit Technology. h1tp://www e s purdue.edu/coast Un actualizado compendio de conocimientos sobre el tema, con hiperenlaces a k> ms significativo del sector. Steven L. Tellccn. Intranet Organi&tion: Strategies fo r managing c tange. Intranet Partners. http://www.intranetpartners.com/1ntranciOrg. Enfoque n u y orientado a la prctica empresarial cotidiana.

www.FreeLibros.me
U AVOtTOHU IVKXtVIMKTA l'S' EXKMJlt HtAtUCO

18.9.

C U ES TIO N ES DE REPASO

1. Cules son lo* niveles del modelo O Sl? 2. Cules son las incidencias que pueden p ro d u cir en Us redes de comunicaciones?

3. Cules son los mayores riesgos que ofrecen tas redes? 4. 5. Existe el riesgo de que se intercepte un canal de comunicaciones? Qu suele hacerse con las contrasellas de los usuarios?

6 . Cules son los protocolos ms importantes de alto nivel? 7. 8. 9. Diferencias cnire Internet. Intranet y E xtraa. Qu es un "cortafuegos"? Qu es un "gusano"?

10. Qu objetivos de control destacara en la auditora d e la gerencia de comunicaciones?

www.FreeLibros.me

CAPTULO 19

AUDITORA DE APLICACIONES
J o tf M ara M adurga Oteiza

19.1. INTRODUCCIN
Qu duda cabe que una meticulosa y exhaustiva auditora de una aplicacin informtica de relevancia e n una empresa o entidad podra dar pie para poner en funcionamiento la prctica totalidad de la extensa gama de tcnica y rica metodologa de la auditora informtica. Debo, por lano, aclarar de pan ida el alcance de este trabajo dentro del contexto de la obra en que se integra: al contar con capitulo* especfico* dedicados a numerosos pecio tcnicos y al resto de etapas de la vida de un sistema, incluso a su explotacin j euntcninucnto. mi exposicin se iw a centrar en la fa se fin a l d e la vida d e la aplicacin informtica, la de su funcionam iento ordinario, una vez superada la crtica tupa de su implantacin, que habr cerrado el ciclo precedido por las de concepcin y desarrollo. Tambin he de confesar mi propsito d e que prim e la recopilacin de experiencias recogidas en los trabajos de este tipo que he tenido ocasin de dirigir, wbre el rigor de una recapitulacin de estndares de objetivo* de control, que pueden tet localizados sin dificultad a trass d e numerosas fuentes. Dichas experiencia* *e hin detensuelto en aplicaciones de gran envergadura y complejidad: utilizadas por un considerable nmero de usuarios, con gran dispersin geogrfica, diversidad de plataformas y compleja red de comunicaciones, lo que debiera haber permitido aflorar juyor nmero de problema* a tener en cuenta y a los que dar solucin. Asi pues, el objeto de este trabajo consiste en tratar de ayudar a planificar, preparar y llevar a cabo auditorias de aplicaciones en funcionam iento en cuanto al

www.FreeLibros.me
M AOfTOKlA INKXtMTICA US LMOQUK HtmTO grado de cumplimiento de lo s objetivos para los que Uts mismas fueron creadas: n carcter general. stos estarn en U lnea de servir d e eficaces herramientas operativa y de gestin que potencien la ms eficiente contribucin, por pane de la organizaciones usuarias de las aplicaciones, a la consecucin de los objetivos generales de la empresa, grupo o entidad a la que pertenecen. |

I I

19.2.

PR OBLEM TICA DE LA AUDITORA DE UNA APLICACIN INFORM TICA

Una aplicacin informtica o sistema d e informacin habitual mente persipe como finalidad: Registrar fielmente la informacin considerada d e inters en tom o a la* operaciones llevadas a cabo por una determinada organizacin: magnitudes fsicas o econmicas, fechas, descripciones, atributos o caractersticas, identificacin de las personas fsicas yfo jurdicas que intervienen o guvtba relacin con cada operacin, nombres, direcciones, etc. Permitir la realizacin de cuantos proceso* d e clculo y edicin ve* necesarios a partir d e la informacin registrada, podiendo, por unto, alm acenar automticamente ms informacin que la de partida, aunque siempre basada en aquella. Facilitar, a quienes lo precisen, respuesta a consulta de todo tipo sobre b informacin almacenada, disertadas en conienido y forma para dar cobertura a las necesidades ms comunes constatadas. Generar informes que sirvan de ayuda para cualquier finalidad de inters cu b organizacin, presentando la informacin adecuada: *e aplican -sega convenga- criterio d e seleccin, ordenacin, recuento y totalizacin per agolpamiento*, clculo* de todo tipo, desde estadstico* comunes (media, desviacin tpica, valores mnimo, mxim o, primero y ltimo, etc.), hasta tos ms sofisticado* algoritmo*.

Si este planteamiento se consigue trasladar con rigor a una aplicacin informtica y los usuarios la manejan con soltura y con profesionalidad. la organizacin a la que pertenecen contar con un importante factor d e xito en el desarrollo de su actividad Sin embargo, ni el rigor en la creacin de la aplicacin ni la profesionalidad en el uso de la misma pueden ser garantizados. Adems la profesional idad no inmunizi contra el cansancio y e l estrs. Asumido est tambin que de humano* es equivocarse, cometer errores y om isiones involuntariamente. Y tampoco e s imposible que en en

www.FreeLibros.me
CAH lU O H At btTOttU t. AltKACIONhS U l mxncnto determinado un empleado descontento cometa errores intencionadamente o tfte otro, en apuros econmicos, sucumba a la tentacin de intentar un fraude perfecto i considera mnima la probabilidad de ser descubierto, tal y com o funciona el sistema 1 1 organizacin, que puede no estar dando muestras d e ejercer un control interno OfUTOSO. Y no son stas las nicas amenazas al normal cumplimiento de la finalidad de locslra aplicacin: La posibilidad de fallo en cualquiera de los elem entos que intervienen en el proceso informtico: softw are mltiple perteneciente a diferentes firmas, computador central y dispositivos perifricos, transmisin de datos (servidores, mdems, lneas de comunicaciones, etc.) constituye otra fuente de posibles riesgos. La oooexin cada vez ms generalizada de las empresas a entornos abiertos como la Internet multiplica los riesgos que amenazan la confidencialidad e integridad de la informacin de nuestros sistemas. Y en este caso el nmero de interesados en descubrir debilidades que les abran las puertas para enredar y manipular la informacin a la que sean capaces de acceder no tiene lm ites.

Todat esas am enayis v cualquier otra que pueda se r identificada contra el to m e n funcionam iento de nuestra aplicacin y la consecucin d e tu s objetivos, han 4tM o ser objeto de un anlisis minucioso ya desde la fa se de su concepcin. Para a h ana de ellas se habrn debido estudiar las posibles medidas tendentes a eliminar Im riesgos que entraan o. cuando menos, a reducir la probabilidad de su I au tn ali/jcin hasta niveles razonablemente asumibles. siempre teniendo e n cuenta el corto de tales medidas (que no cuesten ms las cintas que el manto, segn d dicho polilla;). Dichas medidas son fundamentalmente medidas de control interno que. con a rk ttt general, consisten en los procedim ientos para verificar, evaluar y tratar de pnnti/ar que "todo" funciona como se espera: de acuerdo con las polticas, fceetric*. norma* y procedimicntoc Mecidos n lo diferente mbito* de HpMabilidad. En el terreno de una aplicacin informtica, el control interno se materializa tntancntalm cnlc en controles de dos tipos: Controles m anuales: a realizar normalmente por porte d e personal del rea usuaria: actuaciones previstas para asegurar que -e n su c aso - se preparan, autorizan y procesan todas las operaciones, se subsanan adecuadamente todos los errores, son coherentes los resultados de salida respecto a referencias disponibles sobre los dalos d e entrada, y las bases de datos que dan soporte a la aplicacin mantienen en los niveles debidos diferentes indicadores de

www.FreeLibros.me
44 Aturro!* ISIOHMTWA t'S PaOQt'H HtCUCO medicin fe \u integridad y totalidad (nmero de registros en archivo yh tablas, de relaciones o ndices, totales de magnitudes nume, conciliaciones, etc.). Controles autom ticos: incorporados a los programas de la aplicacin qee sirvan de ayuda para tratar d e asegurar que la informacin se reguae j mantenga completa y exacta, los procesos de todo tipo sobre la mi un* km correctos y su utilizacin por p an e d e los usuarios respete los mbitos de confidencialidad establecidos y permita poner en prctica principios generala de control interno com o el referente a la segregacin d* funcione*.

Controles que. segn su finalidad, se suelen clasificar en: C ontroles preventivos: Tratan d e ayudar a evitar la produccin de error a base de exigir el ajuste de los datos introducidos a patrones de formato y estructura (dalo numrico, fecha vlida, etc.), pertinencia a una lista de valores vlidos o a un archivo maestro, rango entre lm ites determinad, incorporacin de dgitos d e control en datos clave (cdigos d e dentikaeia. referencias de documentos, nomenclaturas, etc.) y, en general, cualquier criterio que ayude a asegurar la correccin formal y verosimilitud d e los daM (la exactitud slo puede garantizarla el usuario). Son de gran utilidad las comprobaciones d e conjunto de datos, buscando n compatibilidad, adecuacin y coherencia (por ejemplo, una cuenta de catj# p u o k no ser compatible con un tipo de instalacin). C ontroles defectivas: Tratan de descubrir a pasterfi errores que no h iji sido posible evitar. Controles correctivos: Tratan d e asegurar que se suhsanen todos los enera identificados mediante controles Jetectivos.

Y que pueden ser utilizados: En las transacciones de recogida o toma de dato*. En todos los procesos le informacin que la aplicacir realiza. En la generacin de informes y resultados d e salida

Pues bien, com o apuntbamos hace un momento, ya en c diserto le la aplicante se debi hacer un estudio a conciencia para seleccionar de entre los posibles, y teniendo en cuenta su costo frente a su previsible efectividad ontra el riesgo que trata d e contrarrestar, los controles considerados idneos para cada situacin planteada et los diferentes pasos de funcionamiento de la aplicacin.

www.FreeLibros.me
CaUTILO I AUDITORIA D t AI1ICACIOSES *W Este lu d io debi ser propuesto por los responsables del rea informtica -contando siempre e n el diseo con la participacin de representantes d e la organizacin usuaria-, m is a d o p o r personal d e auditora ruerna, y aprobado en ltima instancia por la direccin de la organizacin usuaria, mxima responsable de la aplicacin. Es importante recalcar la conveniencia de la participacin d e Auditora interna (con un carcter ms general que Auditora informtica) en la revisin <c los controles dileados durante el desarrollo de la aplicacin. Sus recomendacitocs deben ser consideradas -aunque la decisin final en caso de discrepancia debe radicar en la organizacin usuaria-. Lo que est fuera de toda duda es que seria tremendamente tais costoso, tener que incluir cualquier control una vez. finalizado el desarrollo, como modificacin, porque se pusiera d e n unifiesto su necesidad como rebultado de una auditora posterior a la mplementacin. La participacin de Auditoria interna en el desarrollo de u n siitcava informtico debe tener un alcance ms am plio que el referente al sistema informtico, ya que debe contemplar no slo los riesgos relacionados con la aplicacin, sino iodos los que fuedan afectar al proceso completo al que la misma sirve d e Herramienta, podiendo proponer que la aplicacin registre informacin especfica. p istas de a u d ito ria" , pira facilitar a futura auditabilidad del proceso respecto a tales ricsjps. Lo mismo cabe decir, en cuanto al requerimiento de pistas de auditora, pora facilitar las futuras auditoras informticas de la aplicacin. Despus de lo expuesto, podemos centrar la problemtica de la auditora de una aplicacin: se trata de realizar una rev isin d e la eficacia del funcionam iento de los controlrs diseados p a ra c ada u n o d e los pasos d e la m ism a frente a los riesgos que, tra ta n de elim in a r o m inim izar, como medios para asegurir la fiabilidad (totalidad y exactitud), seguridad, disponibilidad y confidencialidad d e la informacin gestionada p or la aplicacin. Ello obliga a replantearse nuevamente, y con carcter previo, si los propios lingos tenidos en cuenta en mi momento son todos los posibles o s< detectan otros noevos: unos y otros deben ser evaluados, analizada la probabilidad de su materializacin y sus consecuencias previsibles, d e cara a reconsiderar si los controles i=p(antdos. tal como estn actuando, superan con garantas de xito la exposicin a amenazas percibida en la situacin actual. Quede bien entendido que. por muy completa que resulte la revisin que hagamos de una aplicacin informtica y de los controles que incorpora, no e s suficiente para garantizar la seguridad de la misma: sta se consolida con la realizacin d e una evaluacin de los controles generales y una revisin de los controle de la funcin informtica, que estarn recogidos en el Plan de trabajos de auditora informtica.

www.FreeLibros.me
19.3. HERRAM IENTAS DE USO MS COM N EN LA AUD TO RA DE UNA APLICACIN
Antes le n a d i conviene hacer hincapi en que la trem enda evolucin de lit tecnologas, en lodo lo referente a lo* sistemas d e informacin, obliga a un esfuma considerable de formacin a todo el personal de auditora interna, y en particular a Im especialistas en auditora informtica Este reto debe estar asumido por la direccin de Auditora, que debe impulsar la respuesta adecuada al mismo, recogida en ambicioso plan de form acin, que incluya la atencin a las nuevas tendencia* jr preocupaciones. Ello no es bice para que. dentro de la poltica de la empresa, se conicmfie b posibilidad de contratar la realizacin de determinadas auditorias informticas noy especializadas (outsourcing! o personal auditor que participe en trabajos; pero sxtapR ser conveniente que b direccin de todos los trabajos sea conducida, y con suficime conocimiento general aun en los temas ms especializados, por auditores de la propia empresa. Haremos un recorrido por las herramientas m s comnmente utilizada en la auditora de la aplicacin informtica dentro del contexto que hemos delimitado <n la introduccin. En ocasiones se podrn combinar varias a la vez; por ejemplo se puede, en usa entrevista con otro propsito, aprovechar b ocasin para realizar una prueba de conformidad prevista, adems de observar la utilizacin de b aplicacin por d entrevistado e incluso, si ste estuviera interesado, rellenar o com entar un* ctKuesta que se le haba dirigido.

19.3.1. Entrevistas
De amplia utilizacin a k> largo d e todas b s etapas de b auditora, las entresn i deben cumplir una serie de requisitos: Las personas a entrevistar deben ser aquellas que ms puedan aportar al propsito pretendido. La entrevista debe ser preparada con rigor d e cara a sacar el mximo parti) d c e lb . Para ello es indispensable escribir el guin de temas y apaados a tratar (no tu cuestionario cenado), para evitar que quede sin tratar algn asunto de iiKert;

www.FreeLibros.me
caM t ii o

m A im n m U t. AH.iCAriosr.s <si

tambin exige haber alcanzado el nivel de conocimientos sobre la aplicacin ncccsano en esc momento para conducir con soltura la entrevista. Ha de ser concertada con lo interlocutores con antelacin suficiente, informndole del motivo y las materia a tratar en ella, la duracin aproxim ada prevista y. en su cacto, solicitando la preparacin de la documentacin o informacin que pueda ser necesario aponen durante la misma: no debe faltar la invitacin a colaborar con cuantas sugerencia estimen oportuno, no slo sobre el propio objeto de la entrevista sino tambin con miras ms amplia en relacin con el proceso global desarrollado por la organizacin y la aplicacin informtica que apoya el proceso.

Las jefaturas de las personas a entrevistar deben estar informadas d e las actuaciones previstas; en general ser positivo que sea el propio jefe quien comunique al interesado la necesidad d e participar en la auditora. Durante el desarrollo de la entrevista, el auditar tomar las anotaciones imprescindibles; lo ms prximo posible a la finalizacin d e la entrevista el auditor debe repasar sus anotaciones, completando con detalles que pueda recordar aquellas que pudieran haber quedado esbozadas, y reflexionando sobre las posibles implicaciones de las novedades o singularidades que el interlocutor haya podido aportar.

19.3.2. E n c u e s ta s
Pueden ser de utilidad tanto para ayudar a determinar e l alcance y objetivo de la auditoria como para la materializacin de objetivos relacionados con el nivel de utisfaccin de lo usuario. Con U* lgicas salvedades, la mayor pane d e los requisitos enumeradas para la eatrevisu son tambin de aplicacin para las encuestas. En este caso, in embargo, s que hay que preparar un cuestin an o que pueda ser contestado con la mayor rapidez a base de m arcar las respuestas entre las posibles. Conviene que todas las preguntas vayan seguidas de un espacio destinado a observaciones, y no slo las que soliciten descripcin cuando la respuesta haya podido ser Otros", caso de eleccin entre varias alternativas. Al final del cuestionario hay que solicitar sugerencias u observaciones abiertas, mejor en pgina exclusiva para ello, que pueda ser fotoeopiada por quienes necesiten ms espacio para sus comentarios.

www.FreeLibros.me
*K AUDITORIA INFORMTICA UN fcNFOQtT PRACTICO Aunque no puede ni debe exigirse la identificacin personal del encuestado, ti debe hacerse de la organizacin a la que pertenece (Cuidado con los rccueecos de resultados de la encuesta por organizacin que pudieran quedar con un nica respuesta: no deben ser obtenidos, lim itando, por tanto, la obtencin de tales recuentos a la condicin de contar con ms de una respuesta en el agolpamiento.) Sin embargo, s puede invitarse a que se identifique quien r tenga ningn inconveniente en ello, lo que permitira contactos enrqucccdom si la encuesta contestada plantea asuntos de inters.

19.3.3. O b s e rv a c i n del tra b a jo re alizad o p o r lo s u s u a rio s

Aunque por otros medios puede llegarse a comprobar que la aplicacin functotu con garantas de exactitud y fiabilidad, e s conteniente observar cmo algn usuario hace uso de aquellas transacciones ms significativas por su volumen o riesgo: pjee ayudar a detectar que. aunque el resultado final sea bueno y . por tanto, los controle establecidos sean efectivos, la eficiencia no est en el nivel ptim o: no ex infrecuerfie que un auditor experimentado identifique mejoras en este tipo de observaciones: desde carencias del usuario o vicios adquiridos que pueden denotar falta de form acia, hasta mejoras d e diseo que puedan aumentar la agilidad y productividad en el uso de U aplicacin: recomendaciones d e opciones o valores propuestos por defcctti sim plificacin de pasos, etc. Debe aprovecharse esta oportunidad para probar tambin la efectividad de kn controles de las transacciones en cuestin, solicitando la simulacin de siiuacioees previsibles de error para comprobar si la respuesta del sistema e s la esperada: interno de duplicar una operacin real, d e cometer errores de diferentes tipos en la introduccin de cada uno de los datos, etc.

19.3.4. P ru e b a s d e co n fo rm id ad
De uso general en todo el campo d e la auditora, son actuaciones orientadu especficamente a comprobar que determinados procedimientos, normas o controles internos, particularmente los que merecen confianza d e estar adecuada mera; establecidos, se cumplen o funcionan d e acuerdo con lo previsto y esperado, segn lo descrito en la documentacin o p otiunx

1.a comprobacin debe llevar a la evidencia a travs de la inspeccin de los resultados producidos: registros, documentos, conciliaciones, etc. y/u ohservacta directa del funcionamiento de un control ante pruebas especficas de su comportamiento.

www.FreeLibros.me
CAPTULO IV AUPITOKA DB AHJCACtOVES 45) La evidencia de incumplimiento puede ser puesta d e manifiesto a travs de informes de excepcin. Los testimonios de incumplimiento n o implican evidencia pero, si porten de varias personas, e s probable que la organizacin asuma com o vlidos dichos testimonios y, por u n to , las consecuencias que d e los mismos pudieran derivarse de cara a posibles recomendaciones, ahorrando esfuerzos para tratar de conseguir su confirmacin documental.

19.3.5. P ru e b a s s u b s ta n tiv a s o d e v alidacin

Orientadas a detectar la presencia o ausencia de errores o irregularidades en pocesos. actividades, transacciones o controles internos integrados en ellos. Tambin pertenecen al dominio general de la auditora. Estn especialmente indicadas en situaciones en las que no hay evidencia de que oinan controles internos relevantes, suficientes como para garantizar el correcto funonainicnto del proceso o elemento considerado. Todo tipo de error o incidencia imaginable puede ser objeto de investigacin en c s u clase de pruebas. En el mbito d e la auditora d una aplicacin informtica, irregularidades d e diversa ndole que pueden afectar a las transacciones: Transacciones omitidas, no registradas en el sistema. Duplicadas, registradas ms d e una vez. Inexistentes indebidamente incluidas. Registradas sin contar con las autorizaciones establecidas. Incorrectamente clasificadas o contabilizadas en cuentas diferentes a las procedentes. - Transacciones con informacin errnea, desde su origen o por alteracin posterior, que no refleja 1 realidad. coi posibles coiuccuciKia.i en: El montante o fechas de devengo incorrectas de derechos y obligaciones de la empresa respecto a terceros. La exactitud de las valoraciones co n u b lcs o la falta de conciliacin con ellas de la contenida en la Aplicacin. La exactitud de las mediciones fsicas, con posible desajuste respecto a inventaras.

www.FreeLibros.me
4SI AUlITtHtU ISnHtSItlCA IIN tiNtOQt'E PRACTICO Infinidad de recursos pueden ser utilizados pora delectar indicios, en prnet instancia de posibles errores; indicios cuya presencia deber lie* a profundizar en la investigacin pora constatar la existencia real de anomalas. Muchos de ellos se apoyan en la utilizacin del computador: A nlisis de ralios. as com o fluctuaciones y tendencias en magnitudes 4ce miden aspectos relacionados con la actividad desarrollad* en los procesos. Conciliaciones con ponidas que a efectos d e control puedan llevarse en u propia aplicacin o d e otros sistemas, como el econmico-financiero. Informes de excepcin producidos por la propia aplicacin pon idetcific* j situaciones que interesa sean objeto d e revisin. A pae de los de obtencin rutinaria previstos en el sistema, debiera disponerse de ros especficos para la realizacin d e auditorias, planteados desde la etapi de diserto para poder ejecutar a demanda.

O tros recursos clsicos utilizados para la deteccin de errores o sus indicios son de ejecucin manual. Normalm ente se aplican sobre muestras, estadstkas y no estadsticas. Para las primeras evidentemente son de aplicacin las tcnicas de muestreo estadstico, que debern ser respetadas para el clculo del tamaflo de las muestras y su seleccin en funcin del nivel de significacin y error mximo con que interese trabajar en cada caso. Las muestras no estadsticas, dirigidas, basarn la seleccin en la bsqseda de las operaciones con mayor probabilidad d e error y/o consecuencias ms graves, previo anlisis d e las condiciones de la informacin disponible qse permitan componer un indicador d e priorizacin. asignando puntuaciones al cumplimiento de determinadas condiciones.

Ejemplos de estos recursos de ejecucin manual son; Arqueo, Inventar, Inspeccin. Com probacin con los documentos soporte de la transaccifa (factura, albarn. etc.) y Confirmacin de saldos por pan e d e terceros (dientes y proveedores).

19.3.6. U:io d el c o m p u ta d o r
El uso de computadores constituye una de las herramientas ms valiosa en b realizacin de la auditora de una aplicacin informtica. N os referimos tac a los computadores personales, con los que el auditor informtico debe estar

www.FreeLibros.me
(.APtTVLO I ACOtTOKA tlf. AMJCMKXSbS 4SS familiarizado manejando con soltura la tcnicas de edicin de textos y presentaciones. hoja de clculo, gestor de bases de datos, correo electrnico, etc., com o al computador u computadores sobre los que se explota la aplicacin objeto de la auditora. Existen en el mercado infinidad de productos de softw are concebidos para facilitar La tarea del auditor: Herramientas que permiten el acceso generalizado a la informacin contenida en archivos y hases de datos de form a transparente para el usuario y con independencia d e las caractersticas de organizacin y modo de almacenamiento. Muchos de estos productos se presentan como "herramientas de auditora", ya que incorporan facilidades tpicas de c ^ n funcin com o pueden ser la generacin de muestras estadsticas, edicin de circularzaciones. etc. Sin restar n i valor a estos productos, y desde la ptica del auditor interno, se pueden obtener resultados similares haciendo uso de herramientas disponibles en la organizacin y no necesariamente disertadas pora funciones de auditora. Contando con una herramienta de interrogacin, un lenguaje SQL IStruciured Q u tiy l/xnguagf). se puede acceder a la informacin y seleccionar la que interese: su proceso posterior a travs de un gestor de base de datos, tipo ACCESS o sim ilar, ofrece un potencial d e tratamiento prcticamente ilimitado. Las pistas de auditora de que c u provista la aplicacin deben constituir un poyo importante a la hora de utilizar el computador para delectar situaciones o indicios de posible error. Lo mismo cabe decir de los informes de excepcin, particularmente los diseados especficamente para propsitos de auditora. Tambin hay que considerar la posibilidad de utilizar la propia aplicacin, aplicando juegos de ensayo o transacciones ficticias preparadas por los auditores, para verificar la eficacia de los controles implantados. Este tipo de pruebas no es siempre recomendable, sobre todo si no ha sido prevista tal

www.FreeLibros.me
456 Al'PtTTHtU ISMmMTKA IN ENPOQtT; PttACUCO

19.4. E TA P A S DE LA AUDITORA DE UNA APLICACIN INFORM TICA 19.4.1. Recogida de informacin y documentacin sobre aplicacin

Ames de plantearnos el alcance d e los trabajos de auditoria sobre a p lic a r n informticas necesitamos disponer de un conocimiento bsico di la aplicacin y de m entorno. Realizamos un estudio preliminar en el que recogemos toda aquella informacin que nos pueda ser til para determinar los puntos dbiles existentes y aquellas funciones de la aplicacin que puedan entraar riesgos. A travs de entrevista con personal de los equipos responsables de la aplicante, tanto desde la organizacin usuaria com o de la de Sistemas d e informacin, se inicia el proceso de recopilacin de informacin y documentacin que permitir profundiza en su conocimiento hasta los niveles de exigencia necesarios para la realizacin dd trabajo, y en una primera fase, hasta el nivel de aproxim acin sificieM e para estar ea disposicin de establecer y consensuar los objetivos concretos de la auditoria. El primer reto con el que nos encontramos es el d e identificar las personas mis adecuadas, en cada uno de los mbitos d e organizacin, p a n poder transmitir al responsable de la auditoria el conocimiento ms amplio posible de la aplicacin, ves fortalezas, posibles debilidades, riesgos c inquietudes suscitadas en tom o a ella. Identificadas dichas personas se intenta crear un ambiente d : colaboracin, con d fin de que transmitan al equipo auditor su visin personal d e la situacin, apenando cuantas sugerencias estimen d e inters, adems de suministrar h documentacin que se les solicite y estn en disposicin de proporcionar. Para cubrir esta etapa del trabajo de auditoria resulta til ccnfeccionar unas guias que nos permitan seguir una determinada pauta en las primeras entrevistas y contengan la relacin de documentos a solicitar lodos aquellos que ayuden a: * A dquirir una primera visin global del stem a: Descripcin general de la aplicacin, presentaciones que hayan podido realizarse de la aplicacin * distintas finalidades a lo largo de su vida. Plan de Sistemas de la empresa. <n lo que respecta a la aplicacin a auditar; en l debern figurar explcitamente sus objetivos, planes y presupuestos. (U n documento de gran trascendencia por su repercusin en la eficacia en el uso de la aplicacin e s el 'Manual de usuario": Concebido como soporte a la formacin en d uso de la aplicacin informtica, debe ser claro, com pleto y estar bien estructurado para facilitar su

www.FreeLibros.me
C\HTVlO I AlDTTOtUA DEAPI ICAPONES 57 consulta Es fundamental que est actualizado al da y en mi opinin im prescindible que los usuarios puedan acceder a l a travs Je la red.) Conocer la organizacin y los procedim ientos de los servicios que utilizan la aplicacin. Medame el examen de lista d e personas o dichos servicios, organigrama de los mismos y dependencias funcionales entrr ellos, bases de la organizacin y de la separacin de funciones, grado de participacin de los usuarios en el desarrollo y en las pruebas de la aplicacin, medidas generales de control (proteccin fsica, proteccin lgica), poltica de formacin y sensibilizacin de los usuarios, grado d e satisfaccin d e los usuarios, etc. Describir el enlom o en el que se desarrolla la aplicacin: ccoocer recursos de computador central asignados, nmero de mini o micro computadores asignados total o parcialmente a la aplicacin, cantidad de curaos perifricos asignados, configuracin d e la red y d e las lneas d e com uikacioncs usadas, etc. F.nteixler el entorno de softw are bsico d e la aplicacin, identificando las seguridades que ofrece y los riesgos inducidos. Asimilar la arquitectura y caractersticas lgicas de la aplicacin, lis necesario conocer los principales tratamientos y cm o estn estructurados lo dalos: programas clave de la aplicacin, lenguaje y mtodo de programacin, archivos maestros, bases d e datos y diccionario de datos, modo de captura, de validacin y de tratamiento de los datos, informes (listados! generados por la aplicacin, as como la periodicidad d e los diferentes tratamirntos. Conocer las condiciones de explotacin d e la aplicacin y o s riesgos que se pueden dar. Es decir, si la aplicacin la explotan directamente los usuarios o depende de los servicios informativos, volumen d e c ap aras. volumen de informacin almacenada en los archivos maestros, seguridaces de explotacin (accesos, salvaguardias, etc.), planificacin y organizacin general d e la explotacin, caractersticas generales: tiempos de respuesta, frecuencia y naturalejui de l u incidencia*. duracin de lo proceso baich. Conocer las condiciones de seguridad de que dispone la apicacin: controles que incorpora, definicin de perfiles de acceso a los recursos y a la aplicacin, existencia de pistas de auditora, grado d e automatizacin (mnima intervencin humana), documentacin. Disponer de informacin relativa a: Estadsticas de tiempos de explotacin para cada proceso, de tiempos de respuesta de transacciones on line. de tiempos de reproceso por fallos o errores, tiempes dedicados al mantenimiento, informes d e gestin de los accesos, informes de seguimiento

www.FreeLibros.me
1M AlTHTCXtlA IMOKMTICA t'S f.NTOQl'fc VACTICO de los salidas, protecciones d e los recursos signados i la aplicacin, perfila de acceso a los recursos de la aplicacin. Resuda conveniente que el auditor solicite los documentos formalmente, facilitando su relacin, y que stos le sean suministrados en s<f>ortc informtica en U medidu de lo posible. Hemos citado explcitamente slo unos cuantos docum eilos. por probenus de espacio, relacionando los lugares comunes que deben a b rir . Adiciooilmeme cualquier informe, comunicacin o acta de grupos de trabajo que pucdjn cstir implicados en tareas de ingeniera d e procesos, crculos de calidad, raejea permanente o cualquier otra iniciativa innovadora en e l rea de negocio a la que sirve la aplicacin, sern de gran utilidad para el auditor en su cometido. Proceder en ate* casos contactar con los responsables de tales proyectos, para potenciar las sinergia que surgirn, enriqueciendo los resultados de todos.

19.4.2. Determinacin de los objetivos y alcance de la auditora

El examen de los documentos recopilados y la revisin de los lemas tratados I largo, de las entrevistas mantenidas, e s decir, las observaciones iras el c u m a preliminar, la identificacin d e los punios dbiles y las u v io n e s crticas, debea permitirle al auditor establecer su propuesta de objetivos de la auditora de b aplicacin y un plan detallado del trabajo a realizar. E m ndenos que dedicando mis recursos cuanlo mayor fuera la debilidad o ms graves las consecuencias de h aincna/a que se somete a revisin. Es de desear que los objetivos propuestos sean conseisuados con el equipo responsable de la aplicacin en la organizacin usuaria. Es preciso conseguir una gran claridad y precisin c i la definicin de lot objetivos de la auditora y del trabajo y pruebas que se propote realizar. delitruod) pcrteciamentc su alcance de manera que no ofrezcan dudas de interpretacin. En la preparacin del plan de trabajo trataremos d e incluir. 1.a planificacin d e los tra b a jo s y el tiem p o a em plear, orden en que * examinarn los diferentes aspectos, centros de trabajo en que se t u j desarrollar las pruebas, cargas de tiempos y asignacin de los trabajos tnut los diferentes colaboradores del equipo.

www.FreeLibros.me
> CArtTl'LOt AUDITORA Pti AHJCAOOM3 4 l.a s h e rram ien ta s y m todos, entrevistas con los usuarios y lo* informticos, servicios que se van a au d iu r. documentos que hay que obtener, etc. E l p rogram a d e tra b a jo d etallad o , adaptado a las peculiaridades de cada aplicacin, pero tratando de seguir un esquema tipo: Identificacin y clasificacin d e los objetivos principales de la auditora. Determinacin de subobjetivos para cada uno de los objetivos generales. Asociacin, a cada subobjetivo d e un conjunto de preguntas y trabajos a realizar teniendo en cuenta las particularidades del entorno y de la aplicacin a auditar. Desarrollo de ternas como: Modos de captura y validacin. Soportes de los datos a capturar Controles sobre los datos de entrada. Tratamiento de errores. Controles sobre los tratamientos: secuencia de programas, valores caractersticos, controles de versin, exactitud de los clculos, etc. Controles de las salidas: clasificacin y verificacin de las salidas; presentacin, distribucin, diseo y forma de los listados. Pistas para control y auditora Salvaguardias.

T ests de confirm acin, test* so b re los d a to s y los resultados. Aquellos que consideramos necesarios para asegurar que los controles funcionan como se han descrito y previsto, y que los controles internos son aplicados.

Ejemplos de objetivos de a u d ito rias de aplicaciones A modo de ejemplo, sealaremos las lneas maestras (no serviran com o objetivos mes por incumplimiento de los requisitos enunciados) de algunos objetivos que fucilen establecerse en este tipo de auditoras de aplicaciones informticas: L K m itir o pinin sob re el cum p lim ien to d e los objetivos, p lanes y presupuestos contenidos e n el P lan d e Sistem as d e Inform acin so b re la aplicacin a a u d ita r 1.1.Cum plimiento de los plazos previstos en cada una de las fases del Proyecto: Estudio previo. Diserto. Programacin. Pruebas. Conversin en su caso. Plan de formacin e Implantacin.

www.FreeLibros.me
4<0 Al'DtKXtlA INKHtStTlCA fX ENHXy^ PUACTIOO 1.2. Cum plimiento d e los presupuestos previstos en cada una de la* h o e num erad y para cada uno de los conceptos manejados: equipo, software, contratacin exterior, personal propio, etc. 1.3. Cum plimiento de las previsiones de coste de funcionamiento normal de la aplicacin y de su mantenimiento al nivel de desglose adecuado.

2. K valuar el n itH d e satisfaccin d e los u su a rias del sistem a, tanto d* b linea o p erativa com o d e las organizaciones d e coordinacin y por* respecto a la c o b e rtu ra ofrecida a sus necesidades de inform acin 2.1. Nivel de cobertura de funcionalidades imple m enudas respecto al tool de las posibles y deseables en opinin de los usuarios, incluyendo en e concepto de funcionalidad la posibilidad de obtencin de informes de gestin y d e indicadores de seguimiento de las actis-idades de la organizacin usuaria.

2.2. Nivel de satisfaccin con el modo de operar las diferewes funcionalidades soportadas por la aplicacin, incluyendo los diseos de pantallas e informes de salida, mensajes y ayudas: idcntificacifl de mejoras posibles. 2.3. Nivel d e satisfaccin con la formacin recibida para el uso de la aplicacin, utilidad del ".Manual de usuario" y funcionamiento de lot canales establecidos para la resolucin de k>s problemas que surgen en el uso del sistema (Lnea caliente?). 14. Nivel del satisfaccin con los tiempos de respuesta de la aplicacin y con la dotacin de equipos informticos y sus prestaciones. Nivel de satisfaccin con la herram ienta d e usuario para procesar informacin de la aplicacin, en el caso de disponer de ella. (Caso de ao estar operativo y haber indicios de su posible conveniencia, el objetivo podra ser el estudio de la conveniencia o no de su implantacin.)

2-5.

3. K m itir opinin sob re la ido n eid ad del vistema d e c o n tro l d e accesos de la aplicacin 3.1. Evaluar la eficacia y seguridad del Sistema de control de acceso diseado. (Controles referentes a la identificacin de usuario y palabra de paso y posibles intentos reiterados d e acceso no autorizado.)

www.FreeLibros.me
CAHtl'l O 19 At IMIOHlA Pfc AHICACIOSBS 61 3.2. Analizar si la asignacin de operaciones y funcionalidad; permitidas a cada uno de los perfiles d e usuario diseados responde a criterios de necesidad para el desempeo del trabajo y segregacin de funciones.

3.3. Comprobar que I asignaciones d e perfiles a usuarios icspondcn a los puestos que ocupan y se evita la asignacin de perfiles a usuarios nicos en cada centro opera! i so. 4. V erificar H g rad o de fiabilid ad d e la inform acin 4.1. Revisin de la eficacia d e los controles manuales y programados de entrada, proceso y salida: seguimiento d e varias operaciones concretas identificablcs a lo largo del ciclo com pleto de tratamiento. Com probacin por muestreo de la exactitud de la informacin almacenada en los archivos de la aplicacin con respecte a documentos originales. Pruebas de validez y consistencia d e dalos d e la aplicacin mediante proceso informtico de la Base de datos real con herramientas de usuario. Pruebas de conciliacin d e magnitudes totalizadas en la aplicacin durante varios perodos de tiempo frente a las disponibles, quiz tambin a travs de utilizacin de herram ientas de usuario, en otros sistemas con los que mantiene relacin (sistema co n tab e. almacenes, com pras, etc.).

4.2.

4.3.

4.4.

19.4.3.

Planificacin de la auditora

La auditora de una aplicacin informtica, como toda auditora, debe ser objeto de una planificacin cuidadosa. En este caso e s de crucial importancia acertar con el comento ms adecuado para su realizacin: Por una parte no conviene que coincida con el perodo d e su implantacin, especialmente crtico, en que los usuarios no dominan todava la aplicacin y estn ms agobiados con la tarea diaria. En el perodo x x im o a la implantacin, frecuentemente ve detectan y solucionan pequeiWs fallos en la aplicacin, situacin que convendra est superada antes de iniciar el proceso de auditora

www.FreeLibros.me
- Por otra porte el retrato excesivo en el comienzo de la auditora puede alargar el perodo de exposicin a nosgos superiores que pueden y deben >er aminorados como resultado d e ella. En nuestra experiencia, se han manejado perodos d e entre 4 y 8 meses desde d inicio de la implantacin en funcin de la magnitud de la aplicacin. Tam bin hay que establecer el mbito de actuacin: tratndose de organizaciones im plantadas en amplias zonas territoriales, ser neceur delimitar el cam po de actuacin de la mayor parle de las pruebas a realizan un reducido nmero d e centros d e trabajo. Sin embargo, se ampliar d mbito. de manera que abarque la representacin ms extensa posible de usuarios y centro, en aquellas pruebas en que se considere factible, sil incurrir en un coste desproporcionado (encuestas, procesamiento de informacin, contactos telefnicos, etc.). Para la seleccin de ese lim itado nmero de centros en los que llevar a cabo d trabajo de campo, conviene solicitar a la organizacin usuaria que lot proponga, en base a razones por las que estime puedan aportar mayor valor rf trabajo: vu participacin como pilotos en el desarrollo del sistema o en proyectos de innovacin y mejora relacionados con el proceso, haber experimentado recientes cambios organizativos o en su personal directivo que puedan implicar riesgos adicionales, la existencia de indicadores de actividad que se desvien significativamente de la media general, etc. Debe conseguirse cuanto antes, solicitndolo ya en las primeras tornas de contacto, las autorizaciones necesarias para que el personal de auditora, que est previsto participe en el trabajo, pueda acceder a la aplicacin y a las herramientas de usuario. Se solicitar un perfil d e auditor - s i especficamente se hubiese considerado- o . en otro caso, aquel que ofrezca las mayores posibilidades de slo consulta: permitir dedicar a su conocimiento, y a preparar pruebas que puedan precisar mi uso, esos tiempos de parada que suelen producirse en el desarrollo de otros trabajos que vayan a ejecutarte durante los meses anteriores al inicio del trabajo de cam po de nuestra auditora de aplicacin.

19.4.4. Trabajo de campo, informe e implantacin de mejoras

En principio las etapas d e realizacin del trabajo de campo, de redaccin dd informe y de consenso del plan de implantacin de mejoras, no ofrecen peculiaridades de relevancia respecto a otros trabajos de auditora. Es por eso que n o vamos a hacer

www.FreeLibros.me
CaHUII-O I Al'DITOtllA Dti AfKCAOOWS 4fc1 n ls refere ocia a ellas que algn comentario que la experiencia nos sugiere d e validez p*r* cualquier auditoria. La etapa de realizacin del trabajo de cam po consiste en la ejecucin del programa de trabajo establecido. Evidentemente, k resultados que se van obteniendo pueden llevar a ajustar el programa en funcin d e dichos resultados, que pueden aconsejar ampliar la profundidad de algunas pruebas, acometer otras no previstas y concluir alguna antes de su final. - Una recomendacin de cara a esta etapa es la de plantearse la mnima utilizacin de "papeles de trahajo. en el sentido literal, fsico, potenciando la utilizacin de PCs porttiles com o soporte de la informacin de las muestras con las que se vaya a trabajar y para la recogida de informacin y resultados de las diferentes pruebas: no es s lo cuestin de imagen, sino de productividad. Respecto a la etapa de redaccin del informe de la auditora, que recoger las caractersticas del trabajo realizado y sus conclusiones y recomendaciones o propuestas de mejora, quiero recoger la inquietud, que compartimos los integrantes de nuestra direccin d e Auditora, por el tiempo que nos est requiriendo: lo consideramos excesivo, tanto en horas de dedicacin com o en avance del calendario. Son de aplaudir iniciativas como la propuesta en el articulo "T he single page aodit repon", de Francis X. Bossle y A lfred R. Michcnzi. publicado en la revista Interna! auditor de abril de 1997. que por nuestra parte estam os dispuestos a experim entar.

En cuanto a la etapa de implantacin de las mejoras identificadas en la auditora, sim plemente quisiera lanzar un reto: la situacin ptim a a alcanzar es conseguir que la organizacin auditada asuma las propuestas de actuacin para implantar las recomendaciones como objetivos de la organizacin, iniciativa con la que gratamente nos hemos visto sorprendidos en un reciente trabajo en nuestra empresa: sta es la mejor seftal de valoracin positiva por pane de una organizacin a un trabajo de auditora.

19.5.

CONCLUSION ES

l a creciente im portancia a sig n ad a a los sistem as d e inform acin como ayuda aotinuble c imprescindible en el desarrollo de los procesos de negocio, aportando no ya informacin, sino conocimiento -s e est dem andando- que apoye la correcta toma de decisiones atribuye esa misma im portancia a la auditora d t las aplicaciones informticas, garantes del correcto cumplimiento de la funcin encomendada a las m u s . Efectivamente, si la base de la toma d e decisiones no es segura, fiable y confidencial los resultados pueden ser exactamente los contrarios a los pretendidos.

www.FreeLibros.me
464 AllDfnxtlA INtOHMATKA W MtOQlT. fRCTlCO___________________________ U4W Por otro lado el e norm e y c o n tin u o avance tecnolgico e n este terreno y la a p e rtu ra de lo sistem as al e x terio r. exlRe u n g ra n esfuerzo d e form acin a ta a uditores inform ticos, que debe ser cuidadosamente planificado, pura poder segur ofreciendo las garantas mencionadas en un e n to rn o c ad a vez m s amenazado por nuevos riesgos. enmAados t n c a s mi u n f tecnologas. Tngase en cuenta que lis amenazas son de tal calibre, que pueden llegar al extrem o de poner en peligro la supervivencia de aquellas empresas que fracasen en el cmpciVo de tener bajo control d conjunto de la funcin informtica que da soporte a sus sistemas de informacin.

19.6. L EC TU R A S RECOM ENDADAS

Manuales de Auditora informtica d e las empresas de Auditora y Consultora Metodologta de Auditora A U DINFOR". del Instituto de Auditores 1memos de h s parta (incluye programa informtica). Handbook of ED P Auditing. de Stanley D. Halper. G le m C. Da vis, P. Jarlath ONcdDunnc y PamcU R Pfau (COOPERS & LYBRAND). Systems auditability & control, compilado por: T he Institutc o f Intemal Auditor*. lie. Researcbed by: Stanford Research Institute.

19.7. C UES TIO N ES DE REPASO

1. 2. Qu fines persigue una aplicacin informtica? Enumere las principales amenazas que pueden im pedir a las aplicaciones informticas cum plir sus objetivos. Qu es una pista de auditora"? Explique en qu ocasiones utilizara la tcnica de encuesta frente a U de entrevista. Cundo se deben llevar a cabo pruebas de conformidad? Y pejehs substantivas?

3. 4.

5.

www.FreeLibros.me
CAPfTVIOW AID!* U fc AHKACTONKt **5 6. Valore la importancia del manual de a m a o p a n aplicaciones. la auditora de

7.

Qu aspecto* se deben considerar en la preparacin del plan d e trabajo detallado? Proponga tcnicas para medir el nivel d e satisfaccin del usuario con el modo de operar de las aplicaciones. Cm o verificara el grado de fiabilidad de la informacin tratada por una aplicacin?

8.

9.

10. Cree conveniente que el auditor tenga autorizacin para actualizar datos de las aplicaciones que e sti auditando?

www.FreeLibros.me

C A PT U LO 20

A U D ITO R A IN FO R M T IC A D E EIS/D SS Y A P L IC A C IO N E S D E SIM U LA C I N

M anuel Palao G a m a -Su elto b i e captulo versa sobre la Auditora Informtica (A l) de lo "Ezecuttve Informabcn Syuemx/Deeision Support Systems y las Aplicaciones de Simulacin. Aunque se trata de aplicaciones informticas cuantitativamente minoritarias, su nto creciente, su importancia relativa y otras caractersticas las hacen particularmente iKercsantes para el auditor informtico.

20.1. PROPSITO Y EN FOQUE

El objetivo de csJc capitulo e s presen lar este tipo d e paquetes y aplicaciones tefalando sus caractersticas diferenciales respecio de la mayora de las aplicaciones informticas de gestin, y realizar unas reflexiones y recomendaciones de Auditora hfcrm tka (Al) especficas para esas caractersticas diferenciales. Por razones de deferencia hacia el lector y del espacio disponible, se ha optado per un enfoque genrico (sin abundar en tcnicas o paquetes comerciales concretos, peejemplo) y por excepcin (sin cubrir en detalle tem as y tcnicas ms generales ya cubiertos en otros captulos). En todos los casos, supondremos que se trata d e implantaciones de paquetes y no de desarrollos a medida (que difcilmente estaran justificados). 'U la n S.ttWm'. Sn irn * Inhcnus-W* * U Direccin: en aktarer SI DI MSI I -Ptfiutm SmpfK-Hi Syttemi", SnMnut di Ayub a U IVoute: en adelante SAO(DSS|

www.FreeLibros.me
4W AllDrrORU INFORMATICA: tNENKXyife

20.2.

DESARROLLO DE LA S DEFINICIONES OPERATIVAS DE LOS C O N CE P TO S CLAVE

-Ov tres conceptos introducidos al principio del capitulo exigen ciertas prccisknc* para poner en perspectiva el planteamiento de este capitulo.

20.2.1. Auditora Informtica

Sin perjuicio del ms am plio y detallado planteamiento que sobre A l se hace i la Parte I de este libro, deseo destacar aqu dos caractersticas importantes de la mi>ra: i) la amplitud y variabilidad del concepto, misin, objetivos detallados y to ra organizativa* de la AI; y ii) su nula o baja regulacin oficial.

20.2.1.1. A m plitud y v ariab ilidad del co ncepto de Al Si se acepta como definicin operativo am plia de Auditoria Informtica: a) Una actividad profesional de investigacin, evaluacin, dictamen y recomendaciones... b) centrada en la informtica como actividad o fin en s misma... c ) como instrumento al serv icio de otras funciones ms o menos dependitnus de ella... d ) o en ambos aspectos... e ) con el fin de enjuiciar si ayudar (auditores... consultores) a que... 0 la organizacin y su funcionamiento sean conformes (Control Interno) con lo dispuesto... (estructuras polticas, procedim ientos... g) por quien tiene poder legitim o para disponerlo (los "due/los" (interesados o sm ktholders]: Consejo. Presidente Director G eneral. A d m in istrar Pblica... quedar manifiesta la amplitud y variabilidad seflaluda.

20.2.1.2. N ula o b a ja regulacin oficial d e la A l La sariabilidad de concepciones sobre lo que es la A l. su relativa juventud, una insuficiente apreciacin de su importancia y otros intereses en juego han limitado o frenado dicha regulacin (diversa, segn pafses y sectores -esto s ltimos, tratados a la Pane III de este libro-).

www.FreeLibros.me
CAffU-XO a>. AtlWTOKlA IMORMUCA PE HSSiPSS Y AIUACIOXK- M Ante c u falta de regulacin, las asociaciones profesionales, y en esie caso -d e oodo destacado- ISACA (Information Systems Audit and Control Aisociation) han propuesto normas y cdigos de buena prctica de uso voluntario, entre los que cabe destacar CobiT. A este conjunto d e documentos (an en evolucin ruando escribo oto) me remitir, ms adelante, como norma de aplicacin.

20.2.2. SID[E/S] / SA O [DSS]

Los Sistemas de Informacin a la Direccin -SID |Y S|- y los Sistemas de Ayuda a U Decisin -SAD[/JSS}- han venido suponiendo en la historia de la Informtica de Gestin un Santo G rial" o "manto d e Penlope": un anhelo an no suficientemente realizado. Los S ID [/5] y los SADfOSS) han sido, casi desde que se acuaron los trminos, ccopafteros de viaje, aunque su tecnologa, grado de evolucin y nivel 4c uso no sean prejos.

20.2.2.1. A ntecedentes de los SID fEISI Las prestaciones tip iis de U Informtica de G estin a lo largo d : sus diversos id icn evolutivos: InformatiMcin Administrativa (Nminas y Contabilidad) en la fcada de los sesenta: Sistemas de Informacin en los setenta, etc., no lun podido o no haa sabido aportar al Directivo la informacin adecuada (oportunidad, actualidad, nd de agregacin, ele.) que requera. Ya en la dcada de los setenta com enz' la moda del M IS ("Management hfom aiivn System ". Sistema de Informacin d e Gestin), que an d a nombre a m is e un depan am ento informtico. Dicha moda supuso buenas aportacunes tericas y p ic as. pero muchas ms operaciones de oportunismo en mercadotecnia4 a su mpacto en la informacin de direccin fue limitado.

www.FreeLibros.me
4 AtOTIORlA INFORMTICA: UN PJOQl'B WttUCO___________________________H a 1 20.2.2.2. A paricin de los SID JE /S)

A mediados de los artos chenla comenzaron a proliferar paquetes. apljcaacoei j textos de SID[EIS\. con planteamiento vanados, muchos de los cuales no la quedado retenidos en las actuales tendencias. Entre esos planteamientos, uno -cay* . ira/as perm anecen- e s el de ta ja r de rango al M IS. que devendra una herramicro pura mandos medios, dejando espacio por arriba para el ms noble S ID |E /S |\

20.2.2.3. l.os actu a les Sll)[A7.S| En los ltimos sitos, los SID (/S] parecen haberse estabilizado en su enfoque y funcionalidades, como esquematiza el cuadro siguiente, y que se resume en: pie accesibilidad y fcil uso. Esta facilidad de uso ha conducido a una utilizacin a h em athxi de los SID(/.St su utilizacin como un siMcma general de informacin "para todos.6 Tabla 20.1. Caractersticas usuales de los actuales SID fE lSJ Ttertaz Grfica | Iconos. irtuitiso. (tfctil. men dinmicos con cambio *taactivos, hipcrlcxlo. kipemiedio. personal i/abte. "Qery" sencillo. "tala drivea Por jerarquas anidadas. ' drill-dohw*. Bases de Dato Corporativas. Crectet directamente a la BD Corporalit (por ejemplo, f OLAPj en hijar de hacer rplicas o extracto "locata*. Informacin H l t n u Informacin cualitativa.7 Tupia (vdimcnuonalf ipar-idictru Ol-AP. ROtAP) _ _ Predefinidas > personali/able. InixmjciiVi hi0rica y de conlexio. Semforo.

Deteccin de detsuctone Hntomo ofimtico Herramienta Mlododcjfcsirrolio Programacin

I Usualmeitte. prototipos evolutivos. ] Grfica irteraciiva. por mens. grneracio automtica dt I cdigo de alio nivel (estructurado) propietario, ediuble. I

' JOIINW. pp. 330-331. S* h KulUa el juego de piU ns I:IS E urn M / l ^in n in ' Surrm Snunt k Informvion jura Todo Ver C*v> CIGNA Corpetti en CURTO*, p 25. ' l.m w lcm u < 3e lorauK.-K'in. genculmeete. vMo san dalos unliutistn. <rr*S> -ifurrcn en la estructura de ccoirol c la egresa. espeviTh-aamc fura el uto por ese xenu." CVRT95*. f. 21

www.FreeLibros.me
CAPfniLO Xt AUDITORAINHlKMAtKA t >KVPM Y APUTACIONES Ejemplos de paquetes con e s t funcionalidades COMMANDER. Pll.O T . DSS de MicroSrategy. pueden ser: 47 1 HOLOS.

20.2.2.4. A ntecedentes de los SA D (/J.S'.S) La decisin e s la Urea por antonomasia de la persona* y empresarial m oderno- del ejecutivo. en un contexto

Los sistemas le ayuda a la decisin son tan antiguos com o la Him anidadv: los racionales y eficientes, bastante m is modernos <y an poco aplicados) , En todo caso, los ejecutivos toman decisiones continuam ente" de forma poco estructurada. A m me parecen particularmente interesantes dos aspectos: la baja n u b ilid a d (a los datos, modelos, n u o o es y documentos), y la baja/nula potabilidad (exigencia de responsabilidad por la decisin concreta) d re c u .

20-2.2.5. A paricin d e los SAD|O.S.S) Los SADf/J.U'| ton. tambin, tan antiguos como la Informitica.

20-2-2.6.1.os actuales S A I * . ) Los actuales SAD(/>SS1 comparten una serie de caractersticas que se resumen en b guente tabla.

*En cuanto' libre" que *cenfrentaacfcican. *1j Prospectiva KtenUtKK U islrulufu. kn fc.uk*. U quiromancia. y suscVmn numcrcnum tan (muchas r las coale*han llegado a r*esiros dfasl.*i m u n a40 000arto*1. C (Bntanntca. 1 5 t IV: (tune lelhnj") En nmgdn ciw se tu probado w valor predKtivo o de ayjda a I* decisW w acKul. y ra c*w Kxi kan dejado evidencia . al mac*. un "tetiDa" inequvoco deenir a nteres * u> adwmstracetx " la tllunut iM cadas se la drwotUAj un lorawdable aui>|ue. en general, incoKluyenle y atruvanrctt tevVKX- cuergo de cwraernos psicolgicos. socules y escmmios bre a tema de La 'te* de la dcciun" (es Kstaditfica) persigue b solucin ptim a a prtii de na ene * ettaios M ecales. unos estados finales posMes y un conjunto de evpenmecbvs ditpoaiMft El >v*4cu de la decisin" (en MalerrdlKas) busca u algonenw o rewxivwlad que K una respuesta *4ut.->a (Britamica. ISed.lll. pp 424. u). " ' estructurada. muki-dunmwxuiet. ad Hor. e mpradeoNe*.*CURTWa. p 2J.

www.FreeLibros.me
Tabla 20.2. Caractersticas de lo s actuales SAD D SS/ Herramientas C alculadora Estadstica descriptiva grfica t riattiva Anlisis tendencias. Bsqueda automticadel mejor ajuste Ajustes automticos Leusuajes de 4* Generacin Anlisi sensibilidad Bsqueda de objetivos (normalmente con en un intervalo). I .'lujlmettt. una "opcin" de un S1DIEISI1 Cnectividad Soporte ofimtico C'dccisiooe* inmediatas!

Series Temporale* Modelos Paramftrico No Pnxcdimentales -What i r -Goal ScetinfT

20.2.3. Aplicaciones de Simulacin

Desde Io inicios de la Informtica. sta ve ha usado en variadas aplicacioncs de sim ulacin.

20.2.3.1. A plicaciones de Sim ulacin La irrupcin de la Investigacin O perativa en la gestin en kw aos cincuenta dio lugar en los sesenta a una irrupcin (limitada al reducido m bito de las empresas suficientemente "culturi/adax") de aplicaciones y paquetes de simulacin1 1 , fundamentalm ente de teora de colas.

2 0 .2 J.2 . A plicaciones de G estin y A plicaciones Tcnicas A qu me ceilir a las aplicacioncs "d e gestin" para ayuda a la tom a de dccisiooes DAS(DSS). aunque es evidente que la frontera est desdibujada, pues -salvo en casos de ciencia pura- las sim ulaciones tcnicas" sirven o pueden servir para loma de decisiones de gestin", en muchos casos de gran transcendencia econmica. Las aplicacioncs de gestin" - a su v e z - sirven a dos grandes propsitos: i) la planificacin o diserto; y ii) la optimizacin o reingeniera.

GPSS. Central Parpse

Syittm. lodivfa cuoenie. e*unodetlk

www.FreeLibros.me
captulo

a> Atono ia i n k x m a t k a ot msvpss y apix 'aciom j

Fu el primer caso, se trata de disertar o planificar una realidad an inexistente (es I caso de inversiones en infraestructura o e n planta). En este caso, los grados de libertad al desarrollar el modelo son mxim os (se pueden cambiar la "ctru ctu ra" y sus "reglas"; los riesgos de error asociados, tambin, al n o existir posibilidad de contrastacin emprica directa (comparar el funcionamiento del m odelocon la realidad que modeli/a). En el segundo caso, la infraestructura ya existe, se trata de m e jo rar-m is o menos A clm ente- su funcionamiento. En este caso, los grados de libertad - y los riesgos ociados- son menores: la estructura" e s in a m o v ib le 's e pueden explorar reglas alternativas; caben ciertos contrastes empricos.

20.2-3.3. T cnicas de m o deluacin y sim ulacin p o r co m p u tad o r Hay una gran variedad de tcnicas de sim ulacin combinables con la variedad de lenguajes en que se pueden im pkm entar. Las aplicaciones de sim ulacin se programan, todava m is frtcucitcm cntc d e lo deseable, en FORTRAN o en BASIC, con una introduccin progresiva de lenguajes ms modernos. Entre los paquetes, aparte de una plyade de paquetes para fires especficos -desde gestin de tesorera a distribucin en planta de grandes superficies, pasando, por ejemplo, por optim izadores del proceso de produccin de cerveza-, hay tambin tea gran variedad de paquetes de propsito general (horizontales, no especficos de a funcin o sector): entre stos, por citar d o s1* tipos importantes, c stin los de anulacin esttica y los de simulacin dinmica: y los deterministas y los cstocscos. La tendencia (no justificable en este espacio) es hacia los dinmicos, estocsticos c interactivos, y con una excelente interfaz grfica (GUI). Entre stos se pueden citar: Arena. T aylor II, y W ITNESS1'. Todos ellos se caracterizan (en mayor o menor grado) por una orientacin a objetos, una fcil programacin grfica, por men*. y por cdigo de alto nivel (generado automticamente). Su potencia, fletiblidad y facilidad <tr uso varan al igual que sus facilidades de "nrumentacin Mema". Los SID y los SAE se presentan frecuentemente juntos, como se ha dicho, por tazones funcionales y comerciales, aunque estrictam ente- pueden tratarse de modo independiente. En la figura de la pgina siguiente, se muestran conjuntamente.

www.FreeLibros.me
*U AUXtOKlA INfOHMTICA UN t.NtOQt'F PKACHC1)

A partir de un Banco de D alos Corporativo |1 ) se obtienen directamente (o indirectamente [2 |. mediante una Base de Dato* local) vistas (31. Ambo* enfoques tienen ventajas e inconvenientes: el ataque directo a la Base de Ruca Corporativa tiene la ventaja del acceso a la totalidad actualizada y e l inconveniente de la mayor concurrencia, tiempo de respuesta y complejidad (cuando, de hecho, d nivel desagregado rara vez interesa al ejecutivo); el uso de una base de datos privada o local para el SID reduce y resume la informacin y plantea el problem a d e los crcrioi y filtros de extraccin y el del ciclo de refresco (que. en la mayora d e los sectores, no e s crtico). I-a tendencia e s el ataque directo a la Base de Dalos Corporativa Las "vistas (3) son la frontera entre los SID y los SA E: dependen del upo de herramientas que se les apliquen: si no hay ninguna o son sencillas, nos qudame co el SIO. si son ms complejas, posamos al SA D (4). Si se aplican paquetes de sim ulacin [S] que rebasan las herramientas propias del SAD, estamos en una situacin de SAD. pero usando otras herramientas y -cventualm ente- otras fuentes de dalos [6].

20.3. SINGULARIDADES DE LA Al DE LOS SID[E/S], SAD [D SS] Y SIMULACIN

Sobre A l de los SID(fc751 se encuentra una cierta cantidad d e documentacin; do as sobre SA D //>S.S/ y Simulacin. Sin embargo, parece que debera preocupar a is este ltimo grupo de aplicaciones, debido -so b re io d o - a la m ateriadair o importancia relativa de las decisiones que entren frecuentemente en juego.

www.FreeLibros.me
20.3.1. Al de los SID [EIS]
Por lo que respecta a la A l de los S ID | /5 |. las tablas 20.3 y 20.4 resumen los principales riesgos de control general y de aplicacin'*. Tabla 20.3. R iesgot de Control General Se puede acceder a datos ylo manipularlos va el SGBD (tamo mi si hay 2 n c ik m n : BD Corporativa y BD local) u otra utilidades Probablemente hay dalos en PCs y tap<opv entornos poco seguros. Puede tratarse de informacin muy temible. sobre lodo si lleva asociado informes, memorandos y mensajes. Las facilidades de extraccin de informacin facilitan el robo. I Lo procedimientos normales de control de lelecomunicanoncs no o aplicables Logical" I La arquitectura de stema abierto liene mis debilidades de control. El Desarrollo Riptdo puede suponer fall de anilisu o diserto La gestin y control de accesos e compleja. 1.a programacin de usuario final es difcil de controlar. Matinal I

1.0 equipos y datos distribuidos dificultan la gestin de copias de

I.O planes de contingencia pueden no ctahnr o no cubrir suficientemente loa PC s

Personal y procedmienten

Ixm directivo* pueden resistirse en la prlctica a procedimientos de seguridad y control.

FJ control sobre dalos cualitativos es mis difcil de implementar. --------------------- Los propietarios de dalo pueden decidir comunicarlo un que *e hayan res nado suficientemente

A efecto de AL lo auditores deben tener una alta cualificacin: el u*o de herramientas CAAT" ser difcil: iodo ello encarecer! la auditoria

*Ampiamente huidniCURTM h PT JO-JI. " Sopen* Lgico" CAAT. C/imfmUr AiUirJ iU M Tool Ion TVvfcinp-! Iknm>cnu (o Tcnica) t Auditoria Ambii per Compabdcr.

www.FreeLibros.me
4? aumivhiIa iNKmMiK A u n KMSxjtt. r a A c n c o __________ Tabla 20.4. R iesgos d e Control d e Aplicarn

Entrad

T: v ....

' -

Dependeocia 1c fuente muy dnpersav Carencia Je controle normalizado obre fuente? externas. Dificultad de controlar dato cualitativo. Presin para introduccin de dato urgente, ante de >u rcvuio. Accco no autorizado gracia a la interfaz fcil de usar. Gestin de accesos compleja.

PTO C CSO S

Rutinas de proceso complejas. En el caso de herramientas estadsticas y de simulacin, el algoritmo, m limitaciones, su aplicabilidad y u documentacai pueden ser uudecaaJa o insuficiente* l-a modificacin continua del logical puede inhibir controle * mantenimiento y gestin de la configuracin Carencia de procesos estructurados de desarrollo.

Sallis

Se pueden enviar salid va e mail a destinatario! no autorizados. La exactitud de las salida grfica es m difcil e serificar. Tabla 20.5. Consideraciones sobre la Auditora deSID /FAS/'*

Controle de Desarrollo

El liderazgo y la participacin comprometida de la Aka Direccin son cruj 1. El SID(7S pueaica a lo mando medios, que (crin hostiles El directivo responsable del proyecto debe tener el ril. el poder, el tiempo y el propsito de que el sistema te adapte a las necesidades de la organi/aota y est claramente enlazado con su objetit'os de negocb. R Al (Wn* peulirifur d n f el esltufco A* iuKIkH El SID[/S] et declinado a la toma (asistida por SAD(055|. o no) dr decicmei eifrar/jriou F.no muestra una ituacin de altsimo riesgo para d Al. Principales facore crtico de xito: gestin le pnblema de dalo, gn&a de resistencia organizativa, gestin del mbito y la evolucin

Dato

El mbito de anlisis de la Al no debe limitarse al SID|C/5). sino que drt* abarcar la totalidad de los Sistemas de Infamacin que directa indirectamente inleractra con l o le aporten dalo.

" Extractadode CVR9$. y adaptado

www.FreeLibros.me
C A rtitu) auditora imokx U tk a db mss/p ss v am jc a o o m . v Tabla 20.5. Consideraciones sobre la Auditora d e S ID /E ISII (Continuacin) 1j auditoria de un SID|/) debera comen/ar antes de que los dates lleguen a estar en el mino. t i aumento de riesgo (por el riesgo estratgico del SID(/5] debe llevar a revisar los objetivos, controles, lamartos de muestra, etc. de las spinacione* de oriten. Particular atencin debe prestane a la revHio de los procedimientos de control interno de entradas y procesos; documentacin de programas, listados de Trlecotnuni- El entorno puede ser internacional. con d ise ra i redes LAN. WAN. Ultra e Imerfaz de Uwuno La facilidad y sencillez de uto son crticas El Al debe evaluar: la calidad de U interfaz de usuano. la nasegabtlidad. la facilidad de informes a medida, la flexibilidad y calidad de lo* grfico, la facilidad de uso de las herramienta* de anlists. y la facilidad de acceder a datos estemo, integrar dato* en Hornos ofimiticos v producir salidas por fa* y e-mail. HI Al debe asegurarte de qoc -desde el inicio- (para minimizar lo cambios posteriores) el sistema satisface en contenidos y procedimientos las necesidades a

Coaesde ~ Debe disertarse el sistema ms simple posible que utisfaga en contenidos y procedimientos las necesidades reales de los ejecutivos usuarios. El mtodo de Desarrollo desarrollo ser normalmente por prototipos mo&irhvu. cuyo control de costes puede ser ms difcil. La justificacin d d gasto es intangible. Segundad^ FJ mas or nesgo es el de filtracin de informacin estratgica. La posibilidad de errores o de manipulaciones puede tener consecuencias muy 1 IX-ben extremarse los controles de: autentificacsn de accesos, autoriacin d i 1 accesos a informacin sensible, registros de accesos y tekcoenunicaciones. | registros de modificaciones, cifra' segundad fsica (manipulacin, robo) de equipos, es nacin de copias en disqucie. proteccin antivus. proteccin fsica y lgica de las comunicaciones, seguridad del sistema operativo, de la red y del {estoe de bases de dalos Asegurar que no se falla en la identificacin de informacin relevante.

^'anos (de

Asegurar que no se falla en la interpretacin del significado y valor de esa

____

Asegurar que no se falla en la comunicacin de informacin a cn decivxes clase.

La Tabla 20.6 propone una seleccin''1 de objetivos de control extractados <lc COBtT 96. Se centra m s en controles generales" que en controles de aplicacin". Pretende servir d e complem ento a las presentada* ms arriba. ^ 'E ciipw io'. ;i tu a seleccin es <kl autor S el ciprtuloi NO de ConiT. U tradvcon *1castellano de los objetivo* leccMrol NO ha do homologad.

www.FreeLibros.me
T AtTHWmlA IMOKMUItA t X IVHKJt.'F ACUCO TtM tt 20.6. Principales Objetivos de Control (COBIT 96) a considerar en A l de SAI) (DSS) y Sim ulacin Objetis-o de Control "La calidad de la evaluacin de ries go* debe asegurarse coa un mttodo Arduo estructurado y con asesore* obre problema nesgo que eln cualificado " El enfoque de la evaluacin de riesgo* debe asegurar la aceptacin formal del riesgo residual, segn la identificacin y medida del nesgo. la poMtica organizativa, la mcertidumbre incorporada al peopto enfoque de evaluacin del nesgo. y el ccmeeftcacia de implantar salvaguardas y control El nesgo residual debe com pensarse con una adecuada oibenura

jro

9.2

Evaluar Riesgo 9.6

POIO POII A ll

Proyectos Gestionar U Calidad Identificar soluciones

i 11.10 Relaciones con el subcomratita. Norma de documentacin de proi 11.11 1 Ver comentano a DS2.

AI2

Adquirir y Mantener L opcalde Aplicacin

Una pune subs tancial iic ce upo de aplica ciones son de desarrollo de protctfipcn y de f 2.11 "informtica de Conusuario firul". trola donde es difcil biladad aplicar lo* ob "... Integrar en el diserto, tan preco/meole como se pueda, los jetivo de control clisacot concepto* de seguridad." e incluso dudoso s debe ha cerse. " incluyendo "controles de aplicaciones que garanticen la exactitud, complitud. oportunidad y autorizacin de entradas y salidas. Debiera hacerse una evaluacin de sensibilidad..."

Orbe la Infcenstnc* de Usuario Final n a u i m w (a efecto de Al), o debe mt Ne* emendcne cumo ejercicio dncrecional dH profesional o ejecutno. judiuMe pue ceras vi? las hctrxraeittas c uswr fiful u escluiMcs -<n na opinin de la audcceia mfcrminca. salvo en lo cifcclos de hoenologacrf* de tos pcvslucto. y cencirnckkrin de irannm. servicio de incidencia fVeW X copu de segundad. c<n>l de licencia y actualizacin de in u n n o

www.FreeLibros.me
o * ____________c a W i'm i a iix io x Ia in io k m a u c a t Objetive 6* CootraJ <k A * ,M I G alln del Fuaconancto y Capacidad p.sta ev la nica cila directa a Modell?.:ii del funcionamiento y capacidad de lo servicios de infor modeliuKtn Mmulacio que nuon he identificado en O i r Connennacin en las peculurKUVv -en cuanto a n o go- dees* aflese tonev. Augurar que ododocumemo impreso o exportado lese idcntiii t y a u k a c kinks . a x

DS

34

DS7

Fixnur ) Entrenar a kn Usuano

1 IM 0SI1 Gestin de Dato

Pista o T n / de Auditoria

i 11.15

autor, vista". *e*in. senan. Keviu6n de Salid y Geuin de y -por defecto indicacin de -Bom SoT Los SAD y k*s tralelos de Sim utiate ton frccucmcmcnie subcencraladota empresas es pecializada. h>hre /ai . 01*1 y cayos contratos debe r?rrccrsc vigilancia. Des graciadamente. conCotfTha lo de atemore sersionesdckn Control Otyn litro) la visin de oalooro ceiMicante de

u s:

Gestin dc Servicios por Tercero

m:

Obtencin de (oranti

www.FreeLibros.me
20.3.2. Al de los SAD [DSS] y Simulacin
La principal singularidad de este tipo de aplicaciones es que se traa de "aplicaciones" muy caracterstica d e usuario final"2' o de subcontratacin de consultara especializada. Cualquier uso de herramientas estadsticas o de rimulacia por personas sin una considerable especializacin e s probablemente temerario . Las condiciones en que se desarrollan los grandes modelos" (los que susientin las grandes decisiones), son. con frecuencia, el contrapunto d e lo deseable desde punto de vista de A I: encargados por altos directivos que se enfrentan a unas disyuntivas, que suponen un caso singular y puntual, bajo presin poltica o econmica, con premura y escasez d e tiempo, con datos a m enudo escasos y p x validados, con una comprensin lim itada de los puntos fuertes y dbiles y de ka condicionan les d e la modelizacin. aceptando la modelizacin como solucin, pero t podiendo conceder tiempo o prestar atencin a anlisis de sensibilidad y i "replicacionex . Las solicitaciones al A l llegan en este caso al lmite. Los enfoques y tcnicas aplicables deben ingerirse de lo anteriormente discutido (para la A l en general, y pan los SA D |/)5 5 ] ms concretamente). Pueden explotarse enfoques como el del dcMe clculo independiente que se usa en ingenieras nucleares y otras, evaluaciones indirectas basadas en la documentacin y irazabitidad (generalm ente pobres, por las prisas) de k modelos y experimentos, y -fin alm en te- en controles generales" (qae son. relativamente, los ms dbiles: pero, en ltima instancia los ms slidos): formacin y concicnciacin del usuario, controles d e subcontratacin. etc. Segn M ike O. Villegas, de Arthur Andersen. e n su m odelo* de 7 capas [p. 24] de Gestin de Riesgos, los mayores riesgos estn en las capas d e Aplicacin y de Proceso | p 25J. que son las especficas de los "controle* de aplicacin", esto e s -segn m i interpretacin, y usando term inologa clsica- en los controles especficos y no en: los generales". En todo caso, la mejor estrategia de A l e s aplicar consistentemente C"08lT%. aceptando el hecho de que algunos entornos tecnolgicos especiales pueden requerir una cobertura independiente d e objetivos d e control" .

51Que. en oxot ciun, no o occnulmnue im dtfwtito. uno uiu p tncai o o equipo e w (atuxc 1 4 IVmeve por ejemplo, en a u hmanuenu DSS un iclKimcnle tutipl y tMnaliMfa con ud 97 de MKTtnofl. Motswsc el lo;loe no pccittnu en etladhoca en conuriui ti men HenunKM(ComplemtnioO AiUlim de Dalm-An*lmt de Foartr. o -tti A>ud -udhCKa. p rtk K i tkwkwT s ~Reploooe" >cpc(Kia de espeorntulos i modelos enocOKOt (Pl*06. p 98) DHAL96 O0MT96. Eteevtnt O im in r, p 17.

www.FreeLibros.me
CA>fHTOa>.AllPfro<tlMVK)ftMAlXrAPIiS&PYAItJCAOOS'K- 4SI No debe desdearse el recurso a grandes indicadores y cuadres externos", aplicado por personas con experiencia; ni el uso de systems-walk-tlirus. Puede tambin desempear aqu un im portante papel el CSA Control SelfAsscssmenr* - Autoevaluacin del Control- mtodo an insuficientemente normalizado, con un enfoque de "gestin d e salud primara y preventiva", "... coherente con los conceptos de Calidad Total" |p . 30). suplemento y no bstituto [p. 4] de la auditora convencional, cada vez ms popular desde "mediados de la dcada de los ochenta (p. 20], por el que el personal, a todos los niveles, en todas las funciones, lo constituyen los Analistas Informadores d e Control Primarios"

20.4. CON CLUSION ES

La AI de SIDIE/S] y SADfDSSI y Sistemas de Simulacin entraa dificultades Kmite (sobre todo, en el caso de los ltimos); la "importancia relativa" puede ser enorme, agravada por la baja estructuracin/documentacin de procedim ientos. Ln* procedimientos clsicos y las normas disponibles (COBIT96) son insuficientes, pero el cema c a ah. y cada vez ser ms frecuente. El A l debe recomendar al mximo controles generales y controles de aplicacin (de las que alimentan de datos a estos sistemas), extremar el uso de tcnicas indirectas (indicadores externos, sy u tm tHiiltjhrus), y recurrir a tcnicas (CSA) alineadas con la Calidad Total.

20.5. L EC TU R A S RECOM ENDADAS

COBIT96. ISACA. Control O b je ttiw i fo r Information a n d Related Technology. 1SACA. Illinois. EE.U U. 1996. CUR+95. Curl. Steven y Gallegos. Frcdcrck. Audit Considerations fo r EIS. Audit Control Journal. Illinois. EE.U U. Vol. II. 1995. pp. 36 y ss. IS

20.6. C U ES TIO N ES DE REPASO

1. 2. Definicin operativa amplia de Auditora Informtica. Resuma la evolucin de los SID.

3. Principales caractersticas de los SID actuales.

www.FreeLibros.me
t i : Al'IWTOHU INKIHMIICV UN ENFOQUE WtCTKO 4. 5. 6. 7. Qu diferencias destacara entre un SID y un SAD? Riesgos de coniml general de las SID. Cules noc k prin cip al med de control d e aplicacin d e k SID? Objetivos de control d e la auditora i sim ulacin. Qu es la autoevaluacin del control? Por qu resulta tan importante la auditora de los SAD. SID y de I aplicaciones de simulacin? Elabore listas de control para auditar algn sistema que conozca para d desarrollo de aplicaciones de simulacin.

8. 9.

10.

www.FreeLibros.me

C APTULO 21

A U D ITO R A JU R D IC A I)E EN T O R N O S IN FO R M T IC O S
J o itp J o v tr i Padr

21.1. INTRODUCCIN
La A udito ra Ju rd ic a forma parte fundamental d e la A u d ito ra Inform tica. Su objeto es c o m p ro b a r que la utilizacin de la Informtica se ajusta a la legislacin vigente. A slo ttulo de ejemplo, citaremos normativa com o la Ley Orgnica de Regulacin del Tratamiento Automatizado de D alos de Carcter Personal (I.O P D )1 y la Ley de Propiedad Intelectual'... que. entre otras', esi presente en tal comprobacin Superar el test de la legalidad implica la existencia adecuada a Derecho de las bases de ta o s. de los programas y. en definitiva, d e la estructura informtica de la organizacin que se somete a examen. La Auditora Jurdica e s esencialmente im portante para evitar posibles reclamaciones de cualquier clase contra el sujeto a auditar. Por ello, el trabajo del wditor es la m edida preventiva idnea contra sanciones en el orden administrativo o

1 Le) Orginica I W . ile Proteccin de Dafcn de Carcter FVrvxul 1 Ley l<W de ft.<*por*;io de la Directiva 91/250CEE. de U de mayo de 1991. vibre la fntK e W tajurt&cade lo peojrjmi de cwnpvtadnr IBOC de 24 de d<iea>bcede 1993) ' Eair n i ccw. M i de lu espocifkameMe telenda a b m alena. exide* cera <jee a pesa ie enar dedicada* a otra nulrrav aborda el tem a dcvJe alguno de t aifectm A(. b Ley de hxtttnSn lu U c i y Modificaos del Cdigo Cisl y de la Ley de EajuiciinMcnto Civil (LO de 15 de eaetode 1996 rm 1/1996. BOt 17de enero de 1996*

www.FreeLibros.me
4M AlilHltHtlA tMUHMATK A l..Nt NHXE t IUCTKT) incluso penal, a s i com o indemniz/iciones en e l orden civil p o r daos y perjuicios a lev afectados, y ello lo referim os tanto a las Administraciones Pblicas como a tai empresas privadas. Con e l examen jurdico-tcnico se pretende conseguir una gestin ms eficaz At dichas bases de datos y programas. Uno d e los prim eros objetivos para cualquier organizacin, e n esta rea, e s evitar costes econmicos en form a d e sanciones o indemnizaciones p or negligencias que se podran haber prevenido de f c il modo y. ex combinacin con las otras facetas d e la Auditoria Informtica, lograr el descubri miento de irregularidades en e l contenido o en e l uso de los program as o de la infor macin tratada. Estas irregularidades afectan n o slo a l norm al funcionamiento t las empresas auditadas, sino especialm ente a las "fugas~ d e esa informacin. Todo ello influye, no cabe duda, en la Cuenta de Prdidas y Ganancias. Adentrndonos en e l campo del D erecho Penal, y siguiendo a Emilio del Peto', cabe sealar que la auditoria informtica, en sus diferentes modalidades, puede u n ir para prevenir e l llamado delito informtico, detecta rpidamente e l acto delictivo caso de que se produzca y facilita la prueba del mismo, en su caso. Las revisiones en que consisten las am blaras informticas, ya sean peridicas o continuas, iuuhk beneficiosos efectos de cara a la prevencin d e una posible actuacin delictiva. El simple conocimiento, po r parte deI personal d e una empresa, d e que existe este tipo de auditoria evita ya. muchas \eces. a comisin d e l delito ante la posibilidad de ter fcilm ente descubierto. Cuando existe la auditora continua, e l empleo de las tcnicas auditoras informticas permite, en gran nm ero de casos, descubrir los fraudes cometidos y facilitar la prueba del delito cometido con la ventaja d e la inmediatividad. Com o consecuencia de todo ello, p odemos llegar a a conclusin de que la auditoria informtica, y dentro d e la misma, la estrictamente jurdica, cumple m fu n c i n de tipo preventivo im prescindible en relacin con e l delito informtico. En base a los aspectos reseados sucintamente hasta ahora, podemos ofrecer una prim era definicin de la auditoria ju rd ica dentro d e la auditora informtica. A qulla es la revisin independiente d e l uso del material, de la informacin y de ua manipuladores desde a perspectiva de la normativa legal (civil, penal, laboral...).

* En rtUrin ero a i i&Jewnumfa [<x dito* y perjukk. co ooctyto de retpxuJbtbd] pce iniofmKK'fl mwipulnb. Il LORIAD le ibn definiti aearM e la paoli. u bien 6 U yi jpvrvu n ltn tm u en t u I x ln lu 1902 ile) CiStlipi (n il. lo inkulo* n (ruteni At i(M iulnliU vootrictuil del muro OJdijo. li Lcy OrfMuri 1/1982 de 5 di ntayo di Pnxoron civil del deferto d hcaoe. i U intittudid ptn<l y furali y i li pcopu n a fta y. U retpotrabilidid de In Admiimtrx'unn. PCfcKi* refuUii ea il Ley 30V2. en m oso. ' DEL l'tSO NAVARRO. h i W l torto < m . meJ*, dt pretvwto fitmu f delwfvtmMco. III hncuentro tot<n b Informi!k i en b i fnkidc* de Dcrccho (miyo I9Mj |>ivcrudad PtmfV.-ii Cornili Mnind fiditelo pee U Secetdn de PiMKtcKme de li Kacukid de D m du de li l'anenidad Compiacente de Midrai

www.FreeLibros.me
CA>fTVI|j02l: AUMTORlA lUKftMCA Ol K*TOfcNOS INFORMATICOS M efectuada por un jurista experto independiente'' con la finalidad d e em itir un dictamen sobre mi adecuacin a la legalidad vigente, y con ello conseguir evitar inseguridades, prdidas o costes innecesario* para la empresa o Administracin a la que somete a auditoria jurdica, siendo el cliente auditado en ltimo trmino el que decide la aplicacin de las eventuales medidas correctoras que se estimen oportunas. La auditora jurdica comprende cuatro grandes reas: A) la auditora del enlomo informtico. B) la auditora de las personas que manipulan la informacin. C) la mdiiora de la informacin. D) la auditora de los archivos, incluyendo dentro de sta una auditora propia, la auditora de objetivos. Pretende esta ltima averiguar la correspondencia entre el uso que se le d a al archiva y aquellas motivaciones por las cuales se cre, asi como la constituciotulidad d e la finalidad ltima del archivo. La auditora d e objetivos va ms all de la del principio de legalidad: es una auditora de Derechos Humanos de Tercera G eneracin. Se examina n o tanto la legalidad como el espritu del archivo, con la pretensin d e que ste respete y garantice u le s derechos. Sin plantear en estas lneas un anlisis exhaustivo d e la materia, se pretende ofrecer u u nocin general sobre la tarea del auditor jurdico mediante un examen de cada una de las cuatro reas reseadas y de sus consecuencias.

212. AUDITORA D EL ENTORNO

Definim os como entorno a los programas y soporte fsico que sirven de receptculo a la informacin y los datos objeto ltimo de la auditora jurdica. Ccacrctamente. la auditora jurdica del Entorno se divide en tres partes.

a) Auditoria de los elem entos del Hardware

La primera consiste tanto en la comprobacin d e elementos d d HARDWARE eeeno de los contratos que los soportan. Es preciso el examen d e los contratos en irtud de los cuales se utiliza dicho material (sea con transmisin de la propiedad o *o). asf como de sus contratos de mantenimiento. Slo a m odo d e ejemplo cabe estacar como mas importantes tos de compraventa, alquiler, leaing, renting, reposicin y mantenimiento de dicho hardware.

* Euo es ata mis neecsano en aquella empeas que manipulan archivos ton tato* perweales y so mpoovable e t persona) Je la prepaa m p e u . o bkn n i aquellas poicen dato* de sxoudai Sfs k n i M' Grevile/ /birta cabe pooer en Ada que v a l lotoc* interno quien haga la aeditoeia (a a cau. ya que puede vene coaKOoaado e* tu independencia profesional sujeta en elle cato * la fachina Lahceal. al icr la propia empieva el mpomahle del arrimo, y fclrmii al no cumplirse uno de k>principios fundamntalo de la prictKa profei>c*l de laauditnfa cual e la segregacita de funciones pn (araKiiar 1 * indcprndencu y objetividad del dictamen E p x eBo c u n o que las aiadiiotvn niiras sean realiralu poe un jarou espeno, esiem.. a la orfaauaote a auditar y como coanecueocsa teOo, imladerameate independem e

< fje

www.FreeLibros.me
b ) A u d ito ra d e lo s e le m e n to s del S o ftw a re La segunda patte est dedicada a los elementos del SOFTW ARE c incluye, entre otros, el control de las licencia* de uno personalizadas, licencias de uso no personalizada*. licencia de uso de cdigo fuente, desarrollo d e software y mantenimiento d e los programas.

c) C ontratos de "paquetes gestio n ad o s

La tercera correspondera a los contratos que entienden la informtica y se gestin como un entorno completo donde la organizacin cede a un tercero la totalidad o pane de su gestin des ligndose de las decisiones propias de los departamentos tcnicos O uttrwrring. elaboracin d e trabajos auxiliares, contratos de entrada de datos, subcontraiacin de la gestin d e vectores d e una empresa o de un grupo de ellas, constituyen ejemplos de dicho contratos. En lo que hace referencia a esie mbito, de la revisin d e la contra tacico comentada, e s importante que la redaccin de los clausulados contractuales sea clara y precisa. As. por ejemplo, en materia de origen de la titularidad de los programas, d auditor debe constatar y en caso de defecto, recomendar especialmente, que en los contratos con programadores asalariados (contratos laborales) o con programadores por encargo (contrato de obra o de servicio) se determine quin adquiere la propiedad de los mismos (a pesar de que en los primeros desempea la presuncin legal de la Ley de Propiedad Intelectual de transmisin al empresario para el ejercicio de so actividad habitual) para la ms difana determinacin de la titularidad, independientemente de la autora, y con ello evitar posibles dudas y reclamaciones al respecto. Del mismo modo se debe proceder en temas de obras colectivas y obras en colaboracin. Tambin se constatar por parte del auditor la existencia d e pruebas documentadas de esa titularidad como, por ejemplo, el depsito notarial o eterow. el registro de la Propiedad Intelectual, y en su defecto, aconsejar el uso de dichos mecanismos de registro. S e trata, en definitiva, del anlisis de contratos, desde la perspectiva del Derecto Civil y particularm ente del Derecho de la Propiedad Intelectual e Industrial. Aspectos c o n titularidad de los derechos d e explotacin, autora, patentes, marcas... est presentes en tal revisin. En lo que hace referencia a derechos de autor, cabe destacar por su importancia la polmica en la regulacin de los programas de computador. U na de las novedades qoe incorpor la Ley de 1987 fue. precisamente, la regulacin de la proteccin de los programas de computador en el seno del derecho de autor (arts. 9 5 -1 0 0 1.P1).

www.FreeLibros.me
l AHTIII) Jl At'tMTTHtU M'KfWA IM . t.NTtSX)tt INKUtMAIHX 7 El IcgisJador espaol apostando por la proteccin jurdica d e km programas de computador en este marco, se incardin en la tendencia existente en la mayor parte de Estados de la Com unidad Europea. De igual manera ha actuado la misma Comunidad <jk. ya desde la Directiva del Consejo 9I/25(V C E E\ ha organizado la proteccin jurdica de los programas de computador en el Derecho de Autor, en concreto como olra literario, en el sentido recogido en el Convento de B erna' y como seala MASSAGUER. renunciando a la idea d e establecer un sistema d e proteccin su i ttntris. siquiera dentro del Derecho de autor, no obstante e l establecimiento de una (epilacin particular" . Un sector de la doctrina especializada opina que la decisin de oyui por regular esta materia en el cam po de la propiedad intelectual es lgica si se Hiende a las caractersticas de los programas de computador. A s. por ejemplo. OROZCO PA R D O 10 siguiendo a GALN CORONA seala como principales razones p in dicha opcin las ventajas que confiere la proteccin del derecho d e autor ya que ose requiere novedad ni actividad inventiva, sino solamente originalidad, ni tampoco es preciso registro conforme a b Convencin de Berna T odo ello conlleva, gracias al juego de los convenios internacionales, una proteccin sobre la materia inmediata, (eogrlficanvente generalizada y desde el anlisis econmico del derecho, barata". Razones de carcter prctico que vienen avaladas por el aumento de la piratera informtica de consecuencias negativas tanto para lo s propios autores como para la comunidad. No obstante, siguen existiendo casos e n los que un programa va ligado a a proceso industrial, en cuyo caso se le bnnda una proleccin complementaria, a*i en d v t. 96.3 LPI antigua. El Derecho de Autor no es el nico sistema de proteccin jurdica a que pueden acceder kxs programas de computador, que tambin pueden ser tutelados mediante la aplicacin de lav disposiciones sobre patentes, marcas, competencia desleal, secretos empresariales, topografas de productos semiconductores o contratos segn el art. 9.1 de la Directiva mencionada, protegiendo d e modo concurrente con la tutela del derecho de autor el objeto protegido. La generosidad de la relacin de sistemas de pmeccin jurdica adicional ofrecidos a los programas de computador de la Directiva 9I/2SWCEE contrasta con la parquedad de la LPI de 1987. limitada a los programas de computador "que formen porte de una patente o un modelo de utilidad", por ello, era dtwable. como u iU la b i M A SSA GU ER", d i oro a mantener un criterio claro de pweccin. o la supresin del art. 96.3 LPI, ya que el principio de interpretacin ' Directiva del Cornejo <9l/2XVCt) de 14 de fruyo de 1991. relativa a la proteccin Jurifcca de f e sFh'fnmax dr Computador, DOCE. nm L I22M2. 17de mayo de 1991 * Ccnvemo de Berna, de 9 de acpucatac de 19*6. fwa la protecctta de 0*t Lucrara* y Atacas. ifcnte ra Espilla ea la redacota del Acta de Partsde 24 dejato de 1971. ratificada m edanle aauner&> de 2dejulio de I97J. BOE. nfam 81 y 260. de 4 de abnl de 1974 y JOde octubre de 1974. 1 Ln eue KKidx MASSAGUER. J . "la adaptacin de la Ley de F Y < 5cdad Intelectual a la todita CEF. relama a la proteecW*yartdtcade los program as de compuutloc'. m Jtrmw * 1 1Dfmtm HtKMtil. n* 199-200 " Onuco Pardo. G "lafcemtca y propiedad meledual". AcUahdoJ h^anaMKit Aran/nii. n * 19. Unldf 1996 " Ea este sentido. MASSAGUER. i < y> cu

www.FreeLibros.me
4B AUtMTORlA IMORMATKW ENFOQUE PRCTICO___________________________ t l i B conforme vigente en la Com unidad aseguraba la cumulacin de proteccin jurdica, o la modificacin del citado precepto, sustituyendo su tenor por el del primer incito dd art. 9.1 de b D irectivaIJ. La Ley 16/93 d e incorporacin de b Directiva 9I/2SGCEE ha resuelto en su Disposicin Adicional nica Salvaguardia de aplicacin de otras disposiciones legales en el sentido de tolerar dicha proteccin adicional pero sia especificar si los programas de computador han de formar pane d e una patente o modelo de utilidad. El T exto Refundido de Propiedad Intelectual de 1996" no ha resuelto, sin embargo, ese problema de manera diferente al anterior testo legal de propiedad intelectual, desaprovechando, creemos, una oportunidad de mejen legislativa. Reca demos que su artculo 96.3.2 establece que cuando k * programas d e computador formen parte de una patente o modelo de utilidad gozarn adems de la proteccin qce pudiera corTcsporiderlcs por aplicacin del rgim en jurdico de la propiedad industrial confirmando d e ese m odo la redaccin anterior.

21.3. AUDITORA DE LA S PERSONAS

N o e s posible hablar de mquinas y programas sin hacer referencia a quien los asa. Por ello la auditora jurdica dedica una de sus reas al sujeto activo dd tratamiento informtico. La auditora jurdica de b s personas abarca cinco aspectos que el Jurista encargado de la misma debe examinar:

a) Quines tienen acceso a la informacin

Debido a la naturaleza de la informacin almacenada y manipulada, sea de carcter personal, que afecta al derecho a la intimidad de b s personas, o simplemente, datos d e inters para la competencia, el acceso a los mismos ha d e restringirse atendiendo a la sensibilidad" de la informacin. Com o eje vertebrado? de esta proteccin, especialmente en lo que hace referencia a los datos, se crea por la l e y Orgnica de 1992 b figura del responsable del archivo. ste debe velar por la seguridad de los datos y por ello, adoptar medidas de ndoe tcnica y organizativas necesarias que eviten su alteracin, prdida, tratamiento o el aspecto al que hacemos referencia en este apartado, el acceso no autorizado. Para ello deben valorarse el estado de la tecnologa, la naturaleza de b informacin almacenada y los riesgos a que est expuesta, ya prosengan de b accin humana o del medio fsico o natural. Reglamentariamente, dentro de b s empresas, han d e establecerse los requisitos y condiciones que deban reunir las personas que intervengan en la manipulacin de ks fcoem e mulo. MASSAGUEJL J. op ett Real Dccrclu Lcgnlimo de 12 de bol de 19%, enlm 1/199* pee el que te aprueba el I* retejido de U Ley de Propied*! Inleciul (RCL 19X7/2440). rellanando. xbnado y > Ut opoMCK legal *xte otee lauieria. BOU de 22 de abnl de 1996, rT 97.

www.FreeLibros.me
caH w u h i

Ai Dinml* ii kuxca i . ^ tornos in k w m m k w aw

chivos a los que se refiere el articulo 7 de la I.OPD (dalo especialinenie protegidos) en primer lugar, y a las informaciones que son de importancia para la propia empresa o pira terceros, en segundo lugar. Por lo tanto, slo deberan acceder a los dalos "sensibles aquellas personas que lean autorizadas, actuando la figura del responsable del archivo com o garante d e la proteccin de los mismos. Frente a terceros, o incluso en el ejercicio del derecho de acceso por parte de los afectados, el Responsable del Archivo e s quien, en algunos icpjcstos. tambin lim ita temporal y parcialmente la obtencin de inform acin". Con ello se evita el acceso indiscrim inado a los datos de la propia organizacin.

b) Adecuacin de aqullos al cargo que ostentan

Es necesario, adems, que aquellos miembros que tienen el acceso permitido a un cietio nivel de informacin dentro de la organizacin, lo tengan de forma adecuada ccn la responsabilidad y el cargo que ostentan. Deben evitarse accesos n o necesarios para el normal desarrollo de las tareas que el trabajador o funcionario tiene ewomendadas. La empresa u organismo no puede arriesgarse a que cualquier usuario, desde cualquier punto del sistema, pueda "vaciar" el mejor tesoro de la organizacin: su informacin.

c) Conocimiento de la normativa y de que se debe mantener una actitud tica delante del archivo
Aquel que tiene acceso a un nivel de la informacin debe conocer las obligaciones y derechos que le asisten. En virtud de su vinculacin con la organizacin, debe mantener una actitud ica ante la informacin a su disposicin y do revelar los datos que conozca en el ejercicio de su cargo o en el desarrollo de su urca si ello no e s necesario para la ejecucin d e la misma. Si un trabajador d e la (presa, vulnerando sus obligaciones, rompe este deber d e secreto, rompe tambin la buena fe contractual, siendo ello motivo d e despido disciplinario'. '* Asi. U LOPD estableceque el derecho de acceso v 6k>podr ser ejercite en sunalos svfcnores i doce m ese. salvo que el afectado amdik un M r t i legitimo, ca cayo w podr ejercitarse a * i (Aa 15de laLOCO) aru. 12 y 13del RD 1332/94) ' A ese sentido tamban cabe reccedar el articulo 20 I y 2 o 1 articulo 21 del Estatuto de los TrabojaJoret "Articulo 20 Direccria y control de la actividad laboral I . El trabajador estad cMsgado a untiai el trabajo CMieeat) bajo b deevcsn del cayresaro o persona ca quien ewe delegue 2 Ea corrimiento de la cfehgKin de trabajar asum ida en el contrato, el trabajadx debe al em presario la dfigearu y lacolaboracin en el trabajo qat marquen lasdisposiciones legales, lo convenioscolectnos j las(edenes o m strucciones adcpalas pw aqul en el ejercacioregiabe de ua faoakades de dveccitfa j. sudefecto, por losaso y costumbre En cualquier caso, el trabajador y el em presario sesom eterin tn **prestaciones reciproca a la engracias de b bseaa fe(...) Articulo 2 1 Pactode no ccacarreociay de iara diversos perm anencia ea la empresa 1. No pxlrl efectuarse la penuci laboral de un trabajador p aprsanos cnanto seestim ecoanrreiKta desleal (...K

www.FreeLibros.me
i < / Q AWXTOHU IMOItUTKA: l?< ENFOQUEPlU tH W ___________________________ iim i Fji lo que ta c e referencia a kw archivos, el articulo 10 d e la LOPD rccoge tambin esie deber de secreto, si bien este precepto tiene un objeto diferente al q x prev la legislacin laboral. Aqul pretende garantizar los intereses del empresario y ste cumple, corno el resto del articulado en que se integra, una funcin de defensa del derecho a la intimidad. Kl articulo 10 d e la LOPD eslablecc que la obligacin deber de secreto afecta al responsable del archivo y dems personas que intervenp* en cualquier fase del tratamiento de los datos de carcter personal, incluso despus de haber finalizado la relacin con el titular o el responsable del archivo. Asimismo, cabe recordar la existencia de una tipificacin penal especfica de conductas relacionadas con 1 vulneracin del deber d e secreto en relacin cca particulares, autorlades y funcionarios pblicos. Asi el nuevo Cdigo Penal incluye en el Captulo IV de su T itulo XIX (artculos 4 IJ-4I8. referente a delitos contra la Administracin Pblica, tipifica con carktcr general las conductas de infidelidad en la custodia de documentos y de la violacin de secretos. Dichos delitos pueden ser cometidos por autoridad o funcionario pblico y. en el cato del artculo 418. por el particular que aprovechara para s o para un tercero el secreto o la informacin privilegiada que obtuviere d e un funcionario pblico o autoridad. Los artculos 198 y 199 del mismo cuerpo legal inciden de nuevo en dicha materia, pero esta vez de modo ms especficamente relacionado con el tema que nos ocupa. El primero se refiere a la autoridad o funcionario pblico que. fuera de ka casos permitidos por la Ley. sin mediar causa legal por delito, y prevalindose de se cargo, realizare cualquiera d e las conductas descritas en el artculo 197"' (revelacin

'* Articulo 197. I. El que. para tktctfcnr kn victos o vulnerar U Kiiindad de otro, sin s * creteeameiMo. e apofctr de wjs papeles, canas, mentaos de cont ctectrinKo o cualesquiera re* docum ento* o efecto pcrveale* o intcrcepee > tetccommcaoceet o iltce artificio* temeo d e escucha. trammwte. pttsK ion o rcfcodccin del sonido o de la invaden, o de cuaiquer a sckal d e coffM Mcacldn. r castifadocon la pena de potito de uno acutero arto y mulla de doce a seinticuro 2. 1j r nM n pena* w uxipondrin al que. ua estar Maindu. se ipalm. vblic* o nnUifK. e a pequera de tercero. dalo reseado de carfcter personal o familiar de tu que halle refnzradca n archivos o soporte M m tfeot. electrnico o telemibco*. o ccualquier cero tipode archivoo rcpuie pifebeoo ps-ado Ipulft pena e impondrn aqoacn. xaesur autorizado. acceda por raakfaacr medua los imtsus y a quien kw alete o utilice en perjuiciodel iiCtar de k> dato*o de un tercero . Se impondr b pena de (eltln de do a ooco artos M e difunden, revelan o ceden a terceros k dalo o bechos dcubflot o la imljene captad**aque se refiere ' > nmero aeeenorc*. Sed castigado coa las persa de pnsWa de uno a tres aAo iratu de doce a vnrocualro m cies. e l que. con conocimiento de su ongea ilcito y sin haher tostado puw en se deiotirimicnio. realizara b conducta detenta ea el pirrafoaM enc* 4. Si lo* hevtso descrito en tot apartados I y 2 de este articulo te realizan por la pttKoas cncarjadat o rcpoasaNes de lo* n t n w , opotte infcemiuco*. eleetrCexo o telemkKos. archivos o registro, se impor^ri la pena de pr5n de ero a coco arto*, y si se<M unden. ccdca o revelan lo*dan reservado*, se impoadri lapenaen sa catad superior

www.FreeLibros.me
CApm io ! m i>iti m l \ n KUx< A i tvKmv<i\roKMTiaw w de secretos frecuentemente referidos a informacin obtenida por medios informticos, electrnicos o telemtico* y. el secundo. referido a aquel que revelare secretos ajenos de los que tenga conocimiento por razn d e su o licio o sus relaciones labrale, o al posesional que. con incumplimiento de su obligacin de sigilo o reserva, divulgue los ceretas de otra persona. fistos delitos los pueden cometer todos aquellos que revelen informacin o datos de carcter personal contenidos en los bancos de memoria de la organizacin a la que rven o en archivos de tratamiento automatizado a lo s cuales tengan acceso o ctaocimicnto por razo de su relacin funcionarial. laboral o de sim ple arrendamiento de servicios. La pena para las conductas tipificadas en el artculo 198 del Cdigo Penal e s la pteviita en el artculo 197 (oscilan entre penas de I a 3 aos d e prisin y 12 a 24 neses de multa y cuatro a siete aos d e prisin ms la misma multa, segn las divenas conductas tipificadas en el articulo 197). ms la inhabilitacin absoluta por tiem po de mis a doce aAos por tratarse de un delito especial, esto es, aquel que slo puede ser candido por determinados sujetos, en este caso autoridad o funcionario pblico. El artculo 199 tipifica especficamente las conductas de revelacin por p an e del tnbajador o profesional de secretos de los que tenga conocimiento por razn d e sus actividades laborales o de arrendamiento de servicios, se prev para ellos una pena de pnun de uno a tres aAos y multa de seis a doce meses para el primero (trabajador) y. de uno a cuatro aAos. multa de doce a veinticuatro meses e inhabilitacin especial para 6cha profesin por tiem po de dos a seis aritos para el segundo (profesional).

d) Reconocimiento en el contrato de la labor que cumplen y de la responsabilidad que ostentan

Es por todo lo anterior que en el contrato laboral que une a la organizacin con a trabajadores ha de expresarse la garanta d e la confidencialidad d e las informaoooes propias de la misma. Especialmente debe precederse a exigir la confidenciaUad en el cano de manipulacin de datos de carcter personal. P.sa confidencialidad es realidad necesaria tanto en el caso de gestin com o en el de mero acceso a Las triquinas. A fecta a todos los empleados que puedan tener algn tipo de contacto con hs mquinas, programas, instrucciones...

5 Igealm ente. ctundo K kKlm dacnu en lo apartado M a n m i l M * dxn Je aifcin fmcoal qoe retclm laideolofia. relipta. creencia. alud, cojen racial o ida v iu l . o U vctima fuere im x de (dad o un capas. x imjvodrn U proas pn<i<la>rn ui m itad uperx* A Si lo hecho te reak/an coa fian lucrativo. impeodrn la penas mpcctivamoue prctou a k afanado I al 4 de n artculo en m i nutal Mfenor Si adema afectan a da de lo m enciona 4 e nel afanad S. la proa a mfwaxt veri lade piui de cuatroa irte arto

www.FreeLibros.me
m AUPtTOBA LNKWWAlKA: UN ENHOQUEPttACTKO

Y e llo porque existe una traslacin de las responsabilidades de k encargados d la informacin a sus colaboradores, debiendo asum ir cada u to d e ellos su propia responsabilidad. Si bien la normativa laboral protege al trabajador y responsabiliza frente a terceros a quien le organiza la tarca, en el caso d e que la actuacin del traba>ador pueda ser presuntamente delictiva, aunque fiel a la empresa, aquello no k excusa de las responsabilidades penales adquiridas en el acce>o y tratamiento de la informacin. Es recomendable pues el conocimiento claro de Las obligaciones y deberes que comporta el uso d e informacin "sensible" de la organizacin y de los datos de carcter personal por parte d e los trabajadores. As se evitan, de paso, ka "descuidos negligentes".

e) Que los contratos con los proveedores aseguren la confidencialidad del archivo y de la Informacii
En el caso de que lo que se manipulen sean archivos, es ap.icable a este mbito d artculo 10 de la LOPD. todas las personas que intervengan en cualquier fase dd tratamiento de la informacin estn afectos a la obligacin del deber d e secreto, y px lo tanto tambin los proveedores en la medida en que i niensenen en una fase del tratamiento o mantenimiento. As. los contratos con los pooveedores no pueden descuidar el principio inspirador de la legislacin, esto es. la confidencialidad de la informacin y la salvaguarda del derecho a la intimidad. Tambin les es aplicable el principio de buena fe contractual que ha de presidir las relaciones tsa r comerciantes17.

21.4 AUDITORIA DE LA INFORMACIN

Una vez visto el material y las personas que lo usan debemos se r el objeto lgico a auditar: la informacin. El auditor debe comprobar que. en relacin con la misma, se cumplen los requisitos bsicos del derecho en general y d e los propios especficos ea particular. As. en cuanto a los Principios relativos a la informacin, debido a la incxistetKia de unos especficos , podemos establecer una analoga con los requisitos recogidos en el artculo 4 de la LOPD. en relacin a la calidad de los datos, la necesidad de su

17 Rio deriva del articulo 7.1 del Cdigo Cml l l o i derretios drberil ejercitarte conforme a lat cufcrKiM de la bucal fe) qe intptra noelio ordenanuecto ) que tamban n*.\tramo* i lo largode b omoiiva m ercantil pe rcmiua y especulmeme reforzadaen tu amculato x* el agravante deeu p t b difagrtKa de n ordenadocom erciante. " A petar de que hay que tener ea cuesta U eutfencu de pnncipiot olormadorct de legniacita ligada, como, por ejcnffc. la Ley de Procecote del derecho al honcr. ala intmidad prnonai > fam iliar y a lapropia mugen.

www.FreeLibros.me
r\rtnix > : Atinrronu ivridica t ixtornos i\iom\Tx~<>N . adecuacin y pertinencia, y que no sean excesivo en relacin coa el minio y finalidades legtim as para las que ve hayan obtenido. La informacin no po d r usarse pora FIN A L ID A D ES IN C O M PA T IB L E S con aquellas para las que fue seleccionada, y deber ser exacta y puesta al da. Si no es exacta o est incompleta debe ser cancelada o sustituida por la rre c ta . siendo cancelada cuando deje de ser necesaria. no podiendo ser conservada <sdvx> en el caso en que se decida su mantenimiento por valores histricos o cientfico)) una v e / que deje de ser til pora la funcin prevista, con excepcin de la legislac.n prevista al efecto (Obligaciones Fiscales. Seguros...). Se debe almacenar de form a tal que permita de una manera fcil el ejercicio del derecho de acceso de los afectados a la misma, com probando tambin el auditor que su no se haya recogido por medios fraudulentos, desleales o ilcitos.

21.5. AUDITORA DE LOS ARCHIVOS

Quiz donde la Auditora Jurdica sea m is necesaria es en I terreno del tratamiento de los archivos. Analizamos a continuacin distintos aspectos que pueden ser tiles para una mejor comprensin de la r u te n a ante la que nos encontramos, para p u ti seguidamente a un recorrido por los diferentes aspectos que c auditor debe examinar.

21.5.1.N iveles d e p ro te c c i n d e lo s a rc h iv o s
La Ley Orgnica 5/92 de 29 de octubre, de regulacin del tratamiento anim alizado de datos de carcter personal (LORTAD). sefialaha c o n o objetivo el tutelar el uso de la informtica y otras tcnicas y medios de tratamiento automatizado para garantizar el honor, la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos, aplicndose tanto a los archivos pblicos como privados que CMCovieran datos de carcter personal.

21.5.1.1. A rchivos excluidos d e la aplicacin d e la lopd Estn incluidos en la ley todos los archivos que contengan infom acin o datos personales salvo los que estn expresam ente excluidos, sea efectuada d e h a exclusin por la propia ley. sea efectuada por remisin de la misma a regulacin especfica del tipo de archivo de que se trate. Como excepciones a la aplicacin d e la 1.01*0 se reseflan en su art. 2.2.

www.FreeLibros.me
21.5.1.2. Archivo con reculacin opftfica
Determinadas malcras se regirn por sus disposiciones propias. As. cuaca regulaciones especficas en materia d e rgimen electoral. Ley Orgnica 5/85 de 19 de junio, le y Orgnica 13/94 d e 30 de m ar/o. que modifica la anterior; maccnas clasificadas (secreto oficial), de Ley 9/68 de 5 de ab n l y Ley 48/78 de 7 de octobte que modifica la anterior; Registro Civil. Ley de 8 de junio de 1957. Reglamento dd Registro Civil. Decreto de 14 de noviembre de 1958; Registro Central de Penados y Rebeldes; los datos que sirvan exclusivamente para fines estadstico* amparados p x U l e y 12/89 de 9 de m ayo de la Puncin Estadstica Pblica; los informes personales a que se refiere el artculo 68 de la Ley 17189 de 19 de ju lio del rgim en del personal militar profesional.

21-5.1 J . (ir a d o s de proteccin Dentro de lo archivos sometidos a la Ley y en relacin con los datos en dios contenidos, podemos hablar de diversos grados de proteccin. Se regulan en los atts. 7 y 8 de la LOPD tres lipos d e proteccin, mxima, media y mnima. La protetan mxima se otorga a datos referentes a ideologa, religin o creencias y por la cual nadie podr ser obligado a declarar sobre estos datos, salvo qi>: el afectado consienta expresamente y por escrito; existe una obligacin de advertir al interesado a st dcrccho a no prestar su consentimiento, l a proteccin media se otorga a los datos que se refieran al origen racial, salud o vida sexual, y slo podrn recabarse cuando por rayones de inters general lo disponga una ley. L a proteccin mnima se refiere a la obligacin de toda persona o entidad que proceda a la creacin de archivo automatizados de datos de carcter personal de notificarlo previamente a la Agencia de Proteccin de Datos. Dicha notificacin deber contener necesariamente el nombre del responsable del archivo, la finalidad del mismo, su ubicacn. el tipo de carcter personal que contiene, las medidas d e seguridad y las ccsiore* de daten de carc ter personal que se prevean realizar. Debern comunicarse a la Agencia de Ptotccofe de Datos tambin los cambios que se produzcan en la finalidad del archivo automatizado, en su responsable y en la direccin de su ubicacin. El Registro General de proteccin d e datos inscribir el a x h iv o automatizado si la notificacin se ajusta a los requisitos exigiblcs. En caso contrario podr pedir que se completen los datos que falten o se proceda a su suhsanacin Transcurrido un mes desde la presentacin de la solicitud de inscripcin sin que la Agencia de Proteccin de Datos hubiera resuelto sobre la misma, se entender inscrito el archivo automatizado a todos los efectos.

www.FreeLibros.me
C A rtrnto ; i- audito! a mmwcA t*. xnm sm ink>rmatkx w

21.5.2.

M ec an ism o s d e s e g u r id a d del arch iv o

En cuanto a la segundad de los dalos, el articulo 9 d e la LORTAD establece que d responsable del archivo (figura creada por la LORTAD. que se analiza en el panado siguiente) deber adoptar medidas necesarias para mantener la seguridad de los datos y evitar la alteracin, prdida o acceso no autorizado a lo* mismos. El auditor debe verificar si estas medidas se han establecido, as com o el mtodo de implantacin. Adems, y com o ya hemos visto anteriormente, tanto el responsable d d archivo como las dems personas que intervengan en cualquier fase del tratamiento d e los ditos de carcter personal, incluso despus de haber finalizado la relacin con el Mular o el responsable del archivo, tienen la obligacin del deber d e secreto. El ditor deber comprobar si el responsable, mxime encargado de la integridad y eguridad de los archivos, ha verificado las medidas oportunas y si procura por la eguridad e aqullos.

21.5.3. F o rm aci n d e la fig u ra d el re s p o n s a b le del arch iv o

La figura del responsable del archivo ex creada por la LORTAD. que la define en n artculo 3 como la persona fsica, jurdica de naturaleza pblica o privada u rgano adanistrativo que decida sobre la finalidad, contenido y uso del tratamiento citado. El responsable del archivo acta como cabeza visible de la seguridad de los arcfaivo*. A pesar de que la puesta en prctica d e las medidas sea llevada a cabo por a s personas dentro de la organizacin, aqul se convierte en el mximo responsable, de cunera que la toma de decisiones en ese cam po slo a l le corresponde, y no a otros miembros de la organizacin, aunque participen en el tratamiento automatizado * los datos. El auditor debe comprobar la existencia de un responsable real del tratamiento tMonutizado de datos, dotado de la autoridad suficiente, d e modo que ste pueda cunplir las funciones que le estn encomendadas y a s evitar (recordemos la funcin preventiva) las irregularidades de aquel tratamiento. Pero no debe controlar tan slo la pM&lxbd efectiva de desenvolvimiento d e sus tareas, sino que tambin debe wrificir si sta se lleva a cabo dentro de los lm ites correspondientes. A s. y a modo 4t ejemplo, el responsable tiene, entre otras: a) Ij obligacin de comunicar al afectado la cesin d e datos. b) La obligacin de confidencialidad.

www.FreeLibros.me
M fc MIXTOKiA INFORMTICA UN HMOQCF. CnCO___________________________ c*m c ) La obligacin le hacer efectivo el derecho le acceso. d ) La obligacin le hacer efectivo el derecho Je bloqueo. e ) La obligacin le hacer efectivo el derecho le cancelacin. 0 1-a obligacin le hacer efectivo el derecho le rectificacin.

g) La obligacin de hacer efectivo el derecho le supresin. h) La obligacin de informar del tratamiento d e los datos, la obligacin de informar en la recogida de los datos...

Existe un procedim iento administrativo de reclamacin ante la Agencia de Proteccin de D atos por incumplimiento de aquellas obligaciones que. como heroo sealado anteriormente, puede finalizar en cuantiosas sanciones, por ello, el auditar jurdico debe verificar si el comportamiento del responsable se ajusta a aqoettK obligaciones por el propio inters del auditado.

a) R e q u is ito s d e c r e a c i n d e a r c h iv o s d e titu la rid a d p b lic a y de titu la rid a d p riv a d a

La LORTAD parte de la distincin titularidad prvadaAitulanlad pblica pora ti anlisis de los archivos, previendo distintos requisitos pora su creacin, modificaci* y extincin. Otra tarea del auditor jurdico es la de verificar que se hayan cumplido k requisitos exigidos. En cuanto a Ion a rc h ito s d e titu larid a d p b lica, la creacin. modificacin o supresin de los mismos slo podrn hacerse p o r m edio d e disposicin general publicada en e l Boletn Oficia! d e l Estado" o diario oficial correspondiente. Dictas disposiciones le creacin o modificacin debern in d ic ar a) La finalidad del archivo y lo u u k previno para el m itm n k ) I m p rru w u i o colectivo sobre los que v pretenda obtener datos de carcter personal o que resulten obligados a suministrarlos c ) El procedimiento de recogida c 1 latos le carcter personal. d> La estructura bsica le archivo automatizado y la descripcin de los tipos le dalos de carcter personal incluidos en el mismo, e) Las cesiones de datos de carcter personal que. ea su caso, se prevean. 0 1-* rganos de la Administracin responsables le archivo automatizado, g) L os servicios o unidades ante los que pudieran ejercitarse los derechos de acceso, rectificacin y cancelacin. En las disposiciones que se dicten para la supresin de los archivos automatizados se establecer el destino de kit mismos o. en su caso, las previsiones que se adopten pora su destruccin.

www.FreeLibros.me
rA rtn .ro i : A tpnrwiA u h Id ica de kv to k n o s in k rm tk 'h s i En cuanto a los a rchivo s de titu larid a d p riv ad a que contengan da os de carcter personal, podrn crearse cuando resulte necesario pora el logro de la actividad u objeto kgtin>os de la persona, empresa o entidad titular y ve respeten las giranti: que la LORTAD establece para la proteccin d e la personas. Toda persona o entidad que proceda a la creacin de archivos automatizados d e datos de carcter personal lo notificar previamente a la Agencia d e Proteccin de Dalos. La notificacin deber contener necesariamente e l responsable del archivo, la finalidad el mismo, su ubicacin, e l tipo de datos de carcter persona! que contiene, las medidas de seguridad y las cesiones de datos d e carcter personal que se prevean realizar. Debern comunicarse a la A gencia de Proteccin d e Datos los cambios que .se fcodu/can en la finalidad del archivo automatizado, en su reipom able y en la Ereccin de su ubicacin. El Registro General de Proteccin de Dates inscribir el chivo automatizado si la notificacin se ajusta a los requisitos exigiblex. En caso contrario podr pedir que se completen los datos que falten o se proceda a su uibunacin. Transcurrido un mes desde la presentacin de la solicitud d e inscripcin sin que la Agencia de Proteccin de D atos hubiera resuelto sobre la misma, se emender inseritoci archivo automatizado a todos lo* efectos.

a) V erificacin del consentim iento Seguidamente hacemos referencia al que la LORTAD denomina afectado , es decir, el titular de los datos que se tratan. Para que el tratamiento de datos, en cualquiera de sus fases, cumpla la legalidad vigente, se debe recatar siempre el consentimiento del afectado: ello se regula en el art. 6 d e la LORTAD. siendo regla necesaria que el tratamiento automatizado, salvo algunas excepciones, requiera contentimiento del afectado. Ese consentimiento deber manifexarse en dos omentos: en la recogida de la informacin y en la cesin, en su cas. Es tarea del editor jurdico la comprobacin de la existencia d e dicho consentimiento y que el m u ro se ha recabado atendiendo a los requisitos legales. El consentimiento se podr otorgar en cualesquiera de las form as admisibles en Derecho. Salvo para aquellos casos en que la Ley O rgnica frevca que el eemeotimieMO haya de otorgarse expresamente, podr otorgarse tcitamente o de oto presunto. Para que el consentimiento sea vlido se requiere que 'os datos no se recaben por medios fraudulentos, desleales o ilcitos. El conscntim ierto dado puede r e revocado en cualquier momento, pero no se le podrn atribuir efectos retroactivos la revocacin. En el caso de datos especialmente protegidos, referidos a la ideologa, religin o creencias, se deber advenir explcitam ente sobre el derecho del interesado " Sejn < 1 artculo 3 c) de la LORTAD el iectado e tepetuxu tuct tiluter de o dalo <^c mn ckjru ic Intinuento i que te refere el ipart*&> el del m u ro minio fcl apartido <) define el naeo de daos cot lat operaron > procedim iento* Mtnicm. de aric ta aiKmciMdo o no. <jur fmtffl U recopdi. grahiofe. comersaclo. elaboracin. modifkxin. bloqueo ; canctU;in. atl taro Ut cetina de dilo que resulten de conweicaocoet. cootulus. iWeror**KM i uantfereaciiv

www.FreeLibros.me
** AIDITORMINFORMATKA UK BKHXW PUACnCO a no pregar su consentimiento. Asimismo, ser requisito para U v a lid a dd consentimiento que de m odo previo e inequvoco se advierta al interesado de la existencia de un archivo automatizado, de la finalidad del mismo, de los destinatario de la informacin, del carcter obligatorio o facultativo de mis respuestas a las preguntas planteadas, de las consecuencias de la obtencin d e los datos o de la negativa a suministrarlos, d e la posibilidad de ejercitar los derechos de acceso, rectificacin y cancelacin, y de la identidad y direccin del responsable del archivo. Cuando se utilicen cuestionarios u otros impresos para la recogida deben figurar lts advertencias sealadas en los puntos anteriores. Kn cuanto al consentimiento para la cesin, ste ha de ser previo, requintado* adems que el cesionario sea determinado o detcrminable. en caso contrario el consentimiento ser nulo. El que el concepto de cesionario sea determinado o determinable significa que sern nulas tas cesiones o autorizaciones excesivamente amplias en la que se deje en manos del cedente la decisin de ceder los datos a una otra persona y el afectado no pueda saber en ltimo trm ino, mediante reglas mallas de identificacin, quin dispone d e sus datos personales. Tambin ser nulo d consentimiento cuando no conste la finalidad de la cesin. El auditor debe comprobar la ptavmacin electiva de estos requisitos teniendo en cuenta tambin que se prevn una serie de excepciones al consentimiento dd afectado*'. El afectado e s el verdadero propietario de sus datos personales, de la informacin que desprende y. por tanto, e s slo l quien debe consentir su uso <en caso de menores de edad el consentimiento sera el del tutor). Por d io . hay que establecer los contretes necesarios pora garantizar que el afectado ejerza su derecho de consentir el uso y cesin de sus datos, ya sea tcito o expreso e n el caso de datos d e salud y los

" la LOftTA eaaWece cotKrelamer* cundo utu ley dnpone otra cusa. cuando te recocen ea fuentes accesible* al rsNuw tempe* qoe lo* ibk provengan de archivo* de titularidad potada qar k revejan futa el ejercicio de la fuockmc propia de las AJauiiilncM et Pbbcav que w refiera a personas vinculada por una relacin refcviaJ. laboral. kjmanistratita o un cnenlo > *ean t u r pora el manieaMHoeeo de la rel*:iones o para el cumplimiento del ecoUtfo. que la cesafe que deba efectuarse leagapoe dotiiutar el Detente* del PueNo. el Ministerio Fiscal o tos Jueces o TntwiaJeve* el ejetCK de las foacioon que ttenca imbuidas. cuando b cesin K pmJuzca entre Ui Adnrruuncimo RiMioi ea Sen opuestos peeviOos ea el Mtlolo 19 de la LORTAD. cuando la ceufr de diiut de carcter penonai relatissn a la talud tea necesaria para otnomar una rpencia ge reinen acceder a m archivo autumalilado. o para reak/ar los cOaVx cprdrmwlpcoi en lo tlrawaoi etublecidm en el articulo Xde la Ley 1 I9M. de 25 de aboL General de Sanidad.

www.FreeLibros.me
(A FfTVIO : i : A lD m x U JlUtlMCA l: KNTOKNOSINFCBMAUCO* especialmente protegido*, garantizando que se cancelen cuando dejen de ser necesarios:i. Debe e vitan mi e llo que se siga con la negativa prctica habitual en la que no se pide el consentimiento ni para el uso. ni pora la cesin, o no se clarifica suficiente ni uro ni otro en la toma de datos (no se cum ple con el derecho a la infirm acin en la recogida de datos). Tambin es frecuente encontrarse que en el derecho d e acceso, (edificacin y cancelacin se est negando parte de la informacin que se tiene de un afectado, de manera sistemtica y consciente, debido al origen irregula- por cesiones citas que comportaran borrarlas para regularizar aadindose a los costes de recogida y de regularizacin". Pero dichos costes son mnimo* si se comparan con Us sancione* e indemnizaciones que hemos mencionado en la introdtKcin de este trabajo. El auditor debe scUlar aquellos defectos que aprecie en el otorgamiento del consentimiento por parte del afectado a la empresa privada o Administ-scin Pblica auditada; aquellas irregularidades jurdicas que. precisamente por ser dicho auditor independiente, puede ayudar a subsanar al mismo tiempo que se evitan d e cara al hturo. colaborando con su consejo, a la creacin de una mentalidad respetuosa con la Btindad del ciudadano dentro de la estructura que audita.

c) Mecanismos de defensa de los incluidos en el archivo

El afectado tiene unos derecho* por ley. reconocidos en la LORTAD. e n relacin con la inclusin de sus dato* en un archivo. Estos derechos t:ncn carcter personal(simo, por lo que slo pueden ejercerse por parte del mismo o s t representante I * Los derechos son los siguientes: derecho d e impugnacin, derecho a la formacin en la recogida de datos, derecho d e acceso, derecho de rectificacin y derecho de cancelacin. El auditor debe comprobar que estos d e re ch se respetan

' En imKni de pnlcio de w nx u i de fomiciM obre solvencia patnmxtiil y crditon n K k cttyacita de cumuucjr la inclimta en eslos archaso* que se extiende ta*o a kn supaeslos d e Jcmocuifi iobee wtvcncu patrim onial y ctMao. con a la informacin relativa cun^uacMo o aonac^invrooode obltgacione* dinerana*. evo ladepeteencia del onjen de losdatos la Mineante de ti Btleuta de dalo* persceule*en el archivo se efectuar en el plazo tninimn de 30 dttv femando al ifctjtode vj derecho arecabar informacin wbr* los litos recogidos en el archivo. I j inscripcinenel din cvmtn de laobligacin incumplida e efectuar!, bien en a wto asiento i fue- de vene>m eaeo o. t m en unto asientos ccano trwimieniin peridicos incmplidos esisran. sealante la fecha de ai unode ellos, en oie cavo Se efectuad una notificacin peecada deuda ementa >determ inada coa nSrjenJencM de 9 su se ie*ga con el mismo o evo nimios acreedoecv K 1 icsporsaMe det archivo deteri Jopar las m edidas organizativas y tcnica necesaria que permitas acredtai la realizacin mena) del envode ix-cificaofo y la fecha de entregao mermo de cenefa de la m rsaa La KOficacin k dsipri a U Hirrn direccin conocida del afectado a tras** c un medx. fiable e adevendMcte del npomable del archaso. " GONZALEZ ZUBIKTA. J. M . "Ceorrol Informtico y marco jvdielili*. W wzmW *m<u y nnumit^itma. II*2i. febrero IW7. ate VI

www.FreeLibros.me
VO AllDfTCmU ISKMMATICA UN bNKXjt t fKACTHTO verdaderamente y se cumplen efectivamente: en definitiva, si tienen un eficaz reflejo en la prctica, al procurar: por parte de la empresa o Administracin Pblica, a del responsable, su cumplimiento. El afectado puede impugnar (d erech o a la im pugnacin, a it. 12 de la LORTAD) los actos administrativos o decisiones privadas que impliquen una valoracin de n comportamiento cuyo nico fundamento sea un tratamiento automatizado de datos de carcter personal que ofrezca una definicin de sus caractersticas o personalidad. Ese derecho guarda evidentemente una estrecha relacin con el derecho de acceso que analizamos ms adelante. El afectado debe haber sido informado en la recogida de datos (derecho de inform acin en la recogida d e datse a rticu lo 5 d e la L O R T A D ) de modo p reso e inequvoco de la existencia de un archivo automatizado, de la finalidad del mismo, de los destinatarios de la informacin, del carcter obligatorio o facultativo de uu respuestas a las preguntas planteadas, d e las consecuencias de la obtencin de los datos o de la negativa a suministrarlos, de la posibilidad de ejercitar los derechos de acceso, rectificacin y cancelacin, de la identidad y direccin del responsable dd archivo' . Cuando se utilicen cuestionarios u otros impresos para la recogida deben figurar las advertencias sealadas en los puntos anteriores. No ser necesaria la informacin referida anteriormente si el contenido de ella se deduce claram ente de la naturaleza de los datos personales que se solicitan o de lm> circunstancias en que se recaban. El auditor comprueba que dicha informacin sea debidamente suministrada, serbal mente o por escrito, en su caso, haciendo efectivo el derecho a la informacin, y que por lo tanto los datos obtenidos en ese m bito junto con los otros requisitos legales exigidos, sean objeto de un tratamiento automatizado conecto. En lo referente al d ere ch o d e acceso (art. 14 d e la LORTAD. arts. 12 y 13 del RD 1332/94). consiste en la facultad o capacidad que se reconoce al afectado de

11 Sobre kn datos almacosa (artculo 13 de U LORTAD). el Registro Ornerai de Dalo* U Agencia de Proteccin de Dalos tiene asignada la aisito Je d a conocer U cxitteecia de lo archisos autom atizados de dalos de caricter persomi. uu Kaccr puble el ejeroeio de lo derechos Je acceso , rectificacin y cancclacito. Es un registro de consulta pjNica y gratuita En el Registra Gcectal cfjcsli inscrita una descripcin de lo archivos automati/.!.'* que tienen la obligaota legal de mscr.Sr Pw laxo, se puede iventut m ediaste consulta al Registro de informacin aspeoos coacrrto de tot archivos, ules como tu finalidad, estrvetura. ulctiad del respcosaNe del ardasi*. cbatanto. cetknet fa ctfcfta b Agencia es U dirocoto de laoficial o dependencia del responsable del arthito am e la <pr > e je rcen los denebn de acceso, rtctificanto y cancelacin Ea el responsable del archivo d dpcae de kn -latos y el que puile rec&ficarVMo caxetarto, o bsea dar acceso al afectado sobre tus dalos. La lunato de la Agracia es informar al afccta& >pira que pueda ejercer lo derecho que la Le) Orginica k reconoce. Parael casode< fo e el responsable del arvhitu desatiendala solitud del afectadoesll presoli., comoberro cveaetacadoanteriorm ente. el Procedim ientodeTcela de Derecho.

< fte

www.FreeLibros.me
<~Artm .o:i AiPfroMA h u im ca oe tu re u M inkkmtwxw vi i recabar informacin de sus datos d c carcter personal incluido y tratados en lo* archivo* automatizados, en intervalo* no inferiores a doce meses, salvo que el ittercsado acredite un inters legtim o. El acceso podr consistir en la mera consulta de los archivos por medio de la visualizacin, o en la comunicacin d e los datos pertinentes por escrito, copia o telecopia, certificada o n o por el responsable lcl tu v o . La informacin deber ser legible o inteligible cualquiera que sea el medio utilizado. El derecho se ejercer mediante solicitud o peticin dirigida al responsable dd archivo, formulada mediante cualquier medio que garantice la ideitificacin del afectado y en la que conste el c h iv o o archivos a consultar. El responsable del archivo resolver la peticin de acceso en el plazo mximo dc un mes a contar desde la recepcin dc la solicitud. El acceso se puede denegar en el caso d e los archivos de alaridad privada slo cuando la solicitud sea llevada a cabo por persona distinta al afectado o cuando se pida sin acreditar inters legtimo en un nmero de veces iperior al establecido por la ley para un plazo de tiempo determinado. En el caso dc los archivos de titularidad pblica, se puede denegar el acceso cuando te trate de archivos de las Fuerzas y Cuerpos de seguridad para fine* pcfacules. que contengan datos dc carcter personal, cuando el ejercicio del derecho 4e acceso pudiera ser una amenaza contra la defensa del Estado, la seguridad Pblica, la proteccin de derechos y libertades de terceros, o las necesidades de las investigacwnes que se estn realizando por parte dc lo* Cuerpos y Fuerzas de Seguridad. En el cavo dc los archivos del Ministerio de Economa y Hacienda podr dcn:garvc cuando e obstaculicen actuaciones administrativas para asegurar el cum pliniento d c las obligaciones tributarias. En el caso de las Administraciones Pblicas podr denegarse tmton por razones dc inters general o intereses de tercero* ms dignos de pcteccin cuya existencia deber llevarte a cabo mediante resolucin motivada del ttptno administrativo responsable del archivo. El afectado al que se enieguc esto* atrechos podr ponerlo en conocimiento del director de la Agencia d e Proteccin dc Datos, que se asegurar de la procedencia o improcedencia d c la dercgacin. Este derecho slo podr ser ejercido en intervalo* superiores a doce meses, salvo que el afectado acredite un inters legtim o, en cuyo caso podr ejercitarse ante. La informacin que recibe el afectado comprender los datos de base del mismo y bi resultantes de cualquier elaboracin o proceso informtico, as c o n el origen dc bt datos, los cesionarios dc los mismo* y la especificacin de lo* coacretos usos y faalidadcs pora los que se almacenaron los datos, facilitndose la irformacin de odo perfectamente comprensible. El derecho dc rectificacin y cancelacin, regulado en el art. IS d: la LORTAD jan. IS del RD 1332/94 se basa e n el principio de la obligacin d : mantener la oactitud de los dalos. Es la facultad o capacidad del afectado dc instar U responsable M archivo a cumplir la obligacin d e mantener la exactitud d e los mismos. Ktificando o cancelando los datos d e carcter personal cuando resulten incompletos e exactos o bien sean inadecuados o excesivos, en su caso. En defiiitiva. es una

www.FreeLibros.me
SO: Al'DtTOWA INH1HMTK~A: UN fcNIOQCfcWlCnCt) llamada a la existencia y uso por pane del responsable d e mecanismos d e actuali zacin de los archivos. Su finalidad de evitar d a to s y perjuicios a los afectados por la tenencia de dalo errneo o inexactos. Cuando los datos rectificados o cancelados hubieran sido cedidos previamente, el responsable del archivo deber notificar la rectificacin y cancelacin efectuada al cesionario. El derecho debe ejercerse mediante solicitud o peticin dirigida al responsable dd archivo mediante cualquier medio que garantice la identificacin del afectado y en b que consten los datos que hay que cancelar o rectificar y el archivo o archivos donde se encuentran, hacindose efectiva la rectificacin por el responsable del archivo dentro de los cinco das siguientes al d e la recepcin d e la solicitud. Si e l titular considera que no procede acceder a lo solicitado se lo comunicar motivadamente ea el plazo de cinco dias. Si transcurrido el plazo de cinco das no contesta, podr entenderse su peticin desestim ada. La denegacin d e la rectificacin o cancelacie opera en los casos previstos en los aits. 15-5. 21 y 22 de la LORTAD. El afectado ai que se deniegue estos derechos podr ponerlo en conocimiento del Director de la Agencia de Proteccin de Datos, que se asegurar de la procedencia o improcedencia de la denegacin-*. A m odo de ejemplo se adjuntan en el A nexo I un grupo de formularios tiles pan el ejercicio de los citados derechos y que sera inveniente que el responsable del archivo pudiera facilitar al interesado con la finalidad de garantizar la efectividad dd ejercicio de los correspondientes derechos.

d) Tutela de los derechos

La LORTAD prev mecanismos d e tutela de io s derechos de los afectados que. como hemos visto, pueden comportar sanciones o indemnizaciones cuantiosas pan aquel que haya desatendido los reseados derechos. A modo de sntesis recordemos las vas de las que goza el particular para hacer valer sus derechos:

En 1 c w unto 4c k arrimos pninJ con de los arrimos pNxos csiste u* M n it conservante de los datos pan el pUro que seetlablerca en cada uso por U kfislactta aplicaNe J, lodo caso, cundo su cannlaote pudiese cunar perjuicio al airetalio o a Mecen Esta sposanta a cnuin a am bos C apot de architoc Ksnun un eaccfvione especificas (resistas para tos antm P<Mkos que polrin denegar, adema. en ocru casos comoel de k archivo de las t'uerus y Cuerpea* Secundad para finr policiales que corttcnfan datos de carkln perscrsal. cuando suejercicio pudieraio unaanraa/a contra la defensadel Estado. laSegtndad Publica, la prc*M Cta de derecho > libertades* terceros o las necesidades de las insestifacK<irs que s eVn realuando por pane de K Cuerpos Fuer/as de Segundad

www.FreeLibros.me
liUMi________________ CAffTMX 1 : AUPtTORtA JUIOtCA Dfi KOPUNOS INFORMTICOS A)

V O

Reclamacin en va administrativa: Procedim ienlo de tutela de derechos. Procedim iento sancionado?. Supone la bsqueda del respeto efectivo de los derechos reconocidos por la LORTAD y . en caso de que no se produzca, la u n c id a de Us conductas irrespetuosas con los mismos . R ecunos ante los Tribunales: Recurso contencioso-administrativo contra Us resoluciones del Director d e la Agencia. Una vez finalizado el procedimiento administrativo ante la Agencia de Proteccin de Datos y recada resolucin del D irector de la Agencia queda expedita la va contenciono-administrativa.

B)

O Derecho de indemnizacin: Com o hemos comentado anteriormente, la LORTAD abre definitivamente la puerta al derecho d e indemnizacin. As. las lesiones que el incumplimiento d e los preceptos d e esta Ley Orgnica puedan producir al afectado en sus bienes o derechos generan derecho de indemnizacin, bien de acuerdo con el procedimiento establecido de respemmhilidad de las Administraciones Pblicas, en el caso de los archivos de titularidad publica, o bien ante los Tribunales ordinarios para los archivos de titularidad privada. La funcin del auditor es precisamente emitir un diagnstico jurdico del sujeto Atado con la finalidad de que ste adopte las medidas correctoras oportunas y. con (fio. evite que el afectado deba acudir a los citados procedim ientos, concluidos xrnalm ente con importantes sanciones.

2 1-6. CONCLUSIONES
Cada vez ms lo contenido dentro de los computadores es el activo real" de las presas y Administraciones Pblicas, Pero la incorporacin de la informtica en el to.tr cotidiano de U s mismas atade una nueva dimensin a controlar. A pesar de las nobles ventas que sta comporta, su uso tambin conlleva nouM cs peligros que deben someterse a examen de no querer traducirse en elevados costes personales y nrmeos consecuencia de un estricto rgim en sancin ador. Con esta finalidad nace h auditora jurdica dentro de la auditora informtica. i Con elU se pretende poner de manifiesto Us irregularidades existentes para poder OotrcgirUv y actuar t x nunc del m odo legalm ente indicado. I-a auditora a la que se Sere este captulo e s un proceso controlado en todo momento por el sujeto auditado

a t-i> unciooe* owilan eme Lu 100.000pevlxv mnimo previno pxirj lu nfracciocKt kv. y t OOCO Je pCNfli. oituT previno para U mj) grave Como <,'mp'o de 1 prirneu veAiU-n Mu proceder a la rectificacin o cancctactfa t etrore o iscuebeedc o no cvmptir lat innnxviooc iMCkntwr 6c ti Agracia Je Prrteccite de Dalos ni facilitar informacin. De I wguitlu. res'ordam ot U la rccog^i de Jaso* Je forma esgaAoui y fraudulenta o la centa de dao* fuera de lo

www.FreeLibros.me
50* AUDITORIAPKMUHAtlCA: UN ENFOQUEPRCTICO___________________________ t u que es quien, en ltimo trm ino, decide si desea aplicar Ion medida* de adaptacita a la legalidad que indicar el auditor. La auditora no es un procedim iento sancionador sino un procedimiento cortecter que pretende evitar, precitamente, sanciones impuestas por paite de rgaros administrativos y penales o indemnizaciones en el orden civil. Es una bsqueda de mejora dc la calidad del tratamiento informtico a travs dd c on vejo independiente que los auditores ofrecen. Ello sin imponer en ningn momento decisiones sino ayudando a tomarlas correctamente. Cada da son ms los que han entendido esta funcin del auditor jurdico y someten su estructura informtica a examen con la intencin dc adaptar el mbito informtico a los mrgenes de la legalidad. Y ello no tan slo como medida preventivi dc costes econmicos sino tambin c o n fruto dc una incipiente concienciacin social que propugna el respeto de los Derechos Humanos d e Tercera Generacin.

21.7.

L EC TU R A S RECOM ENDADAS

Davara Rodrguez. Miguel Angel. D erecho informtico, Aranzadi Pamplona. 1993. Peso Navarro. Emilio del y Ramos Gonzlez, Miguel Angel, Confidencialidad y seguridad d e la informacin: La LORTAD V sus im plicaciones socioeconmicas. Ediciones Daz de Santos. Madrid. 1994.

21.8.
1. 2. 3. 4.

C U ES TIO N ES D E REPASO
Cul e s la utilidad dc la auditora jurdica de entornos informticos? Qu reas comprende la auditora jurdica? Qu se entiende por auditora d c objetivos? Qu debe verificar el auditor en materia dc origen dc la titularidad de los programas? Qu aspectos abarca la auditora jurdica dc las personas? Cm o pueden utilizarse los requisitos recogidos en el artculo 4 de la LORTAD a la hora d e llevar a cabo la auditora de la informacin?

5. 6.

www.FreeLibros.me
i ________________ rAffn.li> : I AllWKXlA 11'RlDfA D fci x t o n o s informticos 5 7. 8. Qu archivos quedan excluid de la aplicacin de la LORTAD? De qu grado de proteccin te puede hablar en relacin con los dato* contenido en archivos sometidos a la Ley? Cules son las obligaciones del responsable del tratamiento automatizado de datos?

9.

10. Qu legislacin conoce sobre derechos de autor que afecte al softw are?

www.FreeLibros.me

CA PTULO 22

A U D ITO R A IN FO R M TIC A EN E L S E C T O R BA N C A R IO
Pilar Amador Contra

22.1. C A R AC TER STIC A S G E N ER A LES DE LA AUDITORA INFORM ATICA EN LA S EN TID AD ES FINANCIERAS 22.1.1. Necesidad y beneficios de la auditora informtica en la banca
La ovacin de la funcin d e la auditoria informtica en la organizacin tocaras es relativamente reciente, basta el punto de que an actual m citc en algunas idades financieras se encuentra en proceso de definicin o consolidacn. Sin embargo, su existencia aporta innumerables ventajas a las entidades que dispooen de ella, ventajas que. si bien en ocasiones muestran elementos de acidencia con las habidas en cualquier sector em presarial, en o to s casos soa apetfficamentc propias y derivadas d e las caractersticas particulares del negocio tacado. El valor aadido que representa para una entidad financiera la existencia en su organizacin de una funcin de auditora informtica plenamente operativo abarca senos aspectos. Una de las tarcas clsicas en cualquier actividad auditora e s la relacionada con las faseiones de control, por cuanto est dentro de su mbito de actuacin verificar la a n u n cia de procedimientos y mecanismos d e control suficientes y adecuados que. operando principalm ente a nivel preventivo y detector, permitan asegurar

www.FreeLibros.me
510 AUDITORIA INTOKMATKA UN KNKXyt PKCTICO razonablemente el funcionamiento co necto de Ion sistemas informticos. y lo que es ms. evaluar la implicacin d e la inexistencia, la insuficiencia o la no adecuante de dichos procedimientos En ltimo extremo, es la bondad de x\ medidas de coced im plantadas la que permitir al auditor en particular, y a la entidad e n su conjunto ea general, determinar el grado de confianza a depositar en el sisteita informtico A este respecto, la faceta en la que la participacin d e auditoria informtica ec d sector financiero e s ms valiosa la constituye, quizs, la revisin de las aplicacioncs informticas, con el objeto de asegurar que ellas cumplen con los criterios furoocala y operativos definidos por la entidad financiera. E sta actividtd. que forma pane dd mbito de actuacin habitual de la auditora informtica en todcs los bancos que tienen como tal implantada la funcin, es de extrema importancia por cuanto comnmente m error en la interpretacin d e un criterio, una especificacin inccmpleta. una deficiencia en un algoritmo, suelen tener un impacto elevado, bien por el lm ero de operaaeoes que resulten afectadas, bien por la repercusin econmica del error. Y no slo sos pueden ser los efectos d e una mala definicin o implantacin las especificaciones de diseo. Aun cuando es general el concepto d e que k bancos contribuyen a la actividad econmica de un pas como empresas d e servicios e d mercado financiero, no e s tan com n considerarlos como entkdes suministrador de servicios de informacin, si bien una im portante cantidad de sus recursos c mversjooes a esta actividad. L os sistemas de informacin de bancos y entidades financieras tienen, entre sus caractersticas particulares, la de constituir fuente de datos pira mltiples agentes extemos. El negocio bancario se caracteriza porque sus procesos, aun cuando no son excesivam ente complejos si se co m p ra n con lo de otra actividades empresariales, estn lodos ellos muy interrelacionaSos. tanto dentro de b propia organizacin financiera com o a nivel extem o. Com o ccrttecuencia. los efectos de los posibles errores pueden tener repercusiones directas o indirectas en mltipla niveles, en un abanico de posibilidades que van desde el mbito interno en exclusiva hasta, en el peor de los casos, afectar a la informacin proporcionada a terceras, principalmente, organismos pblicos y. sobre todo, clientes. A este respecto, e s indudable la importancia actual que se e concede al cliente e# el sector bancario. por cuanto la clientela ex. a la vez. origen y destino de la prcpa actividad bancara. Y desgraciadamente, es innegable um bin que entre los principales afectados por los errores en los sistemas informticos d e los bancos se encuentran, en ocasiones, toes clientes. No e s el objeto tritar aqu los aspectos asociados a las implicaciones que para un cliente puede tener en error, ni tampoco Ui que directamente o indirectamente, derivadas de Ixs anteriores, puede tener para cu banco, pero es claro que todos los errores tienen un coste, no siempre totalmente cuantifcable. De ah la im portancia de la auditora informtica en cuanto que garantizado del correcto funcionamiento de los sistem a , no slo desde la perspectiva de la gestin de la propia empresa, sino tambin desde la ptica de k clientes.

www.FreeLibros.me
**n_______________ CAiftino i aumtowaixkhimAucaenklsectokbancabio sii Uno de los valores que de forma colateral, y debido al m bito en el que acta, ele aportar U auditora informtica en las entidad?) financiera ev la deteccin de procesos obsoletos, ineficaces o redundante*, que no ato d en valor a h actividad de Kgocio y. sin embargo. s suponen un coste. En el transcurso de su trabajo, el auditor formfcico tiene la oportunidad de analizar los circuitos de informacin, los procesos opencivos relacionados con los productos y tratamientos informticos, la bondad y/o (ecuacin de los m ismos en relacin con el objetivo tericamente perseguido, y en definitiva, proponer acciones de mejora que. sin menoscabo d e la calkiad real d e los procesos, redunden en un mejor aprovechamiento de los recursos. Con todo, la concienciacin y el reconocimiento de la importancia de la auditora famuca ha venido de la m ano d e la entrada en vigor d e la L O RfA D y de las bw ucooncs de la A gencia de Proteccin de Datos, en particular la que establece la cMigatoriedad de realizar una auditora informtica peridica de las medidas de fundad con que cuentan las instalaciones que procesan datos personales y parimooiales-

22.1.2. Tipologa de las actividades a auditar

No analizaremos aqu toda la casustica de posibles actividades a auditar en a^xllas reas que son comunes a cualquier otra actividad empresarial (auditoras de K p rd id lgica, seguridad fsica, etc.) y . por tanto, no presentan particularidades apcoales en el sector hsnearo. En su lugar, nos centraremos en las actividades de auditora en el marco de procesos y funciones en las que existen caractersticas de especial inters en el caso de K i entidad financiera. Distinguiremos en primer lugar, por su importancia en el con ju n o de procesos temticos de un banco, as como por las implicaciones d e cualquier posible error, lu auditoras de aplicaciones informticas que tratan y soportan productos boticarios picos: (dans y fondos de pensiones, fondos de inversin, cuentas m ientes, de Aorro. de plazo y dems productos del pasivo tradicional, inversin crediticia (ofctos. prstamos, descuento d e efectos), etc. De las auditoras de este tipo se tobUr en ms detalle con posterioridad. Estas aplicaciones tienen bsicamente las siguientes caractersticas: - Procesan y generan un gran volumen de datos relativos i contratos y operaciones. - Los procesos de tratamiento de los datos son relativamente <encilk>s (aun cuando en algn caso puedan resultar conceptum e nte conplejos): sin

www.FreeLibros.me
12 AllDfTORlA lNH3RSt\nCA UN f.NKXX.11HtACTlCO_____________________________m i embargo, comparativam ente suponen un gran consumo de recurso* en el lottl de los procesos informticos de un banco. Las operaciones y productos tratado* por estas aplicaciones tienes normalmente un importante peso especifico en el balance de la entidad. La disponibilidad de la informacin suele ser un factor crtico. 1.a informacin generada tiene un elevado alcance, por cuanto se enva masivamente hacia destinos externos a la propia entidad financiera. En estas aplicaciones se produce un efecto amplificado del e rro r cualquier incidencia puede afectar a un nmero elevado de operaciones y tener ana repercusin econmica cifrada en millones d e pesetas. .

En segundo lugar podemos distinguir las auditorias d e medios d e pago', taqetat de debito y crdito, transferencias d e fondos, cheques personales, cheques de viaje.

Entre las particularidades de estos sistemas destacan: A lto volumen de transacciones y de dientes. Existencia de reguUcioocs especficas para su tratamiento informtico y operativo, consecuencia de los convenios suscritos con distintos organismos. Son reas en las que los aspectos de control tienen gran relevancia, principalm ente en materia de prevencin de fraudes, as como en d cumplimiento de diversas norm as emitidas por el Banco de EspaAa.

O tro de los m bitos de actuacin lo constituyen las auditorias informticas dt actividades y productos de tesorera: mercados d e activos financieros, y d e opciones y futuros, principalm ente. Destacan porque: Son reas muy tcnicas y especializadas desde el punto de vista bancano El nmero de transacciones (operaciones) no e s muy elevado pero sus importes s son m uy significativos. I.ax salidas de informacin hacia clientes son escasas (sobre todo si se las compara con las habidas en U s aplicaciones d e productos h n c an o s tpicos) o

www.FreeLibros.me
cA lta vo z: a ud uo e Ia istokm Atica en a . sector bancario >i > Son sistemas e n lo que una deficiencia en los procesos y/o en los procedim ientos de concrol puede provocar un quebranto econmico dc considerable magnitud.

Como colofn, sealaremos las auditoras relacionadas con la informacin, en l*s siguientes facetas: Auditoras dc calidad de la informacin, en cuanto que verificacin de la existencia de procedimientos que garanticen su exactitud, fiabilidad, oportunidad y utilidad, mediante el anlisis de los mecanismos utilizados para su distribucin, el intercambio dc informacin entre diferentes departamentos de la entidad, el circuito que siguen los datos desde su creacin y las subsiguientes transformaciones (agregaciones, clasificaciones) que experim entan hasta constituir el producto" final. Auditoras de la proteccin dc los datos personales. Entre ellas, destacaremos: Auditora de las medidas d e seguridad d e los archivos relativos al cumplimiento o incumplimiento d c las obligaciones dincrarias de las personas fsicas, dc obligada realizacin a intervalos n o m ayores de dos aos, segn establece la Instruccin 1/1995 dc la Agencia de Proteccin de Datos. Auditora de las medidas dc proteccin d e la informacin dc carcter personal y patrimonial que. aun cuando no se pueda considerar amparada dentro de la Instruccin mencionada, s est regulada por la l.ORTAD.

Auditora de los planes de recuperacin dc negocio o planes de contingencia. Es un rea dc especial importancia e n la actividad auditora por cuanto actualmente las posibilidades d e supervivencia dc una entidad financiera en caso de un desastre en cualquiera dc sus centros de proceso dc datos dependen directamente dc la existencia dc un plan dc recuperacin dc la actividad.

Por ltimo, sealar que la transformacin que est experimentando el sector bancario en los ltimos aos y. en particular, la instauracin de nuevos canales dc Afusin (banca telefnica, banca virtual), amplan el mbito dc la funcin auditor mis all dc las tarcas tradicionales y, al mismo tiempo, exigen del auditor una permanente capacidad de aprendizaje para abordar con xito los nuevos retos.

www.FreeLibros.me
22.1.3. Objetivos de la auditora y preparacin del plan de trabajo
El alcance y e l mbito con I que se aborde U auditora informtica de tna actividad especifica ex variable y dependiente de varios factores, entre otros: Los objetivos que te persigan con el trabajo y las razones que hayan motivad mi realizacin. Probablemente, el contenido del plan de trabajo difiera en uta auditora de revisin general d e un sistema d e aquella otra en la que e pretende determinar el origen e aplicaciones de algunas incidencias delectada e n una actividad concreta. Lo recursos de que se disponga para abordar la auditora. El nivel de documentacin del sistema a auditar, puesto que su inexistencia o insuficiencia puede conducir en la prctica a que aqul no sea auditable.

Com o caractersticas particulares a > ner en cuenta en la preparacin del pbn de trabajo de la auditora, se destacan las siguientes: La conveniencia de que el auditor conozca con el suficiente detalle los procedimientos operativos internos de la entidad financiera relacionados con el rea de negocio y/o el producto bancario soportado por la aplicacin. El auditor, aun cuando el mbito de su trabajo se circunscrba al sistema informtico, debiera conocer los circuitos opera lisos y administrativos seguidos y asociados con los datos, desde su captura hasta la obtencin de lot subproductos finales derivados d e ellos. Ello le permitir evaluar el impacto de lis debilidades y errores que pueda detectar en el funcionamiento dd sistema, e incluso, poner de manifiesto situaciones en las que no exista la suficiente concordancia entre el sistema informtico y el procedimiento operativo. La necesidad de contar coa especificaciones funcionales documentadas de la actividad a auditar, n i com o disponer del suficiente conocimiento de la operativa hancana tradicional asociada con el producto en cues*uta. El innegable que un auditor informtico que trabaje para una entidad financiera, adems de auditor e informtico, deber ser bancario. Com o paso previo a la elaboracin del plan de trabajo, es extremadamente til la recopilacin de toda la normativa y documentacin que pueda existir relacionada con el objeto d e la auditora.

En particular, e n el caso d e las aplicaciones boticarias tpicas en el sector bancario. se destacan como referencias de consulta las d ise a s circulares e instrucciones emitidas por el Banco de Espaa, la Asociacin Espaola de la Baiwa Privada (AE8>. la Confederacin Espartla de Cajas de Ahorro (CECA), etc.

www.FreeLibros.me
CAWTTI.O 2 2 :AtDTTOKlA INKXtMTICA fcXU. aCTOW BANCAWO 51 5 En ciertas reas especificas. existen otras fuentes d e informacin que pueden ser tambin de inters para el auditor, entre las que citam os a ttulo d e ejemplo: - Convenios firmados por la entidad financiera con organismos de las administraciones central o autonmicas pora la financiacin de ciertas actividades empresariales (prstamos). - Convenios relacionados con los sistemas d e truncamiento de cheques y pagars, efectos, etc. Normas reguladores del M ercado de Anotaciones en Cuenta (valores, activos financieros), del Servicio telefnico del Mercado de Dinero, etc.

En c ienos trabajos especficos, el auditor puede necesitar tener un conocimiento general de la legislacin vigente as como las Directivas Comunitarias. A modo de ejemplo, ste el caso de la normativa sobre prevencin del blanqueo de capitales, propiedad intelectual, proteccin de datos personales... Ante situaciones que requieran unos conocimientos particularmente tcnicos en aspectos barcarios o legales, el auditor debe actuar siempre planteando su consulta a los departamentos competentes. Esto es tanto m is necesario cuanto menos documentadas se encuentren las especificaciones funcionales del sistema, o cuando el auditor no ext seguro de que aqullas han sido dictadas por los rganos funcionalm cnte responsables de ello. A este respecto, y como premisa bsica, el auditor informtico no debera en ningn caso asumir de antemano como vlidas las funcionalidades im plantadas en los sistemas informticos sin contrastar previamente su bondad con las fuentes de documentacin y estam entos que correspondan.

22.2.

AUDITORA INFORM TICA DE UNA APLICACIN BANCARIA TPICA

Este apartado est dedicado a la actividad auditora en un rea que. Adicional mente, ha sido e l objeto principal de la auditora informtica en el sector faanciero y. que an hoy. contina siendo su mayor consumidora de recursos. No es el objetivo de este apaado el exponer detalladamente los procedimientos y yrogramas de trabajo de la auditora de las aplicaciones informticas; por el contraro, te pretende mostrar algunas de las particularidades de las citadas auditoras cuando fitas tienen como marco el sector financiero, bien porque el elemento auditado sea en rf mismo especfico del citado sector, bien porque, aun no sindolo, existan cemideraciones especiales que el auditor debe tener en cuenta.

www.FreeLibros.me
<16 AtlprrtHtU lVKXtMATICA 11 NEMOQUK PRACTICO Resulta imposible, en un libro d e carcter general como ste. comentar con * 1 suficiente detenim iento lo puntos de control que el auditor debera revisar en d mbito fijado para el trabajo. En su lugar, se ha considerado que podra ser ma interesante para e l lector conocer algunos aspectos prcticos d e este tipo de auditoras, d e manera que cualquier auditor con experiencia en otros sectores empresariales pueda, aplicando sus conocimientos y experiencia, iniciarse en la auditora informtica bancara.

22.2.1. Criterios para la planificacin anual de los trabajos

La realizacin de la planificacin anual de la auditora informtica requiere, como paso previo, un conocimiento general del estado de los sistemas de informacin con que cuenta la entidad, as como de los objetivos estratgicos fijados por los rganos de decisin. f>entro del m bito d e las aplicaciones informticas, en particular a la hora e proponer las tarcas del plan de trabajo para el prximo perodo, el responsable dd auditora informtica por lo comn clasificar las posibles actividades en funcin de d ise o s pautas. En primer lugar, estn los factores clsico, generalmente utilizados en la planificacin de auditoras de aplicaciones en cualquier sector empresarial y entre los que podemos destacar: Antigedad de la aplicacin, aun cuando este dato tiene una doble valoracin, ya que cuanto ms antigua sea m ayores problem as de obsolescencia, presentar probablemente con procesos poco eficientes o redundantes, especificaciones funcionales no cubiertas, etc.: pero al mismo tiempo, ser presumiblemente ms fiable, en cuanto a la calidad de la informacin procesada y generada, puesto que el sistema informtico estar tambin mis probado. llo ra s de mantenimiento invertidas anualmente, estableciendo comparativa entre aftas. a s como con las restantes aplicaciones. un*

Factores cualitativos asociados a la posible obsolescencia (no siempre ligada a la antigedad) de la aplicacin, que e l auditor podr determinar analizando a aspectos corvo la forma y lugar en que se capturan los datos. la dimensin de los tratamientos manuales, la tipologa de algunos de los controles que se realizan, la ausencia de datos bsicos en relacin con el producio o rea cubierta por la aplicacin, el volumen de recursos que requiere su adaptacin al EURO y/o al arto 2000. y . en general, aquellas caractersticas que a criterio del auditor se -consideren sintomticas de posible obsolescencia-.

Pero, adems, podemos distinguir un conjunto de aspectos tpicamente bancarios a considerar en la planificacin de la revisin de aplicaciones:

www.FreeLibros.me
CAPtTtxo: : Ai nnoKU inhjhmatx a f_ s h . sectok i Importancia econmica dc U funcin a la que se dedica la aplicacin, esto es. su im pacto e n el balance del banco. Importancia de la actividad btincana a que d a soporte la aplicacin en los planes de negocio y expansin dc la entidad. La obtencin dc informacin a partir d e la aplicacin con destino a clientes y organismos pblicos (M inisterio d c Economa y Hacienda. Banco d e EspaAa. diversos organismos adscritos a las autonomas). El volumen. la frecuencia y la importancia material de las incidencias y errores detectados mediante los mecanismos d e control habituales: la existencia de posibles reclamaciones interpuestas por d ie n tes ante diversos estamentos (la propia oficina bancaria o bien otros departam entos internos, el Defensor del Cliente o la Oficina d e Reclamaciones del Banco d c EspaAa). La existencia dc descuadres entre los datos facilitados por la propia aplicacin y los registrados e n la contabilidad de la entidad.

Para finalizar este apartado, queremos hacer hincapi en dos aspectos que nos parecen, relevantes. De cara a abordar la planificacin de trabajos, e s particularm ente importante que el auditor sea receptivo a las propuestas recibidas de cualquier estamento de la organizacin, puesto que son los propios usuarios d e los servicios informticos los que mejor suelen conocer - y en ocasione padecer- los sistemas de informacin que utilizan. Junto con ello, otro de los factores que consideramos crtico es la sensibilidad del auditor hacia el error, esto es. hacia aplicaciones, procesos y datos que estn dando maestras dc errores, quiz no muy numerosos, ni muy importantes si se consideran de forma aislada, incluso pueden ser de tipologa diversa y aparentemente no relacionados, pero con la caracterstica comn en todos los casos de que se producen de manera continua en el tiempo. Situaciones com o la descrita suelen terminar poniendo de manifiesto tras la realizacin de la auditora debilidades importantes en la aplicacin, en una o m s reas: especificaciones funcionales poco definidas o mal implantadas, debilidades de control en los procesos, diseo defectuoso d e la aplicacin, mantenimiento deficiente dc los programas informticos, insuficiente documentacin y conocimiento de la aplicacin por parte del personal informtico encargado del mantenimiento, etc.

22.2.2. Establecimiento del mbito de la auditora

La definicin del m bito dc la revisin a realizar en el trabajo auditor, esto es. la determinacin de las actividades y procesos que sern analizados, depende en primera

www.FreeLibros.me
SIU AtlOTTOKlA INFORMTICA: UN EMOQUKrKCnCO___________________________ < ham instancia del objetivo que pretenda cubrir el trabajo y d e U s razones que hayu aconsejado su realizacin. As, si la auditora pretende obtener una visin d e conjunto acerca del estado de una aplicacin, al objeto d e determinar si existen razonable* garantas de que los tratamientos informticos son correctos y la informacin generada tiene la calidad suficiente, e l programa de trabajo probablemente se limitar al estudio de leu procesos m is relevantes de la aplicacin. Podemos decir que. en la mayora de U s aplicacin que soportan directamente productos bancarios. entre las actividades que casi sietnpee sern objeto de revisin se encuentran los procesos de liquidacin, contabilizacin y periodificacin contable. Una vez seleccionados los procesos en los que se centrar la auditora, y siempre y cuando los recursos disponibles as lo permitan, e s aconsejable revisar dichos procesos desde un punto de vista integral, contemplando todas las facetas desde la generacin del dato hasta la obtencin de las diferentes salidas de informacin, puesto que e llo le permitir al auditor detectar debilidades que. d e otra forma, posarn inadvertidas. Ahora bien, la aproximacin al trabajo ser necesariamente distinta si dte se deriva de la existencia de incidencias en algn proceso detectadas por los procedim ientos de control habituales en la entidad. En este caso, el mbito de U auditora viene ya determinado por el objetivo del trabajo (averiguar Us causas e implicaciones de las incidencias detectadas), y, si bien el punto d e auditora m i tam ban el estudio detallado del proceso en cuestin, los resultados parciales que se obtengan en el transcurso de U auditora pueden obligar a redefinir en algn momeo, el plan de trabajo. La auditora del proceso finalmente seleccionado abarcar Us siguientes actividades de revisin: Procedimientos de recogida y entrada de datos que. en la mayora d e los casos, se realizarn mediante transacciones d e teleproceso, para km que el auditor deber asegurar la existencia y operatividad d e los controles pertinentes. A este respecto, el trabajo de auditora debera incorporar autntico valor aadido, es decir, no lim itarse a U revisin de los controles informativos tpicos de entrada de datos (controles de mnimos y mxim os, control de que el formato de los datos e s el que corresponde, de fechas lgicas, etc.), siso que. por el contrario, debera centrarse en la revisin de U implantocio informtica de los controles operacionalcs definidos en U entidad. Por ejemplo, en un sistema organizativo en el que los tipos de inters de Us operaciones necesitan ser autorizados por un estam ento superior cuanta aqullos no e-stin dentro de un rango de valores, el auditor debera comproh*

www.FreeLibros.me
CAffTULO 22: AHOfTOftlA INFORMTICA EN EL SECTCft BANCARIO >1 que el sistema informtico no permite la form alizadn de la operacin de estas caractersticas si no existe autorizacin electrnica para li misma. O por citar otro caso, en cualquier transaccin de alta y nodificacin de contratos de titulares de operaciones, se debera revisar el control de obligatoriedad de introduccin de un DN1/NIF vlido al objete de cumplir con determinadas regulaciones existentes que obligan a la identificacin d e los clientes. - Procedim ientos de generacin de la informacin d e saltea del proceso, bsicamente la destinada a clientes (extractos de liquidacin, comunicaciones de revisin de tipos de inters, etc.) y organismos externos: Hacienda. CIRBH. etc. El auditor, adems de verificar que la informacin e s fiable, correcta y completa, debera comprobar tambin que es conforme to n las normas establecidas por los organismos receptores en cuanto a form a y periodicidad de envfo y. en lo relativo a clientes, con lo estipulado por el Eanco de Esparta en sus circulares en materia d e transparencia en las opeiaciones con la clientela. A lo largo de toda la exposicin se ha comentado la au d ito ia d e procesos considerando que sto forman pane d e una aplicacin. Sin embargo, en ocasiones una misma operacin, servicio o producto bancano no e s tratado en una nica aplicacin, sino que. por el contrario, es soportado por varas d e el lis. Ust sera el caso de una organizacin en la que la contabilidad constituyera una apbcacin propia e independiente del resto, alimentada a partir de los datos generados por el resto de aplicacioncs. En un sistema com o el descrito, una auditora del proceso contable tendra una doble surtiente, puesto que se podra optar entre lim tarse al propio proceso, asumiendo, por tanto, la bondad y exactitud d e los datos recibido* de las iplicaciooes que lo nutren, o bien, incluir la revisin d e las internases, esto es. verificar la concordancia entre los datos recibidos y los reg istrad en los otros sistemas.

22.2.3. Procedimientos de auditora a emplear

El auditor, en el ejercicio de su actividad y al efecto d e cumplir con el objetivo del trabajo, emplear diversos procedimientos y tcnicas, entre los que destacaremos: A ln n de los p ro g ra m a s inform ticos Comprende la revisin de las funcione que realizan los programas por medio del estudio del cuaderno de carga y cualquier otra documentacin que d e ellos exista. Incluye tambin el anlisis del propio cdigo fuente de los programas, la realizacin de pruebas sobre ellos y la verificacin d e que cumplen con las especificaciones funcionales definidas.

www.FreeLibros.me
5 AUDfTCmlA KVH)RMATK'A: UN ENFOQUE PBACTKT> El auditor deber perseguir: Obtener un conocimiento detallado de la operativo del programa, que adcmfa le servir posteriormente para comprender las aplicaciones de to t tratamiento realizados por otros programas de la misma cadena. Detectar errores en la interpretacin e implantacin de las especificaciones Funcionales. G arantizar la existencia y operatividad d e los controles adecuados.

Esta tcnica es inabordable si lo s programas no estn bien modulados o carecen de documentacin, lo que ya de por s e s sintomtico y pone de manifiesto un debilidad, porque apunta a que el mantenimiento del programa e s complejo y susceptible de que se produzcan errores. Dado que la revisin d e programas es una tarca que consume muchos recursos, ti auditor deber seleccionar cu idadom ente los programas y ratinas objeto d e revixife centrndose exclusivamente en aquellos que sean crticos. Sin embargo, este procedim iento presenta la ventaja d e que si el auditor e s hbil y experimentado, le permite detectar la presencia de caballos de T roya y errores en la intcrpretacifo prctica de ciertas especificaciones funcionales.

Realizacin de c ontroles de coherencia Son quiz la mejor herramienta de trabajo del auditor, puesto que le facilita descubrir de una manera muy eficiente ciertas anomalas en el funcionamiento de la aplicacin. Se distinguen las siguientes variantes: Controles cruzados entre los datos existentes e n archivos y bases de dato distintos obtenidos en un proceso comn (si lo que se quiere probar es la bondad del proceso), o bien, en procesos distintos. Por ejemplo, si se desea comprobar que el saldo que presentan determinadas cuentas es correcto, se pueden utilizar los datos existentes en el archivo de movim ientos de las cuentas, de manera que las imputaciones habidas, sumadas algebraicamente' y teniendo en cuenta el signo (debe/haber) del apume. conformarn un saldo que debera coincidir con el existente en el archivo de saldo de cuentas. Controles de coherencia sobre la propia base de datos par) aquellos dalos relacionados entre s.

www.FreeLibros.me
CA pm'Lo:; a u d ito r ia cs-io rm atica i.n ei. s u t e b a .n c\rio >21 Por ejemplo, en una base d e d ito s de prstamos en la que se guardan las informaciones relativas al plazo de la operacin (m eses comprendidos desde su forma! i/acin a su vencim icn(o). la periodicidad de la hquidacin y el nmero de liquidaciones en la vida d e la operacin, uno de lo* posibles controles a realizar es com probar que el producto de estos dos ltimos dalos (periodicidad y nmero de liquidaciones) no e s superior al primero (plazo de la operacin). Controles realizados utilizando programas independientes. Procedim iento clsico de auditora informtica, pero muy JI para detectar un mal funcionamiento e n los sistemas, aun cuando en c rie caso el auditor debe garantizar que su programa (en especial si h a sido realizado por I) es adecuado a) fin perseguido y proporciona resultados fiables. Esta tcnica e s principalm ente d e aplicacin cuando se desea probar el correcto funcionamiento del programa de la entidad en frmulas o algoritmos especficos. Por ejem plo, el auditor podra aplicar un procedimiento de este tipo en la base de datos anterior pora determina; la bondad del dato del plazo d e la operacin generado por la propia aplicacin, utilizando para ello un programa propio que procese las fechas de Normalizacin y de vencimiento.

22.2.4. Consideraciones a tener en cuenta durante la realizacin de la auditora

Realizar un seguimiento peridico del nivel d e cum plim erio del plan de trabajo y evaluarlo a la luz de los hechos que se vayan poniendo de manifiesto en el transcurso de la auditora. En ocasiones, puede ser interesante introducir modificaciones en el plan inicial y el auditor debera utilizar su lgica para decidir al respecto cuando: Siendo los recursos muy lim itados, haya encontrado un grado de cumplimiento razonablemente satisfactorio en ciertas actividades que no aconseje una revisin excesivamente detallada de ellas. Se luyan detectado errores d e relevancia en ciertas facetas que impliquen profundizar en el m bito inicial previsto para ellas y suponga la imposibilidad de abordar algunos otros pumos del programa de trabajo. Si durante la auditora se detectan errores, ser necesario:

www.FreeLibros.me
il! AUDITORA INFORMATICA: CN ENWXjHit PRACTICO Estudiar en detalle la repercusin e implicaciones del error, considerando iodos los procesos afectadas por l directa o indirectamente. Evaluar o. al menos, estimar el im pacto econmico del error, teniendo ea cuenta el nmero de operaciones afectadas y el perodo de tiempo desde el que se vienen produciendo. Determinar las causas que han motivado el error y . en el supuesto de que ste lleve algn tiem po producindose, los fallos existentes en los procedim ientos de control, que no permitieron su pronta deteccin. Proponer o recomendar las medidas a tomar para la resolucin del error y realizar una estimacin aproximada del coste asociado.

En aquellos casos en que se detecte la inexistencia de los oportunos controles, o bien, aun cuando existan, no tengan operatividad. el auditor debera: Realizar las pruebas y los controles de coherencia entre dalos necesar* para determinar las consecuencias prcticas derivadas de la situacin fundamentalm ente en materia de errores no detectados. Recomendar los mecanismos de control que solventen la carencia existente.

Cuando los usuarios de la aplicacin hayan dejando sentir sus dudas acerca de un adecuado funcionamiento de la aplicacin en algn aspecto concreto, d auditor debera obtener una relacin documentada de las distintas incidencias existentes, para, a continuacin, proceder a averiguar sus causas. Se debe tener presente que. lo que en ocasiones e s percibido por el usuario como un mal funcionamiento informtico, puede esconder, en realidad, isa deficiencia ms profunda de tipo operativo u organizativo. Al mismo tiempo, errores percibidos por los usuarios como hechos aislados pueden, en ltima instancia, ser slo diferentes manifestaciones de una causa comn que la auditoria debera poner de manifiesto.

www.FreeLibros.me
22.3. A UDITORA INFORM TICA DE LA PROTECCI N DE D A TO S PERSON ALES 22.3.1.

La importancia y el valor de la informacin en el sector bancario

Com o una consecuencia lgica de las funciones que realiza, una entidad financiera dispone de diversa informacin acerca d e la situacin patrimonial y personal de cada uno de su* clientes. Se puede realizar un ejercicio d e abstraccin pensando en qu d ito s p o s un (anco de su clientela. En primer lugar, sus datos personales fnombre, direccin, telfono), pero muy probablemente dispondr tambin de datos profesionales (actividad a la que se dedica, empresa para la que trabaja). Tendr asimism o la informacin relativa a todos los productos contratados por el cliente ron el banco: posicin completa de sus c u e n tn (saldos e imputaciones realizadas por diversos aceptos), el valor tasado de su vivienda si en algn momento la :ntidad le ha cedido un prstamo para su adquisicin, su nivel de endeudamiento, las inversiones que realiza y los productos en que las materializa, el in p o n e d e su imita... Pero adems, qu conocimiento indirecto se puede obtener a partir de algunas de informaciones? Entre otras cosas, se pueden conocer aspectos personales de su ida privada: sus gustos y aficiones, las asociaciones a las que pertenece, las tiendas ca las que compra, los lugares que visita, el colegio donde cursan estudias sus hijos y largo etctera. La sensibilidad de la informacin manejada por una entidad financera es mayor te tiene en cuenta la totalidad d e sus clientes y productos, asi c o n el nivel de iprgacin que ello representa. Pinsese en el valor aadido que tiene la informacin imafcda que sta va siendo ms completa; por ejemplo, conocer la posicin de todos los clientes de pasivo en todos los productos que tienen contraodos es una formacin m s valiosa, y por tanto m s sensible, que disponer exclusivamente del taita de las cuentas de un nko-clicnte. Los principales riesgos a los que hace frente la gestin de la infonracin son los ptales: Difusin no autorizada, intencionada o no. hacia destinos improcedentes. A este respecto, es incuestionable el valor que la informacin boncaria d e los d ientes puede representar para empresas comerciales y tro tipo de organizaciones.

cris

www.FreeLibros.me
4 AUOTTOKlA INKXtMATK'A UN ESKXJll! PRACTKO La confidencialidad es. en general, un tem a de especial preocupacin <a cualquier entidad financiera, puesto que el negocio bancario tiene co n uoa dc sus caractersticas U de ser una actividad en la que. en mayor o menor grado, interviene la confianza depositada por el cliente en la entidad. Obtencin de informacin errnea, por accidente o por manipulacin indebida, que adems, y como consecuencia d e La normativa a la que est sometida la actividad bancaria. e s cedida a terceros, con lo* consiguientes perjuicios que ello pueda ocasionar e n ltima instancia a los dientes. 1.a combinacin formada por el valor de la informacin y los riesgos a que ctti expuesta, han propiciado la apancin de d ise n a s regulaciones para protegerla cwyo cumplimiento forma parte del mbito de revisin de la auditora informtica. Existen dos factores que. d e manera especial, creemos deben ser tenidos en cuenta al abordar cualquier trabajo de auditora relativo a la calidad (entendida sta en su ms amplio concepto) de la informacin En primer lugar, est el hecho dc que cada vez en mayor medida existe dentro de las organizaciones una elevada difusiva interna dc los datos que puede llegar a motivar que una misma informacin resida a ms dc una ubicacin con medidas dc seguridad que deberan ser homogneas. Ka segundo lugar, el auditor debe ser consciente dc la riqueza que presenta la informante a medida que sta va siendo agregada, comparada con otras fuentes de datos y estudiada evolutivamente. La combinacin de ambos factores (difusin y enriquecimiento de la informacin) puede conducir a un proceso en el que las organizaciones no llegue a conocer exactamente el volumen de informacin dc que disponen y. por tanto, no sean capaces de protegerla convenientem ente frente a los riesgos expuestos. N o es excesivamente comn encontrar organizaciones empresariales que tengan su informacin clasificada en niveles d e seguridad, en funcin d c la sensibilidad, confidencialidad y valor estratgico que aqulla posea. Sin embargo, la adopcin de este tipo dc prcticas, que surge en general dc la necesidad de conocer, mejorar y controlar la distribucin de la informacin existente, se hace ms necesaria a medida que surgen regulaciones que obligan a garantizar la proteccin de los datos personales y financieros dc los clientes.

www.FreeLibros.me
c a H tix o : : AUPtrowlA in k k m tk a kn h . s k io w ha-ncakio m

22.3.2. Actividades de auditora en relacin con la proteccin de datos personales

El mbito <)e actuacin de la funcin auditora en exte cam po se centra en la verificacin de la LORTAD y dems Instrucciones promulgadas por la Agencia de Pttteccin de Datas.

21X2.1. A udito ra de cum plim ien to de lu In stru cci n 1/1995 El artculo 9.1 de la LORTAD establece que ~el responsable de los dalos deben! adoptar las medidas de ndole tcnica y organizativa necesarias que garanticen la seguridad de los dalos de carcter personal y eviten su alteracin, prdida, tratamiento o acceso no autorizado, habida cuenta d e l estado d e la tecnologa. la naturaleza de los datos almacenados y las riesgos a que estn expuestos, ya prevengan de la accin hum ana o d e l m edio fsico o natural La Instruccin 1/1995. publicada en fecha 4/03/95. en su Captulo 11 obliga a la m iuacin de una auditora peridica: * I. lo s sistemas que almacenen o procesen informacin relativa a l cumplimiento o incumplimiento de las obligaciones dinero ras debern acreditar a efectiva implantacin de las medidas de seguridad exigidas p o r e l artculo 9.1 d e la Ley Orgnica dentro del ao siguiente a la publicacin d e la presente Instruccin (...) 2. La implantacin, idoneidad y eficacia d e dichas medidas se acreditar mediante la realizacin de una auditora, proporcionada a la naturaleza, volumen y caractersticas d e los datos personales almacenados y tratados, y la remisin del informe fin a l de la m ism a a Ut A gencia d e Proteccin de Datos. . E l informe de auditora deber dictam inar sobre la adecuacin de las medidas y controles destinados a garantizar la integridad y confidencialidad de los dalos personales almacenados o tratados, identificar sus deficiencias o insuficiencias y proponer las medidas correctoras o complementarias necesarias. Deber, igualm ente, incluir los datos, hechos y observaciones en que se basan los dictmenes alcanzados y recomendaciones propuestas. 6. Adicionalmente, los sistemas que almacenen o procesen informacin relatha al cumplimiento o incumplimiento d e obligaciones die ra n a s debern someterse a una nue\xi auditora tras la adopcin de las m edidas especficas que. en su caso, la A gencia determine, a resultas del informe inicial de

www.FreeLibros.me
AUPTrORIA INFORMATICA: UN RNFOQtlfc PRCTICO auditora. En todo caso, dichos sistem as debern peridicamente, a intervalos n o m ayores d e dos aAos." ser audiiaiai

En el momento en <jue << prom ulg e s a Instruccin, se suscitaron di vena* dudas acerca de su alcance. As. se planteaba si mi m bito de aplicacin se limitaba a loa archivo* de solvencia patrimonial o crdito form ados por agregacin d e lo* archn tic las entidades acreedora* (lo* citado* archivos agregados estn (raudos en d Captulo I de la Instruccin) o si. por el contrario, amparaba tambin a lo* segundos Tambin se cuestionaba si. en el supuesto de que e l mbito de la Instruccin estuviera limitado al archivo agregado, llamado en ella comn", era de aplicacin pora los bancos y dems entidades financieras o estaba restringido a aquellas sociedades que. especficamente, prestan servicios d e informacin sobre solvencia patrimonial y crdito, com o puede ser el caso del ASNEF. Finalm ente, la opinin ms generalizada, sustentada en algunas consultas efectuada* a la Agencia, fue que se deben considerar afectadas por dicha Instruccin y, por tanto, sujetas a la obligacin de ser auditadas, las entidades financiera* que pose copia de los archivos agregados, y en especial, del RAI (Registro de Aceptacin de Impagados). Por lo que respecta a la realizacin de la auditora en s, sta debera verificar d cumplimiento de los controles en las siguientes reas: Controles de procedimientos y normas operativas: Verificacin d e la existencia d e procedimiento* documentados, de aplicacin en toda la entidad, que establezcan las medidas a cumplir ea cuanto al archivo y distribucin de la informacin: Etiquetado, transporte y destruccin de los soportes de dato* (cintas, cartridges. disquetes). Perodo de retencin (archivo) de archivos y sus copias de seguridad; procedimiento de borrado d e los datos a la finalizacin del perodo de retencin Transmisiones de archivos. Verificacin de la existencia de normas de actuacin a seguir por los empleados: Polticas de concienciacin en materia de seguridad que profundicen ea la importancia de la confidencialidad de la informacin, los riesgos a los que se enfrenta y las posibles implicaciones derivadas de la materializacin d e esos riesgos. Normas escritas que especifiquen el cdigo d e tica establecido por la entidad y de obligado cumplimiento por todos los empleados.

www.FreeLibros.me
CArtTVIO 21 AUMTORlA INFORMATICA LV EL SKTOB I Controle relacionados con la segundad fsica: Com probacin de la opcralividad y adecuacin a los fines a los que van destinada de las medido de control existentes en materia de acceso a las instalaciones y d e acceso a los sopones de datos (tanto e n las distintas instalaciones de proceso com o en el lugar d e almacenamiento secundario de respaldo). Verificacin de las medidas de seguridad en relacin con el transporte fin co de los soportes de datos, tanto entre las distintas instalaciones en que se procesa, com o desde stas al almacenamiento secundario y viceversa.

Controles relativos a la seguridad lgica: Verificacin de que estn implantados controles de acceso a los archivos y bases de datos, en los distintos entornos en que stos residan, que eviten que aqullos puedan ser indebidamente ledos, copiados o alterados. Verificacin de que la entidad tiene formalmente definido un registro de usuarios autorizados a acceder a cada uno de los archivos d e datos en el que se especifique el m odo de acceso (lectura, copia, etc.) que cada usuario ticoc permitido. Com probacin del procedimiento estableado para la inclusin y baja en dicho registro. Com probacin d e que existe un registro de los intentos de acceso al sistema no autorizados, y para aquellos archivos m is crticos, un registro d e los accesos efectivamente producidos en el que se indique la fecha y hora, el tipo de operacin realizada sobre los datos y el usuario que la inici.

Controles de respaldo: Verificacin de los procedimientos de realizacin d e copias d e seguridad de dolos y programas al objeto de determinar mi d M iu c ite y operuti vidud. Revisin de los procedimientos establecidos en relacin con el centro de backup y el plan de contingencia: comprobacin de la realizacin de pruebas peridicas, anlisis del resultado d e stas, etc.

2 U 1 2 . A uditoria de cum plim iento de o tro s asp ecto s de la LO RT A D La LORTAD. y dems Instrucciones emitidas por la Agencia d e Proteccin de Otfos. incluye en su articulado varias normas y obligaciones legales, cuyo

www.FreeLibros.me
SU AUXTORlA INFORMTICA- UN ESTOQUEWtXCTKO___________________________c u cumplimiento debera ver verificado por la auditora informtica, d e las cuita extractamos aqu las que consideramos ms relevantes:

22.3.2.2.1. morosos

C alidad d e tos datos patrimoniales y financieros incluidos en arrim

La ya mencionada Instruccin 1/1995 establece: " I . L a inclusin de los datos d e carcter personal en los a re flir ts relatiws al cumplimiento o incumplimiento d e obligaciones dinerarias. a los que st refiere e l articulo 2 8 d e la /< v O rgnica 5/1992. deber efectuarse solamente cuando concurran los siguientes requisitos: a ) Existencia previa de una deuda cierta, vencida y exigible. que hay resultado impagada. b ) Requerim iento previo de pago a quien corresponda, en tu caso, ti cumplimiento d e la obligacin. 2. N o podrn incluirse en los arch iv as d e esta naturaleza datos personales tebrt los que exista un principio d e prueba documental que aparentemeMc contradiga alguno d e los requisitos anteriores. 3. E l acreedor o quin acte p o r su cuenta e inters deber asegurarse de <jw concurren todos tos requisitos exigidos en e l nm ero I d e esta norma en W mom ento de notificar los datos adversos a l responsable d e l archivo comn". Por tanto, la auditora informtica debera revisar los archivos de morosos y fallidos relativos a clientes de la propia entidad, esto es. cuando el banco es d acreedor, as. com o los archivos generados con destino a ser incorporados en un archivo com n de varias entidades (RAI. ASN'EF. CIRBli). al objeto de verificar que In deuda registrada y comunicada e s real.

22.3.2.2.2.

Com pra d e a rc h h o s para prospeccin comercial

El artculo 30 de la LORTAD regula: I. Slo se utilizarn de form a automatizada dalos d e carcter personaI en las encuestas de opinin, trabajos d e prospeccin d e mercados, investigacin cientfica o m dica y actividades anlogas, si el afectado hubiera prestada libremente su consentimiento a ta l efecto.

www.FreeLibros.me
CAPITILO 22 MfMUttU IMOVIATICAEWa . SfXTOftBANCARIO ) 2. Los dalos de carcter personal tratados automticamente con ocasin de tales actividades no podrn ser utilizados con finalidad distinta n i ceidos deform a que puedan se r puestos en relacin con una persona concreta . " Anc la posible existencia de archivo* coo dato* personales comprados al objeto de realizar prospecciones comerciales, el auditor debera verificar que: - La entidad se ha asegurado de la legalidad de los datos que compra. - El contrato recoge las clusulas adecuadas que liberen de responsabilidad a la entidad financiera frente a posibles incumplimientos de la Dormitiva legal por parte del vendedor.

22J.2.2J. Datos personales recabados para un seguro asociado a un prstamo La Instruccin 2/1995 protege los datos personales recabados para la fermilizacin de aquellos seguros de vida asociados con la concesin de un prstamo o crdito, de manera que el beneficiario del seguro e s la propia entidad acreedora. Eace otras, establece las siguientes normas, cuyo cumplimiento enira dentro del tabi (o de revisin de la auditora informtica de la entidad financiera: 'N orma segunda.- De la recogida d e los dalos 1. La obtencin de datos personales a efectos d e la celebracin ie un contrato de seguro de \ida. anejo a la concesin d e un crdito hipotecario o personal, efectuada p o r las entidades d e crdito a travs de cuestionarios u otros impresos, deber realizarse, en todo caso, mediante m odelos separados para cada uno de los contratos a celebrar. En lo s form ularios cuy> destinatario sean las entidades boticarias n o podrn recabarse en ningn caso dalos relativos a la salud d e l solicitante. 2. Cualquiera que sea e l modo de llevarse a efecto la recogida d e Satos d e salud necesarios para la celebracin d e l seguro d e \id a dtber constar expresamente e l comprom iso d e a entidad de crdito d e que los datos obtenidos a tal fin solamente sern utilizados p o r la entidad aseguradora. Las entidades de crdito no podrn incluir lo s dalos de salud n sus archivos informatizados o en aquellos en los que almacenen datos d e form a convencional. Norma tercera.- Consentimiento d e l afectado y tratamiento d e los natos El afectado deber m anifestar su consentimiento p o r separado para cada uno de los contratos y para e l tratamiento distinto d e la informacin que ambos conllevan.

www.FreeLibros.me
; W AL'PUDRI* IS~KXtM\nCA 1 <SENFOOCt- HtACTICO Las entidades de crdito solam ente podrn tratar aquellos datos personales. no especialmente protegidos, q u e sean estrictamente necesarios para relacionar ri contrato de prstam o con e l contrato de seguro d e vida celebraan como consecuencia de aqul o que estn justificados p o r la intervencin d e la emulad d e crdito como agente o tom ador d e l controlo de seguro . " Por u n to , el auditor debera verifican La ausencia de referencias a datos sobre la salud del futuro prestatario en k>s formularios de recogida de datos del prstamo. La inexistencia de ningn tipo de archivo por paite de la entidad financiera, ni informtica ni manual, en el que expresamente se recojan los datos de salud de los clientes. b existencia de la informacin adecuada en el claisurado del impreso utilizado para la recogida de los datos relativos al seguro, al respecto de: * El comprom iso del banco de que los datos que proporcione el cliente sern exclusivamente cedidos a la entidad aseguradora. * Nombre y direccin del destinatario d e aseguradora). la form acin (entidad

* F.1 derecho del afectado a la consulta, rectificacin cancelacin de los datos existentes cerca d e l. en cumplimiento de lo establecido en la LORTAD.

22.4.
I

C U ES TIO N ES DE REPASO
En qu faceta resulta ms valiosa la partici p acn d e la auditoria informtica en el sector financiero? Qu caractersticas tienen las aplicaciones informticas que soportas productos barcarios? En qu se diferencian las auditorias de medios de pago d e las auditorias de productos de tesorera? Qu conocimientos necesita un auditor informtico p ar poder llevar a cabo una auditoria en el sector bancario? Com ente cmo afecta la LORTAD a las aplicaciones bancarias.

2.

3.

4.

5.

www.FreeLibros.me
CAPTULO?? Al DITQtOA l>K>ttMATKA EN U-SliCTO BANCAIttO 1

61
7.

Qu aplicaciones ere que licnc el problema del EURO en la auditora informtica de en tid ad financieras? Comente aspectos a tener en cuenta respecto a los "archivos d e morosos". Qu restricciones existen respecto a los datos recabados para un seguro asociado a un prstamo? Disee una planificacin anual de trabajos para auditora informtica de una pequea entidad hancana.

8.

9.

10. Qu consideraciones dc las expuestas en el capitulo podran aplicarse a la auditora de empresas dc seguros? Y de asistencia sanitaria?

www.FreeLibros.me

CA PTU LO 23

A U D ITO R A IN FO R M T IC A EN E L S E C T O R A R E O
Aurelio Hermoso Baos

23.1. INTRODUCCIN
Por hacer un poco de historia podram os decir que e n el mundo informtico del itttor areo los aspectos jurdico no han tenido un gran im pacto en el desarrollo dado qae apenas existan y este sector estaba monopolizado por las empresas fabricantes dc hardware y los productos y aplicaciones softw are en las que se basaba el tratamiento de los datos y en las facilidades que ofreca el sistema operativo d e sus mquinas. Los aspectos sobre los que se realizaban trabajos dc auditora eran los clsicos de materia econmica y financiera sobre los exudes, aparte del modo operativo, haba que cumplir requisitos obligados que estaban reglamentados por los organismos oficiales del pas. N o obstante, dentro del sector haba que cumplir la legislacin internacional correspondiente. Cuando el mundo de la auditora se dio cuenta dc que los datos eran manejados por sistemas informticos, naci la auditora informtica, la cual iba ms dirigida a la organizacin del centro proceso dc dalos y a la custodia de los datos en dispositivo* magnticos cumpliendo con la legislacin de guardar la informacin al menos cinco La expansin del mundo informtico debido al avance d e la tecnologa motiv tfx determinados datos se procesaran en lugares geogrficamente distantes e incluso por empresas distintas cuyo tnico fin era fortalecer el negocio del sector areo a nivel mmdial en fuerte competencia con el resto de las compartas areas.

www.FreeLibros.me
Con l a idea nacieron divento sistema* d e reservas a nivel intemacional elitre k quo podemos citar los americano* SABRE. SYSTEM ON E y APOLLO. > los e ropeos GALILEO y AMADEUS, aparte de lo* nacionales que cn Esparta era SAVIA

23.2. SISTEM A DE RESERVAS AM ADEUS

1.a* lneas areas europeas no podan quedarse atrs ante el empuje americano y se constituy como sociedad annim a AMADEUS GLOBAL TRAVEL DISTRIBUTION. viendo los socios actuales Air France. Iberia. Lufthansa y Continental Airlines. Su finalidad es proporcionar un sistema de reservas a nivel intemacioaal de diversos productos entre los que se encuentran: vuelos areos, hceles, alquiler de coches, etc. A este servicio se conectan las Agencias de Viaje y Compartas Areas medMntt term inales informticos. Desde estos terminales los adheridos realizan las reseas ea nombre de sus clientes. Ea Esparta se realiza esta funcin a nivel nacional por medio d e la compia SAVIA. Sistema para las Agencias de Viajes, utilizando los servicios de los grandes sistemas informticos de IBERIA. Al sistema se pueden adherir tambin los proveedores de los servicios con el fin de que se puedan hacer reservas por medios informticos para: compartas de lneas areas, servicios hoteleros, compaas de alquiler de coches, mayoristas de viajes, floristas, y un largo etctera. Estos proveedores pueden estar directamente conectados o no. pero su informacin s debe estar en la base de datos de AMADEUS. Por lo ta nto AMADEUS contrata servicios de proceso de datos y acceso a la base de dalos de reservas pora cualquier lnea area que est adherida a un sistema informtico de reservas, programas de vuelos, disponibilidad de plazas y tarifas, al mismo tiempo que gestiona la red de comunicaciones, produce programas informticos para la gestin de las Agencias d e Viajes y tambin para la gestin de todo el sistema de reservas a nivel internacional. IBERIA realiza la conexin d e las Agencias d e Viajes espaolas al sistema AMADEUS para que puedan reservar cualquiera de los productos ofrecidos del proveedor de cualquier pas, al mismo tiempo que posee su propio sistema de reservas y red de comunicaciones para sus Oficinas de Ventas y de las Agencias de Viajes.

www.FreeLibros.me
c a H tilo a u h to k Ia in fo rm tica es il m cto k A te to s Las Agencias de <xros pases pueden reservar productos de IBERIA en sistema AMADEUS y de cualquier otro proveedor nacional que tenga sus producios en la base 4c datos, aunque estn conectados a otro sistema d e rese a s dad) que existen acuerdos comerciales entre ellos para facilitar informacin y venta d e sus productos.

23.3. FAC TUR A C I N EN TRE COMPAAS A R EA S

Este trasiego de informacin es gratuito, pero cuando se realiza u ta r e se a y la correspondiente emisin del billete pora otra comparta area e s necesario regularlo pora que el im porte recaiga sobre el autntico transportista. Si un pasajero solicita informacin y desea contratar un vuelo con una comparta area, por ejemplo M adrid-l.ondrcx. y ese trayecto lo realiza la m isna, no existe (Ktcracin entre compartas. Pero si el suelo que desea realizar es: M adrid-Nueva York-Hawai-San FranciscoSueva York-Madrid. y la comparta area no puede efectuar alguno de estos tramos por no disponer de autorizacin pura realizar esos vuelos, existe un acuerdo entre las compartas areas de poder em itir el billete en las lneas de aquellas compartas que los explotan comercial mente. Si a esto aadim os que en la ciudad o pas donde est el cliente realizando la ccmpra de sus vuelos, no existe representacin de la citada comparta, v puede emitir d hlete reservando los vuelos entre tramos, en aquella comparta qo: s los puede realizar o resulte mejor por horarios o precios. Supuesto: Volviendo al ejemplo se nos poda dar la siguiente casustica: La oficina de ventas de IBERIA o A gencia de Viajes donde compra el billete con d logo de esta comparta, e sti situada en Esparta y se utiliza la conexin va SAVIA. Madrid-Nueva York se r e se a y lo realiza IBERIA. Nueva York-Hawai se r e se a y lo realiza American Airlines. Hawai-San Francisco se re se n a y lo realiza Camival Airlines. San Francisco-Nueva York se r e se a y lo realiza Continental Airlines. Nueva York-Madrid se r e se a y lo realiza IBERIA. La suma total de los im pones de cada uno de los tram os los abona negramente a fik n emiti el billete, en este caso con el logo de IBERIA y a trav d e la red de SAVIA, con la r e se n a en cada una d e las compartas areas que efectuarn el correspondiente traje lo contratado.

www.FreeLibros.me
S AlDTTORlA INFORMATICA UN LNTOQ tl. mACTKO Lgicamente cada una de Mas deber recibir e l importe del trayecto en el cual ha sido transportado el pasajero que pag el importe por su reserva y em isin del billete. A qu aparece el concepto del BSP. Bank Setietmeni Plan. Plan de liquidaci* Bancaria. cuyas oficinas estn en G inebra donde se centralizan todas las operaciones funcionando como una Cmara de compensacin. Para ello existe una fetbt determinada, como lim ite cada mes, para hacer llegar los im pones totales y desglosados para cada comparta area d e cada uno d e k billetes emitidos y realizados. 1.a distribucin de los Procesos BSP est basada en regulaciones de 1ATA Asociacin Internacional del Transporte Areo. Para evitar el fraude. IATA facilita un control numrico del stock de billetes que se adjudica a cada compaAta area y Agencia de Viajes y que slo son vlidos pan aquellos miembros asociados a la citada organizacin, siendo esta numeracifa incorporada a los datos del pasajero para saber el billete que te le entrega con los trayectos que solicit y la o las tarifas que abon. Cada Agencia de Viajes incorpora su propio nmero de Agencia IATA en la emisin del billete. Esta informacin con la que incorpora los datos de la reserva efectuada figura en la base de datos.

23.4. CD IGO DE C O N D U C TA PARA CRS

La Com unidad Econm ica Europea por mediacin de E l Consejo de Us Com unidades Europeas aprob, y public el Reglamento niim. 2299/89 de 24 de julio de 1989. por. el que se establece un cdigo de conducta para los sistemas informatizados de reserva, posteriormente aprob y public el Reglamento nm. 3089/93 de 29 de octubre de 1993. que modifica el Reglamento nm. 2299/89. por d que se establece un cdigo de conducta para los sistemas informatizados d e reserva Esta ltima modificacin introduce conceptos en e l reglamento sobre U proteccin de datos de carcter personal y la prohibicin legal del uso de la informacin del billete por los sistemas de distribucin, en este caso AMADEUS. aplicable a los propietarios de los sistemas nacionales. IBERIA. El citado reglamento comunitario establece en sus artculos 4 . 6 y 21. entre otras, las siguientes obligaciones:

www.FreeLibros.me
caH tm x) ;v aiidtohIa isnutuA ncA tw n sfctok aCreo w 4) Lo* Sistemas de Distribucin (CRS's) deben asegurar que las facilidades de distribucin estn separadas de manera clara y verificahle de las facilidades privadas de inventario. gestin y marketing d e la comparta o compartas areas propietarias del mismo. Esta separacin debe ser fsica o lgica por medio del softw are adecuado y las facilidades sern solamente coneciables entre s por medio de una interfaz entre ambas aplicaciones. 6) Es necesario proteger los datos y su difusin tanto los privados del pasajero com o datos comerciales sobre las compartas areas participantes. Con respecto a dicha difusin se establece en concreto que: Los datos de reservas, ventas o de marketing pueden ser puestos a disposicin de todos los participantes con la condicin d e que: N o se incluyan datos personales d e los pasajeros o entidades. N o exista discriminacin entre el duerto del sistema con respecto a kxs participantes en lo que se refiere a la prontitud, el mtodo de transmisin, la calidad de la misma, e l precio, las condiciones, etc.

El CR S debe garantizar que las mencionadas facilidades se cumplen por medios tcnicos que tengan las salvaguardas apropiadas en cuanto al softw are utilizado. FJ CR S debe garantiza/ que el duerto del sistema n o puede acceder a la informacin suministrada o creada para los dems participantes. 21) El cumplimiento de los requerimientos tcnicos mencionados debe ser auditado por empresas independientes, por lo menos una vez al aA?. Dado que IBERIA tiene subcontratado por AMADEUS e l sistema d e reserva y misin de billetes, e s por tanto susceptible de pasar la auditora correspondiente con d fin de verificar la neutralidad de AMADEUS en su rea d e responsabilidad. Al poseer los datos de k billetes de todas lis compartas que se emiten por el orienta informtico de IBERIA, aunque no se participe en el itinerario del mismo, hay q x presentar toda la informacin necesaria que demuestre que n o se hace uso comercial de dichos datos ni se deriven prcticas que alteren la libre competencia. Al mismo tiempo presentar los procedim ientos actuales y la descripcin detallada de V mismos as com o la aplicacin de todas las salvaguardas necesarias pora que en d sistema informtico de IBERIA slo se pueda acceder a los datos d e otras ccopartos. para proporcionar la informacin necesaria al BSP.

www.FreeLibros.me
i AlItHTOttiA INFORMTICA. UN EMOQUB HtACIKO Cdigo de Conduca pora los Sistemas Informatizados de Reservas menciona que los sistemas de rese a s de vuelo informatizado* estn obligado a pasar una auditoria anual que puede afectar a cualquier entidad que form e pane de dicho sistema. En cuanto a los datos de carcter personal, la base de latos de reservas del sistema AMADEUS en Alemania se encuentra registrada segtii la Ley de protecoo d e datos federal alemana, e igualmente la correspondiente a IBERIA en la Agencia de Proteccin de Datos de Esparta, En cuanto a los procedimientos de acceso, rectificacin y cancelacin a los dalos personales recogidos en el sistema de rese as, tal y com o aparecen en la Ley Orgnica 5/92 de 29 de octubre, no estn definidos en AMADEUS por carecer did a entidad de la posesin y control sobre dichos dalos. N o obstante, cualquier ciudadano puede acceder a sus datos d e reserva a travs de la Agencia (fe Viajes en la cual se efectu dicha reserva o a travs d e las compaas areas que parecen en la misma, por medios informatizados. E sto e s motivado por el sistema transaccional de la aplicacn en tiempo real que adjudica la propiedad de los datos a la Agencia d e Viajes que realiz la entrada de datos quien tiene el contacto personal/comercial con e l pa sacro. Es una medida adicional de segundad aplicable por todas las compartas aireas para asegurar d negocio de las Agencias de Viajes y de la seguridad de la rese a del propio pasajero, evitando la posibilidad de cualquier divulgacin y/o modificacin en los dalos. La obtencin de cintas magnticas cuya informacin e s de utilidad para proceses de estadstica, est sujeta al artculo 6 del Cdigo de C o ntacta de CRS. Ver bibliografa. Reglamentos de la Comunidad Econm ica Europea, nmeros 2299/89 y 3089/93. Asimismo ninguna d e las empresas del sistema AMADEUS comercializa los datos personales del sistema d e reservas.

23.5. P ROCESOS INFORM TICOS

Las aplicaciones informticas a las que se les practica la auditora son dos. procesndose en plataformas informticas diferentes. Proceso T K 'K R T IN G . Desarrollado para grandes sistemas UNISYS. Bajo este nombre, y para no complicar con nomenclaturas, vamos a reunir las numerosas aplicaciones que componen la informacin de vuelos, reserva ce plazas y emisin de billetes adems de los procesos de identificacin d e usuarios y term inales y la gestita de la red de comunicaciones.

www.FreeLibros.me
CAftTVtO ; VAUDITORIA IMOftSUTK'A l:N U SfcCTOR AfcKU) ?-W Este proceso comienza por la solicitud de U Agencia dc Viajes o Comparta area de la solicitud de los vuelos para un trayecto determinado, horarios de lo mismo., disponibilidad d c plazas, diversas tarifas, reserva dc vuelo y asiento con su definitiva confirmacin en la emisin del billete para el cliente. IBERIA facilita la oportuna informacin y/o conecta a la Agencia de Viaje* con el sistema AMADEUS. que posee adems un computador exclusivamente para clculo de tarifas, devolviendo la informacin completa, facilitando la oportuna emisin d d billete y el im pode a abonar. l-> seguridad de la aplicacin est basada en el SIGN-IN facilitado a la Agencia de Viaje* en el momento de la contratacin comercial del servicio. Esta contrasea permite identificar tanto a la oficina dc ventas y a sus term inales com o a las fancionalidade* asignadas para la realizacin d e las determinadas transacciones que est autorizado a utilizar, igualm ente se guarda la identificacin para que slo esa Agencia y no cualquier otra con sign-in diferente, pueda modificar, eliminar o aadir datos al registro creado en la base de dato* para la reserva y em isin del billete del pasajero. La informacin del billete confirmado y cerrado ser utilizada para realizar el diect-in en el aeropuerto en el momento en que el pa*ajcro embarque al avin. Toda la informacin correspondiente al billete o mantenida en la base de dato* huta que el pasajero haya realizado el ltimo tram o que figura en el mismo, momento 01 que ser copiada a cintas magnticas para usos estadsticos y conservacin d e tipo legal y borrada del sistema. Lo* datos contable* son traspasados al sistema IBM va hypcrchanncl. Proceso BSP. Desarrollado para grandes sistemas IBM. Los dato* econmico* del billete dc vuelo son tratado* en procesos de facturacin y administracin contable y dc preparacin para ser remitidos al Centro d c compensacin para la facturacin entre compaas areav Existe una empresa nacional de BSP que rene los datos correspondientes de IBERIA mediante proceso de captacin d e la informacin por medio dc transmisin de archivos y tambin de las otras compartas areas nacionales y agencias de viaje pira ser transferidos al centro de compemacin en Ginebra. La transmisin de esto* archivo* se formaliz mediante contrato exigiendo todas 1 medida* dc seguridad necesarias y dc acuerdo con la legislacin nacional vigente y b ao divulgacin de los dalos comerciales de las comparta* participantes.

www.FreeLibros.me
mi Al IHUHtU IStOUMSTKA I -X1-NfOQH fWCTKt) l.as medidas de proteccin vienen dadas por clave U se/ Id asignada a p e n ca n significada nicamente con autorizacin de lectura para los archivos determinados, con lo cual la confidencialidad, divulgacin y no manipulacin de la informacin queda asegurada. Ixw datos se respaldan en cintas magnticas mediante procesos backup siento custodiadas en un centro off-site durante el perodo legal exigido.

23.6. AUDITORA INFORM TICA

Anualmente se recibe la visita de auditores que en cumplimiento del Reglamento Com unitario sobre Cdigo de Conducta de CRS. vienen de Alemania, sede del sistema AMADEUS para realizar sus trabajos respecto a los procesos sealados en el punto anterior. H1 cumplimiento de esta auditora es obligado, y en caso del no cumplimiento de lo estipulado en los artculos del reglamento se podra cancelar el contrato de servicio entre ambas empresas. 1.a finalidad de la auditora es detectar posibles desviaciones para asegurar la correcta o incorrecta funcin neutral en la em isin del billete por parte de IBERIA com o subcontratado de AMADEUS. as como asegurar las apropiadas salvaguardas, como los procedim ientos internos y las medidas de segundad conforme al Reglamento de la CEE nm. 2299/89. d e 24 de julio 1989 y Reglamento CEE nm. 3089/93. de 29 de octubre 1993. por el que se establece un Cdigo de Conducta pora kxs sistemas informatizados de reservas y los requerimientos de AMADEUS incluidos en el contrato con la subcontratacin de servicios de Ticketing con IBERIA en cuanto a informacin al cliente, calidad d e los servicios y confidencialidad se refiere. Breve descripcin de los servicios d e sistemas d e informacin que facilita IBERIA E n general como operador areo, el transporte de pasajeros y carga, servicios en aeropuertos y operaciones d e vuelo. En particular, desde el centro de proceso de datos de Madrid, ofrece sistemas de inventario (informacin d e vuelos, plazas disponibles, tarifas), emisin de billetes, seguimiento de equipajes y operaciones de carga. Existen compartas areas conectadas al sistema informatizado de reservas de IBERIA con inventario privado y emisin de billetes. La informacin del billete consiste en datos del pasajero e informacin del vuelo, tarifa del mismo y forma de pago, que pueden ser impresos en la Agencia d e Viajes conteniendo otros datos de seguridad com o el nmero de

www.FreeLibros.me
CArtmx) ;.v AiiixroRla inokmatca i h . s k t u k k m o u i control del billete, control de stock del billete d e informacin para el BSP. T odo ello pora la em isin del billete d e vuelo. Estructura Sistema Informatizado Reservas d e IBERIA

El primer paso despus de preparar la agenda de entrevista con los auditores, es recibir en IBERIA un cuestionario obre de term inada preguntas que debidamente cumplimentado y comentado se les luce entrega el da de la visita. Estas preguntas se concretan en cuatro apartados:

A) Datos personales Nuevas inscripciones de archivos en la A gencia d e Proteccin d e Datos, desde la ltima auditora realizada. Realizacin de auditoras internas o externas concernientes a la seguridad y/o privacidad de los datos. Si fue interna, cules fueron los resultados. Aparicin de nuevas regulaciones internas sobre confidencialidad o manejo de los datos de carcter personal o de la comparta.

www.FreeLibros.me
Aparicin de violaciones concernime* a la privacidad de lo* dato* de carcter personal. Reclamaciones de compartas areas respecto al manejo de sus datos. Reclamaciones desde otras compartas areas a los servicios d e IBERIA. Reclamaciones desde otras compartas areas a los servicios d e billetaje.

B) D atos BSP Si se ha incorporado alguna nueva compaa area que tenga su invenurioei la base de dato* de IBHRIA desde la ltima auditora realizada. Si esto oblig a modificaciones en las aplicaciones. Si hubo necesidad de adaptaciones en los sistemas informtico*, en d software, en los procedim ientos o en la organizacin. Si se han incorporado nuevas reglas de BSP. Si han aparecido nuevos mercados en el BSP. Si han aparecido nuevas versiones de BSP.

C ) O tra s m odificaciones y cam bios Cambios en la poltica de seguridad d e IBERIA desde la ltima ataJiiorfa realizada. Cambios en la poltica de respaldo y salvaguarda d e la informacin. Cambios en los sistemas de seguridad y configuraciones en los ustcm* informticos de cada una de las plataformas. Cambios hardware y/o de sistemas operativos e n cada una d e las plataformas. Cambio* en la organizacin separando responsabilidades desde la kimt auditora realizada. Entre Desarrollo y Explotacin. El grupo de desarrollo d e la aplicacin T icieting mantiene las irusmu responsabilidades.

www.FreeLibros.me
CAffrVLO li AUDITORIA IVtOltStATTCA EN El- SECTOR AtKBO M3 D iD o c u m e n ta c i n listad o s de los perfiles de seguridad de los archivos correspondientes a los procesos BSP y de los usuarios que estn autorizados a su acceso y tratamiento.

Por su pane los auditores instalan procedim ientos y medida* administrativas con d fie de asegurarte la seguridad en los dalos del billete, cubriendo la separacin de evos s e n icios y principalm ente de cualquier funcin d e in*ntario. entendiendo que AMADF.US facilita los mismos conceptos a todas las compartas aire as conforme se detalla a continuacin:

Loable(imitnio de Ftujo de Irabajo Entrevista* con lodos los responsables de las rea* de la aplicacin Ticketing en orden a confirmar, completar o corregir las medidas, procedimientos y controles establecidos poniendo un mayor nfasis en los aspectos d e seguridad.

Procedimientos de auditoria E stin basados en la separacin organizacional y en la documentacin solicitada ceo anterioridad. Otro enfoque ha estado basado principalm ente en la implantacin de medida* y procedimientos de seguridad y su* controles distribuyndolos en temas como: Seguridad Fsica. Sistema* de seguridad e integridad. Medidas de seguridad en la* Aplicacioncs y su* dalos. Seguridad en el desarrollo de la Aplicacin.

Seguridad Fsica Se analizan los siguientes puntos: Control de accesos al edificio del Centro Proceso de Dato*. A cceso a las diferentes rea* slo por personal autorizado, y de visitantes. A cceso a la sala de computadores u otras dependencia* criticas. Registros en libros de entrada/salida e inspeccin de bultos.

www.FreeLibros.me
W AtlPtTOHU ISKXLMTK'A UN iMOQUK MUCIICH Control de entrada y salida d e vehculos de la zona y su registro. Control rea suministro d e energa, aire acondicionado y otros servicios pee medio de CCTV. Centro off-site. para almacenamiento y custodia de cintas magnticas y su control e identificacin, lis ta s d e personal autorizado y su autorizacin.

Si lema de Seguridad e Iruegridad Se analizan los siguientes puntos: A cceso a los Sistemas Informticos UNISYS. Control de acceso a la aplicacin T kketing. mediante identificacin dd usuario y autorizacin de conexin al sistema informtico corTcspoodicaie que tiene la aplicacin. Control de acceso del terminal identificado en el software del front-eed de comunicaciones y en tablas del sistema operativo. El term inal y la conexin fsica estn previamente definidos en tablas coa acceso protegido. S e define a cul aplicacin d e Tickcting se autoriza al terminal a conectase definido en tablas con acceso protegido. Estos tipos de acceso slo estn permitidos va transacciones en tietapo real con funcionalidades predeterminadas en la aplicacin.

Una aplicacin no puede tener acceso, lectura o modificacin en otra aplicacin si n o est previamente autorizada o requerida por ta funcionalidad. El usuario accede a la aplicacin mediante Sign-in. el cual es ilnico pa esa Agencia de Viajes u Oficina de Ventas de IBERIA. El acceso va sistema conversacional requiere un Logon de entrada mis User-Id y Password.

Existe auditora de intentos de violacin y control de accesos. El acceso a los datos slo e s posible va autorizacin d e la aplicacin. Existen terminales autorizados para entrar en sistema de emergencia asignados al personal tcnico pora la resolucin d e problemas.

www.FreeLibros.me
CAUTELO : AUDITORIA IMOKMADrA hN M. SKTOK A6RBO MS Acceso a los sistemas informticos IBM. Los terminales autorizados d e acceso al sistema informtico que contiene la aplicacin estn definidos en el softw are d e la Unidad de Control de Comunicaciones y en las tablas del sistema operatis-o MVS. debidamente protegidos. El acceso al sistema est controlado por User-id y Password. Existen reglas de acceso a las aplicaciones por proteccin y tipo de acceso a los archivos, asignacin de facilidades al usuario. Existe auditora de violacin y control de accesos. l a seguridad consiste en identificacin de usuario y su verifcacin. control de accesos y auditora guardando sus resultados. Se asegura que una aplicacin no puede acceder a datos de otra aplicacin. Existen term inales autorizados para entrar en sistema Je emergencia asignados al personal tcnico para la resolucin de problema'.. T odos los datos de contabilidad preparados en la plataformi UNISYS por la aplicacin Ticketing son transferidos a la plataforma IBV por medio de transferencia de archivos y quedan almacenados debidamente protegidos por el producto de seguridad instalado en dicha platafonru. Antes de la transferencia son manejados por procesos batch.

Medidas de seguridad de as Aplicaciones y sus datos Se analizan los siguientes puntos: Las definiciones de seguridad de la aplicacin son coordinadas por los responsables de AM ADEUS. IBERIA y SAVIA.

SAVIA define la seguridad de acceso de la Agencia de Viajes a la Aplicacin Ticketing y lo comunica a IBERIA para su inclusin en los sistemas informticos. Incluye definicin del terminal. Sign-in en la Aplicacin con sus funcionalidades y autorizaciones, y la identificacin del terminal de la Agencia de Viaje*.

www.FreeLibros.me
Controle* de acceso a 1 aplicacin Tickcting: El acceso a la aplicacin es controlado por la identificacin del terminal ca comn con el sign-in. E su s especificaciones e stn contenidas en ub U i de la aplicacin.

Controles dc acceso a la aplicacin de otnts Compartas areas: El control de acceso del terminal a sus aplicaciones est en base a las autorizaciones asignadas al terminal. Por ejemplo, puede impedir el acceso a otros programas dentro d c la aplicacin. A cceso restringido a transacciones que faciliten las tarifas y el nmero de control dc stock del billete. Restringir el acceso a aplicaciones inventario, (informacin dc vuelos, disponibilidad de asientos y tarifas), desde terminales.

Control de conectividad a otros n o v icio s basados en sistemas remotos: La aplicacin tambin controla la conectividad a otros sistemas, incluyendo los protocolos de comunicacin. A cceso a aplicaciones basadas en Memas remotos, estn definidas en tablas que especifican el correspondiente programa, aplicaciones permitidas y las interfaces. A ccesos del terminal a las aplicaciones rem otas son controladas por programas de la aplicacin Ticketing y llevan el identificador del terminal.

Control de acceso a xus bases d e datos: Los accesos a la informacin d e las bases dc dalos estn garantizados per los programas y transacciones controladas por la aplicacin Ticketing, definidas las relaciones entre datos y programas en tablas.

Control de accesos a utilidades: Los accesos a utilidades e stn definidos, controlados y mantenidos por la identificacin del term inal en tablas, siendo el grupo de desarrollo de la aplicacin el nico autorizado para ello.

Control dc obtencin d e respaldo dc las bases d e datos y programas de la aplicacin: Se asegura mediante la realizacin de procedimientos con perox determinados de acuerdo con normas dc seguridad publicadas.

www.FreeLibros.me
CAHlUtO 2V AtlXTOKlA INWKMTKA Qi EL Sg~TOWAtKH) MT Las cintas magnticas obtenidas son custodiadas en centro <f-sitc.

Control de Soporte (Help Desk) en SAVIA: FJ punto de entrada para las Agencias de Viaje concctnlas funciona e n dos niveles de soporte. FU primer nivel de soporte lo facilita SAVIA desde un punto d e vista funcional y tcnico. Incluye la comprobacin del entorno de la Agencia, como puede se el hardware, configuracin, softw are y contctividad. El segundo nivel, si con el prim ero n o se resuelve el problena. es facilitado por SAVIA, y e s el persona) tcnico de IBERIA corvo soporte de la aplicacin Tickenng el encargado de la revolucin. Este grupo es responsable del mantenimiento relativo al desarrollo de la aplicacin, incluyendo toda la configuracin y tablas de seguridad. Solamente los term inales instalados en H elp Desk estn permitidos para usar estas facilidades, esto se asegura utilizando las tablas de identificacin de los term inales vfa la definicin de tablas de configuracii en e l software de comunicaciones.

a SAV

S eguridad en el desarro llo de la A plicacin El desarrollo de la aplicacin Ticketing y sus fu ncin pertenece a AMADEUS. porque e s un producto basado principalm ente en el paquete estndar de la casa UNISYS para su aplicacin en lneas areas El grupo de desarrollo de IBERIA tiene la responsabilidad de integrarlo y probarlo en la plataforma UNISYS. Existe separacin de entornos de Desarrollo y Explotacin con procedimientos y normas muy concretas y seguras pora el pase a explotacin Je programas y sus modificaciones. Los cambios para la aplicacin de contabilidad y facturacin en la plataforma IBM son iniciados por IBERIA o por la Cmara d e compensacin BSP. El desarrollo de los programas necesarios son probados en criom o separado en cooperacin con las autoridades del BSP.

www.FreeLibros.me
U t AtlPCTORA INFORMTICA: UK ENFOQUE PRCTICO___________________________ t*w

23.7.

CONCLUSIONES

Problema t Es necesario un seguimiento de la legislacin nacional e internacional en materia de la facturacin entre compaa areas BSP pora la adaptacin de Us aplicaciones a su contenido. Dejar bien claro en los aspectos contractuales con las Agencias de Viaje y Com paas areas que se incorporen o la base de datos d e IBERIA I obligaciones y responsabilidades de cada pane segn la legislacin naciocul e internacional. I-is nuevas tecnologas pueden hacer variar U s aplicaciones actuales, como por ejemplo U venta del billete electrnico y sobre todo las ventas pee INTERNET, lo que obligara a tomar medidas d e seguridad adicionales.

Soluciones I-s aplicaciones deben controlar fuertemente U identificacin de los clientes, lo que har variar y ampliar el desarrollo por el mundo INTERNET eco nuevas soluciones en materia de seguridad, lo que a su ve* obligar a desarrollar nuevas metodologas e n el mundo d e U auditora informtica.

23.8.

LECTURAS RECOMENDADAS

a) Reglamento de U Com unidad Econmica Europea nm. 2299/89. de 24 de julio de 1989. por el que se establece un cdigo d e conducta para los ststemis informatizados de reserva. Diario Oficial de las Comunidades Europeas, L -2 20.29 de julio de 1989. b) Reglamento de la Comunidad Econmica Europea n m 3089/93. de 29 de octubre de 1993. que modifica el Reglamento de la Comunidad Econmica Europea nm. 229W89 por el que se establece un cdigo de conducta para k s sistemas informatizados d e reservas. Diario Oficial de las Comunidades Europeas, L-278, 11 de noviembre de 1993. c ) Informe de la Comisin de las Com unidades Europeas al Consejo sobre la aplicacin del artculo 4 bis y el apartado 3 del artculo 6 del Reglamento de la Com unidad Econm ica Europea n m 2299/89 del Consejo en su versin

www.FreeLibros.me
< Ar t n i o .M At:l)fTORlA IMORMMKA >N IX SECTOR AfJtEO W modificada por el KegUincnio por el que se establece un cdigo d e conducta para los MMcmas informatizados de reserva. Bruselas 07.03.1 W .

23.9.
1.

CUESTIONES DE REPASO
Nombre algunos sistemas de reservas que conozca.

2. Qu e s AM ADEUS? 3. Qu tipo de tratamiento de la informacin ve necesita para un viaje con d ise as escalas en las que el pasajero cam bia d e comparta area? 4. Cmo a fc c u la LORTAD al sector areo? 5. A qu aplicaciones principales se les hace auditora en e l se co r areo? 6. Describa los servicios de sistemas de informacin que facilita una comparta com o IBERIA.

7. Qu aspectos se analizan en cuanto a la seguridad e integridad? 8. 9. Cules son las medidas de seguridad de las aplicaciones y su* datos? Cules son los problem as d e adaptacin d e legislacin internacional en materia de facturacin?

10. Qu nuevos riesgos entrarta la senta del billete electrnico a travs de Internet?

www.FreeLibros.me

CA PTULO 24

A U D ITO R A IN FO R M T IC A F.N LA A D M IN IST R A C I N

Vctor Izquierdo Layla

24.1. INTRODUCCIN
Constituye un juicio de valor generalm ente aceptado decir que las Tecnologas de U Informacin y de las Comunicaciones (TIC) se han venido u.ilizando en la Administracin espartla, desde los inicios del proceso de "mecamacin" en los aos sesenta hasta entrada la dcada d e los noventa, para mejorar su funcionamiento utiemo. dejando de lado (salvo en excepciones que confirman la regla) su aplicacin a lis relaciones de I# Administracin con ciudadanos y empresas. E n e juicio de valor es compartido por el legixlador en la Ley 30 1992. de 26 de noviembre, de Rgimen Jurdico d e las Administraciones Piblicas y del Procedimiento Administrativo Com n (LRJ-PA C). cuando en la Exposicin de motivos dice: Las nuevas com entes de la ciencia d e la organizacin aportin un enfoque dkiottal en cuanto mecanismo para garantizar la calidad y transparencia de la ctacin administrativa, que configuran diferencias sustanciales entre los escenarios e 1958 y 1992. lu Ley de Procedim iento Administrativo de 1958 pretendi Bodemizar las arcanas maneras de la Administracin espaola, propugnando una racionalizacin de los trabajos burocrticos y el em pleo de mquinas adecuadas con sista a implantar una progresiva mecanizacin y automatismo en las ofcias pblicas, siempre que el volumen de trabajo haga econmico el empleo de estos pcixcdimientiK" Este planteamiento tan limitado ha dificultado el que la informatizacin. soporte y tejido nervioso de las relaciones sociales y conm kas de westra poca, haya tenido hasta ahora incidencia sustantivo en el procedimiento

www.FreeLibros.me
SU AUPtTOKUlKKHtMTKA: UNEMPOCE HUenCO administrativo por falta de reconocimiento formal de la validez d e documentas y comunicaciones emitidos por dicha va. El extraordinario avance experimentado en nuestras Administraciones Pblicas en la tecnificacin d e sus medios operativos, a travs de su cada vez mayor parque informtica y telemtico, se ha limitado al funcionamiento interno, sin correspondencia relevante con la produccin jurdica de tu actividad relacionada con los ciudadanos L as tcnicas burocrticas formalus. supuestamente garantistas. han caducado, por ms que a algunos les parezcas inamovibles, y la Ley se abre decididamente a la tecnificacin y modernizacin de la actuacin administrativa en su vertiente de produccin jurdica y a la adaptacifa permanente al ritm o de las innovaciones tecnolgicas." El presente captulo sobre la auditora informtica en la Administracin se centra en analizar las consecuencias que se derivan para esta disciplina de la entrada en vigor de la LRJ-PAC y de las disposiciones que la desarrollan. En particular, el Real D ecreto 263/1996. de 16 de febrero, por el que se regula la utilizacin d e tcnicas electrnicas, inform ticas y telem ticas (E IT ) por la A dm inistracin General d d Estado. Examinemos en primer lugar el tratamiento que reciben las T IC en la LRJ-PAC.

24.2. LAS TIC EN LA LRJ-PAC

Los dos preceptos esenciales pora comprender e l papel asignado a las TIC en 1 procedim iento administrativo por la Ley 30/1992 son el artculo 45 (Incorporacinde medios tcnicos) y el 38 (Registros). Existen otros en los que se contienen mandilo* que afectan a la utilizacin de las tcnicas E IT por porte de las Administracin Pblicas. Se trata, principalmente, d e' los que se refieren al acceso a los registros y archivos, a las comunicaciones y notificaciones, al derecho a n o presentar documentos que ya se encuentran en poder de la Administracin actuante, a la validez y eficacia de documentos y copias o a la Informatizacin de registros. Comencemos por el A rtculo 4S que la Ley dedica a la Incorporacin de medien tcnicos . En su primer apartado se recoge el siguiente mandato: Las Administraciones impulsarn el em pleo y aplicacin de las tcnicas y medios electrnicos, informticos y telemticos, para el desarrollo d e su actividad y d ejercicio de mis competencias, c on las lim itaciones que a la utilizacin d e estos medios establecen la Constitucin y las Leyes. D e su lectura podemos extraer las siguientes conclusiones: - Se trata de un mandato que afecta a todas las Administraciones a las que se aplica la Ley: la General del Estado, las de las Com unidades Autnomas y las Entidades que integran la Administracin Local.

www.FreeLibros.me
mt* ________ CArtTIJU) M: AltMTOKlA INFORMTICA EN LA ADMINISTRACIN ) No se refiere, com o seala L. O rtega Alvarez. slo a la utilizacin J e las tcnicas y medios BIT para el funcionamiento inlem o (desarrollo d e su actividad), sino tambin a las relaciones con los ciudadanos (ejercicio de sus competencias).

- Se recuerda que el uso de los medios EIT se encuentra limitado por lo establecido en la Constitucin (articulo 18.4) y las Ix y cs (principalmente la LORTAD). El segundo apartado del artculo presenta posiblemente un m ayor calado, ya que im ita a los ciudadanos a relacionarse con las Administraciones Pblicas pura ejercer sas derechos a travs de tcnicas y medios EIT, siempre que se satisfagan las sfuientes condiciones: - Cuando ello sea compatible con los medios tcnicos d e que dispongan las Administraciones Pblicas. N os encontram os aqu, por tanto, ante un problema de normalizacin. - Cuando la relacin ciudadano-Administracin respete las garantas y requisitos previstos en cada procedim iento. En otras palabras ms prxim as al mundo de los sistemas de informacin, se trata de que la relacin ciudadanoAdministracin respete Ixs previsiones del Anlisis de Requisitos del Sistema. Los apartados 3 y 4 d e l artculo 45 recogen determinados requisitos a los que la Ley somete la utilizacin de tcnicas y medios EIT: As. el apartado 3. referido exclusivamente a los procedim ientos que ve tramiten y terminen en soporte informtico, exige que quede garantizada la identificacin y e l ejercicio de la competencia por el rgano que lo ejerce. Nos encontramos en este caso ame un problema de autenticacin.

- El apartado 4. que se aplica slo a los programas y aplicaciones EIT que vayan a ser utilizados por las Administraciones Pblicas pora el ejercicio de sus potestades, exige que estas aplicaciones sean previamente aprobadas por el rgano competente, el cual debe difundir pblicamente sus caractersticas. Finalmente, el apartado 5 se dedica a los documentos electrnicos, estableciendo tos requisitos para que dispongan de validez y eficacia, tanto los o rig in a l como las copias. stos son los siguientes: - Que quede garantizada su autenticidad, integridad y conservacin. - En su caso, la recepcin por el interesado. - El cumplimiento de las garantas y requisitos exigidos por la propia LRJ-PAC u otras Leyes.

www.FreeLibros.me
)5I Al'DHORlA INFORMTICA UN KSTOQCEPRCTICO__________________________ t m n Ms adelante, en este mismo captulo, nos referiremos a cmo La Administraofa General del Estado (una de las Administraciones afectadas por la Ley) ha regulado Ia previsiones del artculo 45 mediante el Real Decreto 263/1996. de 16 dc febrero, por el que se regula la utilizacin de tcnicas electrnicas, informticas y telemticas por la Administracin General del Estado.

24.3. LA INFORMATIZACIN DE REGISTROS

Los registros tradicionalmcntc han constituido la "puerta de entrada de lo ciudadanos a la Administracin. En e l sistema rcgistral definido en la LRJ-PAC se establece que los rganos administrativos deben llevar un registro general en el que se har el correspondiente asiento d e todo escrito o comunicacin que sea presntalo o que se reciba en cualquier Unidad administrativa propia. Tambin se anotarn en el mismo la salida de los escritos y comunicaciones oficiales dirigidas a otros rganos o particulares. Hasta aqu todo resulta bastante convencional. La novedad fundamental introducida por la LRJ-PAC coasiste en la obligacia, recogida en d artculo 38.3. dc instalar en soporte informtico todos los registros de las Administraciones Pblicas, si bien en la forma y plazos que determine el Gobierno, rganos de G obierno de las Com unidades Autnomas y Entidades que integran la Administracin Local, en funcin del grado de desarrollo d c los medios tcnicos de que dispongan (Disposicin adicional segunda). lista instalacin e n soporte informtico es una condicin necesaria para que los registros puedan llevar a cabo lo que podemos denominar funciones regstrales modernas, que vienen a aftadirsc a las bsicas del sistema administrativo registra! cspaAol. constituidas por: Sellado de la documentacin d c entrada como medida de constancia de la entrega". Se entrega al ciudadano una copia sellada d c su escrito. Anotacin del apunte en el Libro de registro. Si la entrada en el registro est asociada al pago dc una cantidad en concepto de impuesto, precio o lasa, se vincula la anotacin a la materializacin del abono.

Entre las funciones ms avanzadas que pueden encomendarse a los registros informatizados figuran las siguientes: Garanta de la identidad entre el original entregado y la copia sellada". Archivo de seguridad, ante posibles prdidas de la solicitud, escrito o comunicacin dirigida por el ciudadano a la Administracin.

www.FreeLibros.me
CArtlVLON ACTHTOKlA ISTOfeMTKAEX IA APMINISIKACIN W Publicidad registrar, que ofrecc el acceso a los documentos. as como la posibilidad de seftalar a un registro como depositario de una informacin previamente entregada a la Administracin, para facilitar el ejercicio y la extensin del derecho reconocido en la Ley (Art. 35 f de la LRJ-PAC) a no presentar los documentos que y a se encuentren en poder de la Administracin actuante. Integracin de registros: generales y auxiliares, de distinto* rganos o aun de distintas administraciones. Admisibilidad de comunicaciones a distancia, usando medios com o el correo electrnico. EDI o el telefax.

24.4.

LAS PREVISIONES DEL REAL DECRETO 263/1996. DE 16 DE FEBRERO, POR EL QUE S E REGULA LA UTILIZACIN DE LAS TCNICAS E IT POR LA ADMINISTRACIN GENERAL DEL ESTADO

El objetivo de esta norma e s delimitar en el m bito de la Administracin General del Estado las garantas, requisitos y supuestos d e utilizacin de las tcnicas ET. Para tilo el Real Decrcio aborda el desarrollo del artculo 45 d e la LRJ-PAC. al que ya nos hemos referido anteriormente, y que en el prembulo recibe la consideracin de verdadera piedra angular del proceso d e informacin y validacin de dichas tcnicas [EIT] en la produccin jurdica d e la Administracin Pblica as como en sus reciones con los ciudadanos". El Real Decreto 263/1996 se estructura del siguiente modo: En primer lugar delimila su objeto y mbito de referencia (Art. I). y ofrece unas definiciones de conceptos clave en relacin con la utilizacin de las tcnicas EIT: .soporte, medio, aplicacin y documento (Art. 3). A continuacin establece derechos y garantas generales en la utilizacin de soportes, medios y aplicaciones EIT.

Ms adelante trata una. serie de supuestos concretos en los que se exige un grado 6t proteccin ms elevado (Arts. 5 a 8) y que se refieren a: - Programas y aplicaciones para el ejercid o d e potestades. - Comunicaciones. - Emisin, copia y alm acenamiento de documentos automatizados.

www.FreeLibros.me
55 AUDITCltf* W O O U lK A . Wi IM OOlt, WfTIfO___________________________ tu . Finalm ente, el Real Decreto recoge en su Capitulo III diversos preceptos de A ccin administrativa, pora concluir con una serie d e disposiciones adicionales, transitoria, derogatoria y final. Desde la perspectiva de la auditora informtica, u no d e lo* aspecto esenciales es el de la identificacin de los requisito de seguridad, normalizacin y conservacin recogidos en el texto del Real Docrcto. Kn este entorno, la auditora debe tener con uno de sus puntos principales d e atencin el cumplimiento d e estos requisitos.

24.5. IDENTIFICACIN DE LOS REQUISITOS DE SEGURIDAD. NORMALIZACIN Y CONSERVACIN EN EL TEXTO DEL REAL DECRETO 263/1996
Seguidamente se examinan de manera sistemtica estos requisitos, presentando en paralelo el texto de un determinado artculo con tos requisitos en I contenidos, todo ello de acuerdo con el anlisis efectuado por el Comit Tcnico de Seguridad de tos Sistemas de Informacin y Tratamiento Automatizado d e Datos personales (SSITAD) del Consejo Superior d e Informtica.

24.5.1.

G a ra n ta s d e s e g u r id a d d e s o p o rte s , m e d io s y a p lic a c io n e s

Art.4

S. Las medida* d e seguridad aplicadas a los sopones, medias y aplicacion utilizados por los rganos de la Administracin G eneral del Estado y sus entidades i t derecho pblico vinculadas o dependientes debern garantizar. a l La restriccin de su utilizacin y d e l acceso a los datos e informaciones ai ellos contenidos a las personas autorizadas. b) La prevencin de alteraciones o prdidas d e los datos e informaciones. c) U i proteccin de lo s procesos informticos fren te a manipulaciones no autorizadas.

4. Las especificaciones tcnicas de lo s sopones, medios y aplicaciones utilizad en e l m bito de la Administracin G eneral d e l Estado en sus relaciones externas, y cuando afecten a derechos e intereses d e los ciudadanos debern ser conformes, en i* caso, a las norm as nacionales e internacionales que sean exigibles.

www.FreeLibros.me
C A H m o a a i im to ru istotm A ncA en i a admim st\oc>n <? Requisito: Identificacin Control de A ccesos Calidad Integridad Compatibilidad De pervona autorizadas Restriccin de acceso a personas autorizadas Prevencin d e alteraciones o prdida de los datos Proteccin de los procesos informticos frente a manipu laciones no autorizadas Conformidad coa normas nacionales e internacionales

24.5.2. E m isin d e d o c u m e n to s : p ro c e d im ie n to s para g a ra n tiz a r la valid ez d e lo s m e d io s; integridad, c o n s e rv a c i n , id e n tid a d d el a u to r y a u te n tic id a d d e la v o lu n tad

A rt6 .l Los documentos emitidos p o r los rganos y entidades d e l mbito d e la Administracin General del Estado y p o r los particulares en sus relaciones con Ruellos. que hayan sido producidos p o r medios electrnicos, informticos y flemticos en soportes de cualquier naturaleza sern vlidos siempre q u e quede acreditada su integridad, conservacin y la identidad del autor, a s i como la autenticidad de su voluntad, mediante la constancia de cdigos u otros sistemas de identificacin. En los producidos p o r los rganos d e la Adm inistracin Genera' d e l Estado o per sus entidades vinculadas o dependientes, dichos cdigos o sisiemas estarn protegidos de form a que Unicamente puedan se r utilizados p o r las personas M atizadas p o r razn de sus competencias o funciones. Requisitos: IX' em isin de docum entos Integridad Conservacin Identificacin Autenticacin De autenticidad Identificacin Autenticacin Del documento En Registro, de la emisin del documento Del autor, dentro del documento Del autor, dentro del documento de la voluntad Del autor, en Registro Del autor, en Registro

www.FreeLibros.me
24.5.3. V alidez d e la s c o p ia s : g a ra n ta d e s u autenticidad, in te g rid a d y c o n s e rv a c i n
A rt. 6.2: Las copias dc documentos originales almacenados po r medios o en opona electrnicos, informticos o telemticos, expedidas p o r lo s rganos de la Administracin G eneral del Estado o p o r sus entidades vinctdadas o dependientes, tendrn la misma validez y eficacia del documento original siempre que queJt garantizada su autenticidad, integridad y conservacin. Requisito: A utenticacin Integridad Conservacin Del autor d e la copia, dentro d e la c o p a Del documento original, dentro dc la ropia fin Registro, de la emisin de la copia

24.5.4. G a ran ta d e re alizac i n d e la s c o m u n ic a c io n e s

A rt. 7.1 La transm isin o recepcin de comunicaciones entre .-ganof o entidades H m bito de la Administracin G eneral d e l Estado o entre stos y cualquier persona fsica o jurdica podr realizarse a travs d e sopones, nedios y aplicaciones informticos, electrnicos y telemticos, siem pre que cumplan los sigmeMet requisitos: a) La garanta de su disponibilidad y acceso en las condiciones que en caJa c aso se establezcan. b) La existencia d e compatibilidad entre los utilizados p o r e l emisor y el destinatario que perm ita tcnicamente las comunicaciones entre amht. irtxtuyxniUf tu utiliijM UWi dc *tkli'xtf* y fuimatv* > i/k ^ u j tic ic&itftv e stableados p or la Adm inistracin G eneral d e l Estado c) La existencia de m edidas d e seguridad tendentes a evitar la interceptacin y alteracin de las comunicaciones, a s com o los acceso: n o autorizados. Requisito*: D isponibilidad Identificacin Dc medios para dar continuidad y calidad a la comunicacita fin Registro, sealando condiciones f c acceso para el sujeto identificado

www.FreeLibros.me
CAPITULOJ4 Al'DITOKlA INFORMTICA EN LA ADMINISTKAON W Compatibilidad Confidencialidad Integridad Control de Accesos T anto d e cdigos y formatos o disertos como de los medios utilizados Del contenido de la comunicacin, inutiliza la interceptacin Del contenido d e la comunicacin, detecta la alteracin R echa/a la* identificaciones no registradas

24.5.5. V alidez d e c o m u n ic a c io n e s y n o tific a c io n e s a los c iu d a d a n o s ; c o n s ta n c ia d e tra n s m is i n y recepcin, e s ta m p a c i n d e fe c h a s y c o n te n id o n teg ro , identi fica ci n fid ed ig n a d e re m iten te y d e s tin a ta rio Alt. 7.2
Las comunicaciones y notificaciones efectuadas en los soportes o a travs de los medios y aplicaciones referidos en e l apartado anterior sern vlidas siempre que: a) Exista constancia de la transmisin y recepcin d e sus fechas y del contenido ntegro de las comunicaciones. b) Se identifique fidedignam ente a l remitente y a l destinatario de la comunicacin. c En los supuestos de comunicaciones y notificaciones dirigidas a particulares, que stos hayan sealado e l soporte, m edio o aplicacin como preferente para sus comunicaciones con la Administracin G eneral del Estado en cualquier mom ento de la iniciacin o tramitacin d e l procedim iento o del desarrollo de la actuacin administrati\xL Requisitos: Certificacin Autenticacin Compatibilidad En Registro, dando constancia d e la transmisin y recepcin. con sus fechas y del contenido ntegro d e la notificacin De ambos corresponsales, durante el proceso d e comunicacin EJ soporte, medio o aplicacin sealado com o preferente ha de ser compatible con el/los de la Administracin General del Estado

24.5.6. C o m u n ic a c io n e s p o r m e d io s p re fe re n te s del usuario; c o m u n ic a c i n d e la fo rm a y c d ig o d e a c c e s o s a su s s is te m a s d e c o m u n ic a c i n Art. 7.3

En las actuaciones o procedim ientos que se desarrollen ntegramente en soportet (irnicos, informticos y telemticos, en los que se produzcan comunicaciones

www.FreeLibros.me
m AunnonU inkjwmAuca tN e n fo q c t pAcuco caracterizadas po r su regularidad, nm ero y i'olumen entre rganos y entidades del m bito de la Administracin G eneral del Estado y determinadas personas fsicas o jurdicas, stas comunicarn la fo rm a y cdigo d e accesos a sus sistemas de comunicacin. Dichos sistemas se entendern sealados con carcter general como preferentes para la recepcin y transmisin de comunicaciones y notificaciones en las actuaciones a las que se refiere este apartado. Requisito: Identificacin Compatibilidad Del cdigo de acceso al sistema de comunicacin del uuurio De la forma del acceso, con lo* medien disponible por b Administracin General del Estado

24.5.7. V alidez d e fe c h a s d e n o tificac i n p a r a c m p u to de p laz o s; a n o ta c i n e n lo s re g is tro s g e n e ra le s o au x ilia re s a q u e h a c e re fe re n c ia el artc u lo 38 d e la LRJ-PAC Art. 7.4
Las fechas de transmisin y recepcin acreditadas en las comunicaciones reseadas en los apartados anteriores sern \dlidas a efectos d e cmputo de plazos y trminos, a cuyos efectos se anotarn en los registros generales o auxiliares a que hace referencia e l artculo 3 8 d e la Ijey 30/1992. de Rgimen Jurdico de las Administraciones Pblicas y del Procedim iento A d m inistratno Comn. A estos efectos los Sistemas d e Informacin que integren procesos d e transmisin y recepcin podrn constituirse en registros auxiliares cuando recojan todos los datos a que hace referencia e l prrafo segundo d e l apartado 3 del artculo 38 d e la Ley 30/1992, de Rgimen Jurdico de las Administraciones Pblicas y del Procedimiento Administrativo Comn, y se tenga acceso a ellos desde las unidades encargadas de los registros, generales correspondientes. Requisitos: Certificacin Control de Accesos En Registro Auxiliar, de las fechas comunicadas al usuario AI Registro Auxiliar, pora asegurar que solamente acceda al mismo unidades de Registro General

www.FreeLibros.me
24.5.8. Conservacin de documentos; medidas de seguridad que garanticen la identidad e integridad de la informacin necesaria para reproducirlos
A r1 .8 J Los documentos de la Administracin General del Estado y de sus entidades de derecho pblico vinculadas o de/tendientes que contengan actos adm inistrarnos que afecten a derechos o intereses de los particulares y hayan sido producidos mediante tcnicas electrnicas, informticas o telemticas podrn consentirse en soportes de esta naturaleza, en e l mismo form a to a partir del que se origin e l documento o en otro cualquiera que asegure la identidad e integridad de la informacin necesaria pura reproducirlo. Requisitos: Identificacin Certificacin Integridad En el Rcgittro. del documento original En el Registro, de la informacin que segura la integridad del documento original De la informacin c ap a / de reproducirlo y contrastarlo con la informacin de ixxan racin

24.5.9. Acceso a documentos almacenados; disposiciones del artculo 37 de la Ley 30/1992, y, en su caso, de la Ley Orgnica 5/1992. Normas de desarrollo Art.lU
E l acceso a los documentos almacenados por medios o en soportes electrnicos, informticos o telemticos se regir p o r lo dispuesto en e l artculo 3 7 d e la Ley W I9 9 2 . de Rgimen Jurdico de las Administraciones Pblicas y del Procedim iento Administrativo Comn, y. en su caso, p o r la Ley Orgnica 5/1992, de Regulacin del tratamiento autom atizado de los datos d e carcter personal, a s como en sus correspondientes normas de desarrollo. Requisitos: Control de A ccesos A l Registro, doode se encuentre identificado el documento original

www.FreeLibros.me
VO AUDUOKlA IN'fOKM TH

24.5.10. Almacenamiento de documentos; medidas de seguridad que garanticen su integridad, autenticidad, calidad, proteccin y conservacin
Art. 8.4 Los m edios o sopones en que se almacenen documentos debern contar con medidas de seguridad que garanticen la integridad, autenticidad, calidad, proteccin y consenacin de los documentos alm acenados. En particular, asegurarn la identificacin de los usuarios y e l control de accesos. Requisito*: Integridad Autenticidad Calidad De la informacin contenida en el soporte Del soporte y de mi contenido Del soporte Del soporte, del Registro del soporte, y del proceso que recupera la informacin del soporte En el Registro del soporte, del autor del soporte, y de quienes pueden acceder al soporte Rechaza las identificaciones no registradas

Conservacin
Identificacin Control de Accesos

De manera resum ida. la situacin d e conjunto e s la que se recoge en el siguiente cuadro resumen de requisitos de seguridad, normalizacin y conservacin de las aplicaciones c el RD 263/1996. /. Confidencialidad 2. Autenticacin 3. Integridad 4. Disponibilidad 5. Control de accesos 6. Identificacin 7. Certificacin 8. C onsen acin 9. Compatibilidad 10. Calidad

www.FreeLibros.me
-ArtUilOM M (Bt'iM . ISK .tM M i'M N IA AJ>MtNnnmVlS W

21.6. CON CLUSION ES SOBRE EL PAPEL DE LA AUDITORIA INFORM TICA EN LA ADMINISTRACIN ELEC TRN IC A
El concepto de "Adm inistracin electrnica". Administracin virtual o d e la Adrmnistracin en la Sociedad de la Informacin ha tenido en los ltimo* artos una itlevancia creciente u n to en medios profesionales com o para el pblico en general. En las Actas de la 30* Conferencia del Consejo Internacional sobre las Tecaologias de la Informacin e n Las Administraciones del Estado (ICA). celebrado en Ktubre de 1996 en Budapest, se recoge la siguiente definicin d e Administracin electrnica: Es la posibilidad de que los ciudadanos accedan a lo servicios administrativos de manera electrnica. 24 horas al da, 7 das a la semana, para la obtencin de informacin. Adems, es la posibilidad de efectuar trmites d e manera electrnica con los ciudadanos, con otros rganos o Administraciones y con la empresas. Tambin consiste en reducir y sustituir el papeleo gracias a la extensin del correo electrnico. Tambin se identifican los mecanismos a travs d e k * cuales se favorece la otroduccin de la Administracin electrnica: El principal es U demanda de los ciudadanos d e servicios sim ilares a los del sector privado.

www.FreeLibros.me
y. AUDfTOttM IMOK-MAtK'A UN BNKXWt. PRCTICO Ix importantes ahorros en personal y en costes de mantenimiento. sim plificacin de funcione* y procesos. La resolucin de problemas ms rpida con sistemas en linca que a uass de correspondencia escrita. La prevencin del fraude, mediante una mejor identificacin y audiUbiti&d de las transacciones electrnicas. am

La apertura de nuevas oportunidades para los usuarios. Pueden hacerlo por telfono o a travs de Internet en lugar d e desplazndose a una oficina. lu facilidad de uso.

En otras palabras, la estrategia para poner en prctica la Administracin electrnica consiste en proporcionar servicios mediante tcnicas EIT. con eficacia en el coste y accesibilidad para los ciudadanos, de acuerdo, entre otros, con los siguientes principios: EUccin del medio como preferente, no exclusivo. Confianza en que la informacin recogida d e ciudadanos y empresas ser protegida de modo que no pueda ser accedida incorrectamente o manipulada. - A cceiibituiad a los servicios cmo, dnde y cundo el cliente los requiera. - Difusin de La informacin, siempre que sta n o deba ser protegida per razones de privacidad o de confidencialidad comercial. Eficacia en la prestacin del servicio, sim plificando trm ites y reduciendo el tiempo de respuesta. Racionalizacin, evitando en lo posible la duplicacin de esfuerzos y recursos que puedan ser compartidos.

En este contexto de la Administracin electrnica, y a hemos visto como en EspaAa, en el caso de la Administracin General del Estado, se dispone de un marco legal que no slo permite, sino que impulsa, la utilizacin de las tcnicas En* para Us relaciones con los ciudadanos. De este marco jurdico se deduce que existen unos requisitos concretos de seguridad, normalizacin y comunicacin para hacei realidad este nuevo tipo de Administracin. La Auditora informtica en la Administracin tiene ame si como una tarca especialmente relevante la de comprobar el cumplimiento de tos requisitos en aplicaciones o sistemas de informacin concretos, y ms es particular, en aquellos sistemas, como los de informatizacin de registros, orientados a facilitar las relaciones de ciudadanos y empresas con las A dministraciones.

www.FreeLibros.me
24.7. C U E S T IO N E S D E R E P A S O
1. Qu se expone en la Ley de Rgimen Jurdico de I* Administraciones Pblicas respecto a la utilizacin de las T IC en la Administracin? Cules son los problem as de normalizacin que influyen en la relacin de los ciudad w a t con U s Administraciones Pblicas? Cules son los requisitos d e validez y eficacia de los documentos electrnicos? Cules son los principales aspectos a auditar en la informatizacin d e un registro? Cul e s e l objetivo del Real Decreto 263/1996? Cules son kw requisitos de seguridad en el texto del Real Decreto 263/1996? Qu tipo de requisitos impone la garanta de realizacin de comunicaciones? las

2.

3.

4.

5. 6.

7.

8.

Qu se especifica en cuanto acceso a documentos alm acenados en la Ley 3<VI992 y en la Ley O rgnica 5/1992? Defina, en qu consiste la administracin electrnica? para favorecer la introduccin de la

9.

10. Qu mecanismos empleara Administracin electrnica?

www.FreeLibros.me

CA PTU LO 25

A U D ITO R A IN FO R M T IC A EN LA S PYV1ES
Carlos M. Fernndez Snchez

25.1. PREMBULO 25.1.1. Las PYM ES y las tecnologas de la Informacin

F.I presente capitulo pretende ser una contribucin que se sume al esfuerzo por seguir una mayor rentabilidad de lo* sistema* de Informacin en las em presas y os concretan tente en las denominada* PYMES (Pequeas y Mediana* Empresa*). La importancia de las PYMES viene dada ante todo por su nmero - m is de dos mitones de empresa* que conforman el tejido em presarial- a s como por su paeacialidad. ya que constituyen la base del desarrollo em presarial, siendo una fuente 4e generacin del 170% del empleo total en Espaa. Si analizam os la situacin (apretara) e n los pases iberoamericano* integrados en la OCDE comprobamos que b situacin relevante de las PYMES es muy parecida a la espartla, con una aportacin al PIB del 40% al 50%. A la vista d e estos datos, ex un hecho por fin uimdo por todos los estam entos pblicos y privados de la sociedad actual la necesidad de reformar la c o m p etiv id ad y rentabilidad de la* PYMES favoreciendo su labilidad y la que stas aportan a la economa. Para contribuir a ello, el primer paso abordar su problemtica interna: su propio funcionamiento: y dentro del mismo, los edemas de informacin que han d e permitir la gestin y seguimiento de las principales variables del negocio, facilitando la correcta toma d e decisiones, otamizarxlo riesgos, y consiguiendo de este m odo ampliar su competitividad en un aereado cada vez ms abierto y liberalizado.

www.FreeLibros.me
V* M tHTOftlA IVKKMATH A IV tNHXJlli PRACTICO Es asim ismo un hecho perfectamente demostrado que e l Control Interno Informtico y su auditora pcrnute gestionar y rentabili/ar los sistemas de informacin tic la forma ms eficiente, optim izando, en suma, resultados Por este hecho hemos credo de inters abordar en el presente captulo la exposicin de este mtodo de AUDITORA INFORMTICA expuesto de forma breve y directa eti la conviccin de que. ponindolo en prctica, se lograr que los Sistemas d e Informacin sean fiables, exactos, y ante todo, den el fruto que los empresarios esperan d e ellos.

25.1.2.Metodologa de la Auditora Informtica

h la actualidad existen tres tipos de metodologas de Auditora Informtica: R O A. (RISK ORIENTED APPROACH). disertada por Arthur Andersen. CHECKLIST o cuestionarios. AUDITORA DE PRODUCTOS (por ejemplo. Red Local Windows NT: sistemas de Gestin de base de Dalos DB2: Paquete de segundad RACF, c.|.

En s las t m metodologas estn basadas en la m inimi/acin d e los riesgos, que se conseguir en funcin de que existan los controles y de que stos funcionen. En consecuencia, e l auditor deber revisar estos controles y su funcionamiento. De estas tres metodologas, la ms adecuada a la Auditora de las PYMES es a nuestro juicio la de CHECKLIST. por ser la de ms fcil utilizacin.

25.2. INTRODUCCIN 25.2.1.En qu consiste la gua de autoevaluacin?

E sta gua de autoevaluacin pretende ser un sistem a sencillo y fiable de conocer la situacin general del sistema de informacin de una empresa, as como definir el estado del control de dichos sistemas tomando como control la definicin de U ISACA (Information System, Audit and Control Association). Lw mtodos que abarquen las polticas, procedim ientos, prcticas, estndares y estructuras organizativas que aseguren la adecuacin de la gestin d e los activos informticos y la fiabilidad de las actividades de los sistemas d e informacin." N o se pretende con la misma eliminar las funciones del auditor (interno o externo) informtico, sino que el responsable d e los sistemas de informacin, el Gerente o Director de un departamento o de la misma empresa pueda hacerse una idea

www.FreeLibros.me
CAHTUIOJS AUDITORIA IMORStATtCA liK LAS KYM LS W > suficientemenie aproximada del estado de mis sistem a', podiendo abordar, en caso necesario, un esiudio m is intenso o especializado de los mismo. Resulta, pues, un enfoque de Auditoria Interna tomando como base que la informacin es un activo ms de la empresa y como Auditoria Informtica: "Proceso de recoger, agrupar y evaluar evidencias para determinar si un sistema informatizado salvaguarda los activos, mantiene la integridad de los datos, lleva eficazmente los fines de la organizacin y utiliza eficientem ente los recursos d e este modo, as como sustenta y confirma la consecucin de los objetivos tradicionales del auditor. Asimismo, con esta gua pretendemos que el usuario o el Auditor pueda comprobar por si mismo la fiabilidad y consistencia d e sus sistemas mediante una metodologa que no le obligue a tener amplios conocimientos de informtica ni de Auditoria propiamente dichos.

25.2.2.

A quin va dirigida?

Tal y como el ttulo indica, esta gua est orientada a las Pequeas y Medianas empresas, y dentro de las mismas, a los responsables de los sistemas d e informacin, gerentes, directivo o auditores. Consideram os que esta gua puede ser d e gran utilidad a la hora de examinar y potenciar los sistemas de informacin y. en consecuencia, para mejorar substancial mente la gextin y control de la propia empresa 1:1 auditor podra ser un financiero con conocimientos de informtica o un auditor eform tico jnior.

25.2.3.Conocimientos necesarios
Segn algunos ouiorc-, no rCMilta necesario tener conocimicnto informtico para realizar una auditoria informtica mediante la tcnica utilizada en esta guia (CHECKLIST). N o obstante, creemos necesario un mnimo de form acin especfica pira, al menos, saber qu e s lo que se quiere analizar as com o algunos conceptos no o resulten excesivamente extraos. Fundamentalmente esos conocimientos sern de la ndole de: Minicomputador. Red Local. PC.

www.FreeLibros.me
ito AHOfTWlA INTOKMnCA: UN EMOQt^ PRACTICO Perifricos. Software de Base. Eficacia de un servicio informtica. Seguridad Lgica. Seguridad Fsica. Ele.

Asimismo ser necesario conocer en profundidad el organismo o rea a evaluar; su organizacin, composicin y caractersticas principales, as com o los medios de que se disponen: plantilla, datos tcnicos, etc. Por supuesto e s deseable que se tengm unos conocim ientos informticos m s exhaustivos, pues pueden ayudar a U ponderacin de los controles, pero insistimos en que no son indispensables.

25.2.4.

Entornos de aplicacin

Esta gua es enfocada hacia tres grandes entornos que son: M inicomputadorcs c informtica distribuida. Redes d e Area Local. PCs.

Dicho enfoque es, a nuestro entender, el ms lgico, puesto que son los citad entornos los que se utilizan (quiz en casos determinados con alguna caracterstica especial) en los crculos de la pequea y mediana empresa.

25.2.5.

Metodologa utilizada

La metodologa utilizada es la Evaluacin de Riesgos (ROA Risk Oriented Approach) recomendada por ISACA (Information Syxtem. Audit and Control Association. Asociacin Internacional de Auditores de Sistemas de Informacin). Esta evaluacin de Riesgos se desarrolla sobre determinadas reas de aplicacin y bajo tcnicas de Checklist (Cuestionarios) adaptados a cada enlom o especfico: deber tenerse en cuenta que determinados controles se repetirn en diversas reas de nesgo. Esto es debido a que dichos controles tienen incidencia independiente en cada u n y, que se pretende poder analizar cada rea independientemente, es necesaria dicha repeticin. Asim ismo los controles generales y algunos controles de caractersticas especiales, como pueden ser los de bases de datos, se aplicarn teniendo en cuenta las particularidades de cada entorno.

www.FreeLibros.me
CaHTVIX 21 Al OrtOHA INKMtMTICA V i LAS PYMBS >71

25.3. UTILIZACIN DE LA GUA

Tal y com o hemos apuntado anteriormente, la autogua est dividida en varias reas de riesgo, concretamente seis, que son: 1. 2. 3. 4. 5. 6. Riesgo en la continuidad del proceso. Riesgo en la eficacia del servicio. Riesgo en la eficiencia del servicio. Riesgos econmicos directos. Riesgos de la seguridad lgica. Riesgos de la seguridad fsica.

25.3.1.

Fases de la autoevaluacin

Para aclarar un poco el enfoque vamos a tratar d e explicar someramente el significado de cada uno de ellos, teniendo en cuenta que no existe una separacin absoluta entre lo* mismos, sino que frecuentemente se solapan e incluso determinados riesgos conllevan otros que se han evaluado en diferente irea. No obstante creemos que existe una cierta especificidad en los ooairotes a llevar a cabo, adems, se ha pretendido orientar el anlisis a unas reas lo ms prximas a la empresa y sus interese de forma que el directivo o empresario pueda hacer una evaluacin directa tio descartar que posteriormente se pueda cootar con la interpretacin posterior ms exhaustiva de un analista o auditor informtico.

Riesgo en la continuid ad del proceso Son aquellos nesgos de situaciones que pudieran afectar a la realizacin del trabajo informtico o incluso que pudieran llegar a paralizarlo, y. por ende, llegar a perjudicar gravemente a la empresa o incluso tambin a paralizarla. Se deber hacer especial hincapi en el anlisis estricto d e estos riesgos puesto que. ti bien otros podran afectar relativamente a la empresa o bien causarle perjuicios d e diverso tipo, stos podran ocasionar un verdadero desastre. No pretendemos ser alarmistas y. por mipuesto, no todos los riesgos analizados llevan a paralizar la empresa, pero insistimos en tener muy en cuenta el anlisis exhaustivo de estos riesgos.

Riesgos e n la eficacia del s o n id o in fo rm tica Entenderemos com o eficacia del servicio la realizacin de los trabajos encomendados. A s pues, los riesgos en la eficacia sern aquellos que alteren dicha realizacin o que afecten a la exactitud d e los resultados ofrecidos por el servicio informtico.

www.FreeLibros.me
Riesgo en la eficiencia dd servido informtico
Kmcnderemos com o eficiencia del servicio la mejor b rm a d e realizar los procesos o trabajos. ya sea a nivel econmico o tcnico, pretendiendo con el anlisis de cmos riesgos mejorar la calidad d e servicio. Hay que n u il ir en este aspecto que determinados controles podran resultar una mejora considerable de la eficiencia del servicio pero igualmente podran resultar econmicamente poco rentables sobre tota para pequcftas empresas La valoracin de dichos controles deber ser analizad* por los responsables de la empresa en cuya m ano estar la decisin de aplicacin de tos mismos.

Riesgos econm icos directos bn cuanto a estos riesgos se analizarn aquellas posibilidades de desembolsos directas inadecuados, gastos varios que no deberan producirse, e incluso aquellos gastos derivados de acciones ilegales con o sin conscntim icno de la empresa que pudieran transgredir la normativa de la empresa o las leyes vigerle (LORTAD).

Riesgos de la se g uridad lgica Com o nesg as en segundad lgica entenderemos lodos aquellos que posibilites accesos no autorizados a la informacin mecanizada medame tic nicas informticas o d e otros tipos. Incluiremos igualm ente aquellas inherentes a transmisiones pese a que quiz en determinados mbitos de aplicacin podran constituir un rea independenle pero que se anexan con el fin de compactar el sistema d e anlisis

Riesgos de lu se guridad fsica I-Os riesgos en cuanto a seguridad fsica comprendern lotks aquello que acten sobre el deterioro o apropiacin de elementos de informacin d e una forma meramente fsica. Dadas esta reas d e riesgos, el usuario podr valorar cada uaa independientemente egiin sus necesidades. Aun as. se consideran como ms importante, y casi podramos asegurar que imprescindibles, las dos primeras: Riesgo en la continuidad del proceso Riesgo en la eficacia del servicio

por lo que cualquier anlisis debera ser comenzado con las misnas.

www.FreeLibros.me
C A rtm u m auditor !* p>KMAncA es las i -vm i . n st T odas estas reas U n incluidas cn cada mbito de aplicacin de acuerdo con su especificidad segn la divisin que dimos al principio de minicompuudorcs. redes ixales y PCs.

25.3.2. V a lo r a c i n d e r e s u l t a d o s
La autogua se com pone de una serie de cuestionarios d e con:rol. Dichos cuestionarios podrn ser contestados mediante dos sistemas indicados cn los mismos: En el primer sistema se responder con S N O o N/A (NO APLICABLE si la respuesta no lo fuera por cualquier causa). Estos cuestionarios de respuesta directa tendrn un valor numrico de I a 10 anexo a la preg u n u que habr q te poner en el ligar de la respuesu. 1 CONTROLES la instalacin equipos de continuidad en icaso de cortes de energia como puede ser los imlrmas <le alineacin inintmumpuo? S 7 NO 4 N/A

En el caso de que se dispusiera de UPS (Sistema de Alimentacin Interrumpida), te pondra cn la casilla del SI el valor 7. en caso contrario pondramos d valor 4 en la casilla del NO. 1.a diferencia d e valoracin puede estar determ inula porque la exicncia se considera una mejora susuncial. sin embargo, la no existencia podra ser de escasa importancia. En el segundo sistema no existir un nmero gua de ponderacin y ser el propio rnrio quien deber dar una valoracin a la respuesta. G eneralmente en estos casos b i controles comenzarn con la propuesta EVALE... y la valoracin que habr que ir estar anexada a la pregunta con los valores mnimos y mximo: por ejemplo:

CONTROLES !Evale la carga de trabajo ea poca alca de fnxev) (Ponga el resultado en la cabilla no) 1-30.

.SI

NO

N /A

Como habr observado, u m b in se le indicar cn qu casilla deber incluir el resultado de su ponderacin. Dicha ponderacin se podra obtener, y todo el ca<o de

www.FreeLibros.me
574 AUDfTOKlA INFOKMTKA- US W CTOQW SfKACIKO___________________________ t h w la pregunta del ejemplo, medame el nm ero de horas extras del personal, hora de trabajo dc los equipos, o simplemente mediarne observacin personal en los casos qa fuera posible. Una v e / finalizado el cuestionario se sumarn los valores dc la cavilla S y se restarn los del NO . lo que iwvs dar un valor que podremos comparar con lo estndares del cuestionario (que el usuario habr valorado en un principio). Por ltim o existirn algunas cuestiones que no tengan valoracin, sino que ira acompaadas dc un asterisco. Estos controles son considerados de alto riesgo, y por tanto indispensables. La idea es que un sistema sin estos controles podra abocar al desastre informtico y en algunos casos al desastre de la empresa. En ocasiones no st da la debida importancia a los mismos y solamente se ponderan en lo que valen al ocurrir el problema. Por tanto insistimos: estos controles debern tenerse taoy en cuenta a la hora dc realizar la evaluacin y. e n caso dc inexistencia, dar primada a ni implantacin.

25.4. MINICOM PUTADORES E INFORM TICA DISTRIBUIDA. RIESGO EN LA EFICACIA D EL SERVICIO INFORM TICO
CONTROLES Existen planes a largo plazo para el departamento de informtica. Valore la conexin de esos planes con los planes generales de la empresa. Cubren los piares del D.l. los objetivo a largo plazo dc la empresa, valrelo. Existen planes a largo pia/o pira el departamento de informtica. Valore la conexin de esos planes con los planes generales de la Cubren los planes del D.l. k objetivos a cono plazo de la empresa, valrelo. Existe un comat dc planificacin o direccin del departamento de informtica. Ducho comit est compuesto por directivos de departamentos de Existe en dKho comit informticos exhaustivos. algn miembro con conocimientos Si NO N/A

El comit realiza algn tipo de estudio para analizar la coherencia de su departamento de informacin con los avances tecnolgicos.

www.FreeLibros.me
CArtU XO AllDTORlA DJORUTICA BN I.AS PYMtS STS CONTROLES Valore U celeridad en U implantacin de las recomendaciones del comit informtico Qa importancia le asigna La direccin de la empresa al comit/ direccin de informtica Valore la coagrucrxia entre lo* plan a largo y corto plazo del 0 1. Sea adecuados los recxirsos asignado* al D.I. para cumplir con los cbptivos a corto plazo Exisie una adecuada tia de comunicacin y control de cumplimiento dc objetivo a corto y largo plazo por parte de la direoesft. Valore L > precisin en el cumplimiento de los planes a corto plazo del D.L Exilien poltica* para la planificacin. control y evaluacin del D I. Evatte la integracin de las directivas de poltica de alia direccin en HD.I. Existen estndares que regulen la explotacin de recursos del D.l. F.iaJe la calidad y vigencia de lo> lindares de expiotaon de lecursot del DJ. Liale el cumpl menlo de los enlodares de explotacin de recursos del D I Eusten procedimientos sobre las responsabilidades, peticiones de servicio y relaciones entre los diferentes departamentos y el D.L Dichos procedimientos estn adecuadamente distribuidos en los Aferentes departamentos. Evale 1 cumplimiento de dichos procedimientos por pirte de los El D.L esti separado orgnicamente en la estructura orgnica de la Es independiente la ubicacin del D.l. de los otros departamentos de la Euin claramente definidas las ucidades organizativas en r i D.l. Estn separadas las unidades de desarrollo de sistemas y explotacin. Esli separadas las unidades de explotacin y control de datos. Esli separadas las unidades de administracin de bates de datos y desarrollo de sistemas. EsaKe la independencia de las funcione* del penonal entre las diferente* unidade*. S NO N/A

www.FreeLibros.me
5Tt AUDITORIA PsKHtMnCA: W fcMHXXt PKCTICO COVTROI.F.S Existe una descripcin po escrito (manual de operaciones y procedumcMos) de cada puesto de trabajo cu lat difcrenics unidades de D I? La desenpesn del poesto de trabajo incluye definiciones de coaoaintcMo y pericia tcnicos'' Los manuales de operaciones y procedimiento pasan una revisin mnima anual? lixivie un mtodo de evaluacin para cubrir las vacanie del D.l? Evale la adecuacin del mtodo y polticas de leccin para cubrir las antedichas vacantes. Evale la conformidad del personal del D.l. con lat polticas y el ustema de veleccin .Existe na poltica definida por la direccin del D.l. para promocin del personal? Evale la conformidad del personal del D I. con las polticas y el sistema de promocin. Existe un programa de orieMacia formacin y reciclaje de personal de plantilla Tiene una revisin al menos anual dicho programa de reciclaje? Supone el programa de reciclaje al menos el 10 del presupuesto del D.l? Valore la formacin mioma recibida en el programa de reciclaje. Culi es la valoracin que da el personal al programi de formacin y Contraste y evale la adecuacin entre las fichas de formacin del personal y la exigencias de conocimientos o pericia necesaria de los puesto. Existe algn mtodo de control y evaluacin de consecucin de objetivos de cada puesto de trabajo? Esti informado y comprende el personal el sistema de evaluacin obre consecucin de objetivo? Existe una lista de aplicaciones de tratamiento de datos cuja Se especifica en dicha hua tiempos de preparacin y tratameeato? Se contrasta dicha lista con el nivel de acuerdo de servicio del D.l? Existe algn sistema de control pora la carga de trabajo del D.I? Si NO N/A

www.FreeLibros.me
CAPfTVI.O:? Al lXTOKl\ IXMMtMATX'A f-11.A XlYMt.S SY CONTROLES .lia establecido el 0.1. prioridades de tratamiento de los diferentes trabajos^ Evale la ew fa de traban del D.l. en poca bija de proceso (ponga el resultado en ao). Evale la caifa de trabajo del D.l. en poca alta de proceso (ponga el resultado en sf). Evale la capacidad de los equipos disponibles pura satisfacer la demanda en la poca alia de proceso (resultado en s) Evale el exceso de capacidad de los equipos disponibles pira satisfacer la demanda en la poca baja de proceso tresultado en no) Oi valoracin le dan los trabajadores del irca de explotacin a la disponibilidad de equipos en poca alta de trabajo (resultado positivo en s y resultado negativo en no)? Evale la capacidad de los recursos humanos para salsfacer la demanda en la poca alta de proceso (resultado en s) Evale el exceso de cjpKtdad de los recursos humanos disponibles para satisfacer la demiada ea la poca baja de proceso (resultado en o). Qu valoracin le dan los trabajadores del irea de explotacin a la disponibilidad de recursos humanos en pocas altas de trabajo (resultado positivo en s y resultado negativo en ao)? Existe un calendario de nuntemrmenio preventivo de material o topea!. Se verifica que dicho calendario ao inclusa revisioo en perodos de carga alta de trabajo? cEs el calendario de explotacin lo suficientemente flexible como pira xomodar tiempos de no funcionamiento a fia de reati/ar revisiones? ^Realiza la direccin del D.l. un control y segu m eato del flujo de trabajo y de las variaciones del calendario de explotacin? Se registran las variaciones del calendario de explotacin? Existe nuterial de recambio para el tratamiento de programas que exijan alto nisel de disponibilidad Existe un procedimiento pira evaluar tas causas de los problemas de Existe uo registro de problemas de tratamiento de dalos? Se toman x c iones directas pira evitar la recurrencia de los problemas de tratamiento de datos? sf NO N/A

www.FreeLibros.me
s n AMXTOUlA INFOttMATICA: UNEBOQUEfUACTlCO CONTROI.ES ..Huiste una preasignacin para 1* sotonn de problemas especficos de tratamiento Je ducn? Se ha determinado una prioridad en la resolucin de problemas de tratamiento de datos? Existe un inventario de contenido de la biblioteca de soportes? Existe un procedimiento pora inventariar los contenidos de la biblioteca de soporte? Existe algn responsable de mantenimiento de la biblioteca de soportes? Evale la exactitud del inventario de la biblioteca de soporte Identifican las etiquetas de los soportes: nombre de archivo, fecha de creacin, programa que lo cre y periodo de retencin de soporte? Existe algn sistema de control de entrada y salida de la biblioteca de soporte? Existe un procedimiento de seleccin de logical acorde con los planes a corto y largo pta/o de la empresa? Se lleva a cabo dicho procedimiento a la hora de analuar necesidades Evale la satisfaccin de los usuarios de software respecto a la ltima adquisicin. Existe algn procedimiento de pnieba antes de efectuar cambios de lgica! de sistemas? Existe alguna persona especializada en rniplemcMadn de logkal de Existe algn registro sobre los cambios realizados sobre el logical del sistema? Existe algn procedimiento de reviun de cambio del logic-al de sistemas antes de pasarlos a explotacin? Existe algn registro de problemas de logical de sistemas? Se identifican y registran exhaustivamente la gravedad de los problemas de logical de sistema, la cansa y tu resolucin? Se corresponde la implantacin del sistema de inormitica distribuida o red coa las especificaciones de los pitaes a corto y largo pla/o de la Se han desarrollado planes de implantacin conversin y pruebas de aceptacin para la red de informitica distribuida de la empresa? Si NO .VA

www.FreeLibros.me
CAPITULO :* AUPtTORU INFORMATXTA ES LAS PVMtS *T CONTROLES ,H i do desarrollado dicho plan conjuntamente por el departamento de informtica y la direccin de los departamentos unim os afectados .Contempla dicho plan la aceptacin de estndares de implantacin, conversin y pruebas en redes informticas distribuidas'1 ,H i sido desarrollado el lgica! del mturna de acuerdo con la metodologa del ciclo de desarrollo de stsienus de la organizacin o medanle una metodologa cimentada y reconocida? .I k Il w el plan de implantacin o conversin de la red de informtica Atribuida a kxlos los usuarios productores de datos imprescindibles * Se ha contemplado en el plan cualquier riesgo especial asociado a las rede* distribuidas * b u tu n procedimientos de control generales de la red de informtica atribuida? t Se realizarn dichos procedimientos de control con una periodicidad Exitu un control de actividades excepcionales que te pudieran realizar en la red de I D.? Ha establecido el departamento de informtica, desde la implantacin de la red. ua mecanismo para asegurar la compatibilidad de conjunto de datos entre aplicaciones >' crecer la misma? Se han distribuido a lodos los departamentos afectados declaraciones escritas de procedimientos operativos de la red de 1 D.? Estn adecuadamente canalizadas las peticiones de cambios de pocedimientos operativos de la red de I D.? Existe algn control sobre cambos autorizados o no en los procedmiemos operatisos de la red? Son analizados los cambios de los procedmiemos operativos pora ver u responden a necesidades reales de los usuarios? Ha establecido el departamento de informtica controles sobre utilizacin de los contenidos de las base* de dalos de la red? Aseguran dichos controles la estandarizacin de Lis definiciones de datos compartidos? Se mantienen diccionarios de datos comunes a los diferentes usuarios de las b axs de datos? Est asegurado el control del camb*o de definicin de datos comunes de las bases? S NO VA

www.FreeLibros.me
<M I At DIUmlA ISK*MAT>CA t ' \ t.NHKJt KHttlICO CONTROI.KS F.xitte un tulema eficaz para evitar que lo utuario camb la definicin dc dalo* cwmune* dc 1 ba*e*? , l-.vistc una conwnic*:i6n regular obre cambio* efectuado* ea la. bate dc dato* comune Rutte algtln titicma de coatrol que ategure la compatibilidad de lo. contenido de la bate* de dato de la red? Iwiten controle etiahlecido por el departamento de informlKi Mibrc utilizacin de contenido dc la ta** de dato* de la red? ,E u tle algn procedimiento de control vibre k cambio de contenid* y procedimiento de dicho cambio ea la* bate* de dito de la red? t Kxivie algila control que augure que lo cambio introducido en lo. contenido de la bate d dito mantienen la compatibilidad de dicha, bate? Exittc algn procedimiento ettablm do que asegure en todo* k>. punto* de la red que lot cambio crtico en lo comer ido de la bte te lleven a cabo con puntualidad' Se ha ettablecido una poltica para identificacin y clasificacin dr dato* temible* dc la red? Exilien mccamtmo* de tcguridad que impidan introduccionc* modaficacione* emJoea de dalo temibles? Kxi*le algn mecanismo de control que ategure una adecuada cargi de la red etpeculmente en lot periodo de trabajo critico? Se kan establecido y comunicado a lo inuario procedimiento, efectivo pira coordinar la operacin de lo programa* de aplicacin > la utilizacin de lo* contenido* de la* B.D? Potccn todo lot utuario de la red etpecificacione .obrr disponibilidades. horario, tiempo dc rctpuctta. almacenamiento respaldo y control operativo . Se realizan rcumonc* peridica* entre k n usuario* pora coordinacalendario* de explotacin. epecificacione* de tratamiento ; procedimiento operativo .Establecen toda la itutalaciooc dc departamento utuaho* dc la red pre luone* obre nece*Hlade* de material fungible? .Existe siempre un remanente de material tangible que ategure la continuacin de k>* proccto. en lo departamento utuario? Exitten procedimiento ctaMecido por el departamento d< informtica para la getiin y control del logical dc cotMMcacionct? Si NO VA

www.FreeLibros.me
AU>(IOUIM<>MAIK A NI-ASI">StKS 5! CONTROLES l-.stn inetoden en dicho procedimiento estndares sobre la utilizacin de dicho logical? Se han remitido descripciones e v n in obre procedimientos a lodos h departamentos usuarios los citados Si NO VA

Se han establecido prioridades de transmisin asignadas a los mensajes enviados por la red? Evale la satisfaccin de los usuarios sobre las transmisiones a irasxS dla red. sobre todo cn perodos crtico. Existen piones de formacin para usuarios de la red? Existen responsables que evalen el correcto oso de la red por parte de los usuarios? Estn perfectamente identificados todos los elemenlc fsicos de la red (unidades de control, mdems cables etc. medanle etiquetas esternas adecuadas? Est asegurando en un tiempo prudencial la reparacin o cambio de elementos fsicos de la red? Se realiza por porte de personal especializado una revisin peridica de todos los elementos de la red? Existe algn sistema para controlar y medir el funcionamiento del sistema de informtica distribuida de la red? Existe una estructura que asegure que la explotacin de mxima prioridad te Ilesa a cabo y se transmite cn primer lugar? Se han desarrollado o adquirido procedimientos automticos para resolser o esitar cierres del sistema (abra/os modales)? Existe una mima que asegure que ningn proceso o dalo de baja prioridad va a estar sin procesar indefinidamente en la red? Existen mecanismos que controlen los tiempos de respuesta de la red y la duracin de los fallos de operacin de la misma? Se controlan regularmente todo los procesadores de la red?

25.5. CON CLUSION ES

Dado que cn los restan le-* captulos Jo este libro se aborda lano la auditora de otro entornos (minicomputadores. Redes d e reas local y PCs) c o n o sus ire-i' de riesgo. en el prsenle captulo nos hemos lim itado nicamente a arulizar la auditora de los nunicompuiadorcs con respecto a los riesgos en la cficaria del servicio

www.FreeLibros.me
S AllDUDRIA INFORMATICA tT itN lo m u HtAOKX) informtico dentro de una PYME. viendo aplicable e \ta metodologa a cualquiera de lo \ otro entorno informtico. Hn cualquier cavo, siempre que te lleve a cabo una auditoria d e empresa habrln de tcncrve en cuenta, com o mnimo, los siguientes controles generales: Segregacin de funciones, separacin de los entornos de desarrollo y produccin, control de programa fuente y objetivos, procedimiento, estndares o nomenclatura para toda clase de objetivo en el sistema de Informacin, plan d e seguridad lgica y fsica (copia de BACKUP o respaldo d e dalos y programas, plan de contingencia, etc.) y plan informtico coordinado con e l plan estratgico d e Ja comparta. T anto a travs de la guia de a utoe valuacin como a travs de la auditoria de k mencionado controle generales se puede alcanzar el objetivo de gestin y certificacin de los dato logrando conseguir la calidad tota) d e los Sistemas de Informacin, renubilizando as la inversiones en Tecnologa de la Informacin.

25.6. L EC TU R A S RECOM ENDADAS

Control Objetives fo r Information a n d Related Technology. Information System audit and Control Foundation. 1996. Editorial

Gua de seguridad informtica. 1997. Vamos. Editorial SEDISI (Asociacin Espartla de Empresas de Tecnologas d e la Informtica). Emilio del Peso y otros. M anual d e dictmenes y peritajes informticos 1995. Editorial Dfaz. de Santos. M arina Tourirto. Carlos Manuel Fernndez Snchez y otro. Expertos en Auditoria Informtica. 1986. Editorial CREI. Papeles d e Avila:

Seguridad en los Sistemas d e Informacin. 1984. Fisher y traducido por Cario* Manuel Fernndez Snchez. Editorial Daz de Santo. ED P Auditing. 1992. Vamos. Editorial Auerbach Publishers. Stanley & Coopers & Lybrand. Handbook O f ED P Auditing. 1985. Editorial W arm . G orham Rlainont. INC. Ron W eber. E D P Auditing. Conceptual Foundations a n d Practice. 1988. Editorial M cGraw-Hill.

www.FreeLibros.me
c>M>________________________ CAPtTVIX) 5 AtlDITOKA ISFOKMT1CA RNLAS PVMfS U Dr. R eni Fonscca. Auditora Interna. 1989. Editoria! EDI ABACO. Gonzalo A lom o Rivi. Auditora Informtica. 1988. Editorial D in/ de Sanio. J. A cha Iturmendi. Auditoria Informtica en la empresa. 1994. Editorial Paraninfo. Aurora Pre/ Pascual. U r auditoria en e l desarrollo de proyectos informticos. I9SS. Editorial Daz de Sanios. Carlos Manuel Fernndez Snchez A puntes d e la asignatura de Auditoria Informtica. Universidad Pontificia de Salamanca en Madrid. C urso acadmico 90-97. Mi agradecim iento a D. Jesih M onedero Fernndez, alumno d e la asignatura de Auditoria Informtica. Universidad Pontificia de Salamanca en Madrid.

25.7.
1. 2.

C U ES TIO N ES DE REPASO
Por qu tiene tanta repercusin la auditora informtica d e las PYMES? Qu tipo de metodologa de auditoria informtica es ms adecuada para las PYMES? Enumere Icn principales riesgos en la continuidad del proceso. Qu entiende por eficacia del servicio informtico? A qu riesgos econmicos directos se enfrentan las PYM ES debido a la LORTAD? Cmo se puede evaluar la carga de trabajo de un equipo informtico? Cmo nivviii ia la M*ifa.cn k los ummHo? Segregacin de funciones en las PYMES. Elabore una lista de comprobacin para auditar un computador personal.

3. 4. 5.

6. 7. 8. 9.

10. Cm o llevara a cabo la auditora de una hoja de clculo?

www.FreeLibros.me

CA PT U LO 26

P E R IT A R VE RSU S A U D ITA R
Jess R ivera la g u n a

28.1. INTRODUCCIN
N unca segundas panes fueron buenas", afirma un viejo refrn castellano. No es ste el cato, u n embargo, <le la segunda edicin, que no reimpresin, de Auditoria Informtica. Un enfoque prctico. El xito de v e nus de la primera edicin -m otivado en buena medida por el hecho de haber sabido detectar sus Coordinadores una imperiosa necesidad de 'conocimiento", adems de por haber conseguido recopilar una cuidada y enciclopdica seleccin de temas y autores-, avala el obligado lanzamiento de esta nueva obra, con objetivos m is all del perfeccionamiento de la primera versin de 1997. No me corresponde, pete a todo, a m. y mucho menos en este lugar, discutir la portacin cientfico-didctica de esta nueva obra, ya fuete tanto en su vertiente acadmica com o profesional, si bien be estimado oportuno comenzar haciendo esta "uModuccio". habida cuenta de que no exista tal capitulo acerca de los Infam es. Dictmenes y Peritajes. Judiciales y Fjctrajudiciales en la edicin original, ni por supuesto acerca de los profesionales -ooo actividades afines a las d e los auditores-, que los emiten a peticin de terceras partes.

www.FreeLibros.me
'l i M . ItiliWISIMIWMAIK'A IS IM O / .I I t IKI) Aplaudo, pues. evie boen criterio d e los Coordinadores, en pro d e una plena exhaitstividad de su contenido inicial, confiando slo en que su decisin tambin haya sido pertinente al proponerme la redaccin de los apartados que siguen, donde he tratado de condensar pone d e mi "capital intelectual" en esta e a de conocimiento, atesorado inequvocamente en el Ejercicio Libre de la Profesin (ELI1) en el Colegio Oficial de Ingeniero de Telecomunicacin, com o tal Ingeniero de Telecomunicacin, especializado en el mbito judicial y cxtrajudicial d e las Peritaciones en Tecnologas de la Informacin, o de las ingenieras informtica y de telecomunicacin, no carente de posteriores iniciativa form ativa de postgrado y profesionales en cte contexto, en diversos mbitos de actuacin, privada e institucional. adems de asociativa. En el primer captulo de la primera edicin de esta misma obra, su autor -Alonso Hernndez G arca-, comenzaba diciendo: Definid y n o discutiris. Y aun in la pretensin de que lo que se exponga en este captulo sea indiscutible, parece muy conveniente delimitar el campo en que nos desenvolvemos- . Pues bien, sera de necios no aplicarse la receta: por ello, y antes d e aportar conocim ientos especficos al tema objeto de este captulo, dedicar un primer apartado a delimitar el campo", antes incluso que a definir" conceptos.

26.2. C O N SU LTO R ES , A UD ITORES Y PERITOS

Si el marco de comunicacin con ustedes, amigos lectores, no fuese el formal de un texto escrito, me permitira la licencia de relatarles en detalle -com o acostumbro a hacer en mis conferencias y curso-, aquel chiste de la cigarra que se dirige al Consultor para preguntarte qu debera hacer para vivir com o una hormiga, siempre feliz, trabajadora y abolutamente productiva". Seguramente conocern el detentare: el Consultor factur a la cigarra sus honorarios slo por mostrarte un Plan Estratgico, dejndole a ella el problema de cmo desarrollar el oportuno Plan Tctico de ejecucin". Ciertamente, he podido c o n su lar en repetidas ocastones cm o los mismos profesionales confunden y superponen los cam pos de actividad de estas tres especialidades: consultorio, auditoria y peritacin. Sin embargo, sus funcionalidades estn bien delimitadas, y desde luego sus competencias, actuaciones y producto'', por los que facturan y se les abonan los oportunos honorarios. De hecho, existen rgidas fronteras establecidas incluso por mandatos jurdicos-, que impiden sim ultanear a un mismo profesional - o Com parta- m bitos de actuacin superpocstos con un mismo cliente: es decir, prestarle un servicio como consultor, y antes/despus como auditor. Consecuencia d e ello han sido las escisiones a nivel mundial de las grandes firmas de Consultores y Auditores, para dar cobertura legal a sus respectivas reas de negocio, especialmente con determinados dientes

estratgicos.

www.FreeLibros.me
< APIIVUl.'ft Pt.HITA VT.W3 Al'PtTAR W Hernndez. Garca. en d capitulo Mes ludido ("1.a informtica com o herramienta del auditor financiero"), afirma, hablando d e la auditora, que aunque el "concepto permanece inamovible, lo que si puede variar e s % u objeto y finalidad": le ah que u rjan confusiones, tanto entre los diferente aspectos. Areas o enfoques en > < sism o s. como por las debidas a la vertiginosa evolucin que experimenta la especialidad". Aunque no volveremos sobre lo ya tratado en CM C libro, s utilizaremos por coherencia vu esquema de discusin racional, para completar la visin de consultores y auditores, con la de los peritos. Asf. seguiremos manteniendo la descomposicin de concepto tPRRITACIN, en cmc caso), en unos determinados elementos fundamentales: a saber: contenido, condicin. caracterMica temporal (introducido aqu por primera vez), justificacin, objeto y finalidad. ELEMENTOS COWEPTVALES CONTENIDO CONDICIN (Carcter del -cont*,-) CARACTERSTICA iMixio en el tiecpo) JUSTIFICACIN (BwyacMtteMiel ocn*>") OBJETO (Uracoto *ot*e el qiae e afilala jiuciticaci&a") FINALIDAD l-Producto* final MBITO DE ACTVACIS PROFESIONAL CONSCLTORiA AUDITORIA PERITACIN Opoafa objetiia Opinin lat^etiva

f i
BMdienla

Coccmuda

Leal caber y entender

Apeion

A prnimon Procedimiento etpecllWiH (tendente* a p(opMCK<ur a x;indaJ n/niiNc de Infcem acin deterrnnada. obtenida en a cieno

A po*terion tunen real y revio de k hecho ccpcciticjda en b prueba nJic<(ada Elementen opeoifio pccfueconado juato a , b proeba pinpccu

AnibndedMm Actividad o cueiota vxrvoii a conuderaon y/o

mromnlul de

Adecute * b realulad. o Juicio de *aJc*. aumpe fubilid* de b

Tabla 26.1. Contextualizacin de la "Peritacin ". verxus los m bitos profesionales afines de la "Consultorio" y la "Auditoria" La Tabla 26.1 mucMra el compendio d e los tres mbitos profesionales, extendiendo y perfeccionando lo ya visto pora la consultora y la auditora. N ti damente se pone de manifiesto la separacin conceptual del m bito de la peritacin" con respecto al de la consultora y auditora, ya de por si diferenciadas', aunque ' Hernn). C.jrcij. Alomo (AitAkv 1907. Cap I. fktg. I0> 'EpeoalmrMe el elescnlo dittinfue claranentr b auditoria de b conuihoeb. DepenJiendo de que u> contenido xa o>mi obre no rewkadcn II dar netomroeMo o cornejo e relacin con un ctivid! i drwrolUr. < tratar! de aodtfcefe o conultorfa"

m tr m J o

t ttifo m fu a

www.FreeLibros.me
M O AUDITORIALVKHtMATK'A US ENKXJtt PRACTICO exilian opiniones afirmando que "la* definiciones de U auditora informtica liendre a englobar el concepto de cnsul torta-'. Entendemos que es importante hacer notar cmo la aocin de pensar puede solicitarse en cualquier momento del proceso global, tanto d e emisin de un "consejo o asesora" (CONSULTOR / * ). com o de evacuacin de una determinada "opinin objetiva" (.AUDITORA), justamente para soportar tcnicamente una determinad) afirmacin ("opinin subjetiva" de un experto en la materia, o p erito), acreditmfch como tal a partir del "juicio de valor" en la cuestin planteada, em itido en todo caso a posteriori. una vez establecida la "proposicin de prueba" y aportados sus correspondientes "elementos especficos" a peritar . Separados, por u n to , lus tres mbitos de actuacin profesional convergen en w aplicacin, quedando diferenciados en todo momento, en ocasiones coa caricia imperativo.

26.3. DEFINICIN CONCEPTUAL DE PERITO

\j l peritacin o peritaje es. segn el Diccionario d e la R eal Academia Espaola de la Lengua, el trabajo o estudio* ouc hace un perito, para quien da tres acepciones diferente* o definiciones aclaratorias que encierran en si mismas matices distinto: a) "sabio, experimentado, hibil. prctico en una ciencia o arte:

* Koi auat defuncin -Ua u f k - . de ~utbjo. tludo o infierne que tuce el perito tebn m dcrnrmli nvMcna" % t KiKMn en muchoi ro diccionanot jenefile - Gran DiccionarioJe ta Im^ua E-tpaoia - Ihtcionario Uanaal * Mamado dt ls*fm i Eipiola - fhcckmano General VOX. de h //irtii Espa/Ma e lloarado - Diccionario Encidop/dico ESPASA - Diccionario Enciclopdico HA7A < 1JASfS - IX-(MU(M ARISTOS La mple acepcin * m encHM U > comenu afuiudo O de U fpta ufuienle acerca del omepo de Perno e comn * Kutimn tvenie*. inckno bien diviiix ce u onenuocoev - Diccionario General VOX. de la lengma Espaola e Ilustrado - Diccionario Enciclopdico EDAE - Oran Enciclopedia lAKOt'SSt - Enciclopedia dri Sifio XX tMulopedia m*bmedia PIANO AGOSTIW Enciclopedia unneruil M tw n n i CAJA MAtNtlD - Okcwmano Enciclopdico ALEA. de SALVAT - Enciclopedia tNCAKTA. de SiK KOSOf T - FaKkfmiu a i n u l menctiva. deCtXXJEK. ele.

www.FreeLibros.me

CAPTULO 5> mtfTAK WJBH AUDITAR

V > \

b) persona que. poseyendo especiales conocimientos terico o prctico, informa, bajo juram ento, al juzgador, sobre puntos litigiosos en cuanto se relacionan con su especial saber o experiencia"; y, c) persona que en alguna materia tiene ttulo de tal. conferido por el lisiado".

A los efectos que nos ocupan en esta obra apartaremos la acepcin c). por su componente acadmica, vinculada a una titulacin -universitaria, en general-, sin que ello quiera decir que no sea condicin sine </ua non xu posesin en determinadas circunstancias. Tam bin apartaremos de la discusin que pretendemos realizar iiicialmcnte. la acepcin b). por ser lim itativa del concepto genrico de perito, no forzosamente vinculado a actuaciones judiciales en su quehacer profesional, pudiendo ser "extrajudicialei " u orientadas a la "mediacin y e l arbitraje. El Diccionario Enciclopdico SA LV A T aporta una cuarta acepcin de conocida incidencia en nuestra sociedad, aunque bien pudiera quedar englobada en la primera de las acepciones, nica con la que de hecho nos quedaremos para su dbcusin en este apartado. As. segn este diccionario d e SALVAT. un P erito e s tn prctico o conocedor de la naturaleza de un bien, de su m ercado y de sus caractersticas y aplicaciones, que tiene por objeto atribuir un valor (tasacin pericial) t ese bien: no obstante, reconoce que "en ocasiones el peritaje no comporta tasacin, y se lim ita a reunir un dictam en acerca de sus aplicaciones y caractersticas tcnicas. Queda pues claro, a partir de lo expuesto, el enlom o defmitorio d e un Perito, delimitado por las siguientes caractersticas para estas "personas": a) con conocim ientos4 en el m bito d e la opinin reclamada (hava el lm ite de calificarle com o sabio*''); b) experimentados, adquiridas; y, luego alguien que sopona su informe en vivencias

c) hbiles o prcticos, en una ciencia o arte, capaces de ejecutar y valorar resultados obtenidos a partir de la prueba planteada en un contexto tanto cientfico com o artstico, segn los casos. De form a sucinta, podemos encontrar definiciones de perito autnticamente alegradoras de estas caractersticas precedentes, com o la aportada* por la Gran ' Srgn el IXttumano de Hara Mobmtr. Vonociimcmcx (tpecitlet n uu rrukn ' Segn el fhemnano General HuuraJv de VOX -sabio mpaimentafe" *t e mtim dxcKoafU. ule como: -tjKKtopedtodet Sitio XX - themnario det FjpaM n u l de ACUIIAK - IMetitmarioeiuitlofMuoSA/aiUANA

www.FreeLibros.me
m
A tmrotiA intohm Atica.- u n b io q u e p r c tic o Enciclopedia LAROUSSE: "Experto, entendido en una ciencia o arte", o en algn* rama del saber" (glofcalizacin del Diccionario Enciclopdico GR!JALBO >. o "... es una ciencia, arle u oficio (extensin de la Enciclopedia Multimedia PLANETA AG OSTIN! y dc b Enciclopedia universal interactiva CAJA MADRID).

26.3.1. E q u iv alen c ia c o n la d e n o m in a c i n d e E xperto"

De acuerdo con lo expuesto, podra inferirse que el trmino Experto" e* absolutamente equivalente al de Perito", aunque sea este ltimo el habitual mente utilizado. Un recorrido por los diccionarios de sinnimos y antnim os refuerza esto ltima sinnimos de "Perito", son: expeno, diestro, hbil, experimentado, conocedor, competente, especialista, tcnico, prctico... antnimos dc Perito", son: inexperto, desconocedor, incapaz...

Lo mismo queda confirmado con un recorrido por d ise o s diccionarios de espaol-ingls: "Perito", se traduce* por E x p e r f. en general. Segn los casos, puede aAadine un calificativo para precisar su campo de actividad*: por ejemplo: Computer experi ", o " expert in programming languages ". Pero, en todos los casos, especificando que se trata de "alguien con profundos conocimientos sobre algo" lexpert-person * h o knows a lot about uim eihing). o desde luego con "conocimientos especiales, habilidades coctcretas o formacin prctica en una determinada parcela del saber" (person H'ith special knowledge. skill o r training in a particular fie td )w.

Un trm ino alternativo acuado para los "expertos, aunque menos utilizado con carcter genrico, e s el de los Peritos forenses, muchas veces asociado al mbito judicial y en reas de conocimiento muy concretos como la medicina (caso dc los mdicos forenses"). Dc hecho, existen categoras y reas de peritaje forense privado que se utilizan habitualmente, tales como: "peritos forenses dc grado superior" (desde mdicos y psiclogos hasta ingenieros c informticos, posando por licenciados en arte o bilogos):

Ottctonxno Ltpaia df SvWmti > Aatmmm. Ihtrmnarto Ih m u l d t SiaiMmpi y AnhUmm. COtJJNS. Dk (Hrt, A a M u n f f hf-ymaUem Tntmalvfi. ttC *DKOnnvy of InfomuCKa. OKUoniry ilatcvnutu Tecknofctfy. ele *Oxford Advanced Im w f'i

www.FreeLibros.me
"peritos forenses <lc grado m edio" (desde ingenieros tcnicos y aparejadores, a censores jurados de cuentas o topgrafos); y. - "pericos forenses de grado tcnico" (desde peritos calgrafo, gemlogos, filatlicos y numismticos, u agentes de la propiedad inmobiliaria, pesadores y medidores...).

26.3.2.

A c erc a d e la a d q u is ic i n d e "expertlse

Hemos visto cmo en una primera vertiente conceptual, o dcfmitoria. podemos encontrar respuesta al concepto d e "Perito" en los mismos diccionarios. Tambin hemos visto cmo el trm ino "perito" -experto en determinada materia, radicando su vale* en los "conocimientos / experiencia" que "posee / ha adquirido"- no tiene una traduccin precisa en otras lenguas, utilizndose "e x p e r f -generalm ente asociado a su rama especfica de conocimiento- , por ejemplo en las lenguas anglosajonas. La cuestin remanente seria entonces dnde ha adquirido tu experiencia", porque l a experiencia es buena, cuando n o se compra demasiado cara" (Experience it good. if or bought too dear)':. Dicho de otro modo, queremos entender la experiencia en el sentido de acumulacin de conocim ientos por estudio y/o vivencias d e "hechos", no necesariamente "fracasos", en la acepcin del poeta y moralista francs Paul AUGUEZ1 "la experiencia es la suma de nuestros desengaos. Nuestra doctrina pues, ira ms en consonancia con la de Francisco BANCKS CANDAMO14: "Docta es. pero peligrosa, escuela la de los yerros, si en ellos ha de ensearse. Porque si hay eleccin en ellos que puede costar la vida. para qu es la conciencia? I.ucgo. feliz quien estudia a costa de los errores ajenos!" l-o mismo, con palabras sim ilares, nos han dicho muchas personas: desde Tito LJVIO1 ' (E \m tu t itultorum m agister est), hasta Benjamn FRANKLIN1 * (Experience keept a dear SchooJ. y e t fo o ts *111 te a m in no other). "XIII Encuendo tohre y Derecho. MtJnJ. myo I99 *>. IVniujes en Tecnologas Je b IrrfccmKuta y Comtnicaciones" (FVoencu Je Jcvis Rivera Laguna): Ltfeo Je Acus ' TK-flus FULLER (I6H-I7J4K (iKmoiotfa 1 V eipnene est le uxal Je no Jceptons" (SM tm t ct rocoto) H <1662-1W l: cnfAv. Je oro. " / rtptrirxc ui o rl maturo J t lu mttroi ~ |/fiwoiii* H ~F.i im tunta cata la J t Ui txptrttann; im tmbargo, lotk/toi noupttnJtrn nt uitiuu I ' </W Km H o /J t Abmwth)

titulan

www.FreeLibros.me
yx AUOTTOItlA INFORMTICA CN t>TOQI.'F. PRACTICO

26.4. PERITO" V E R S U S ESPECIA LISTA " 26.4.1. Quin puede ser "Perito I T

De modo genrico -conceptual o defniiorio-, acabamos de comentar en el paitado precedente qu e s un perito". En una segunda veniente, estrictamente Jurdica, podemos leer en el Diccionario Jurdico de Julia Infante1 , que: "perito es b persona que informa en un procedim iento, bajo juram ento (sobre cuestiones litigiosas relacionadas coa su especialidad o experiencia)"; no obstante, se aflade que esa persona posee un titulo y es especialista en algo determinado". Si admitim os las precisiones antenotes, nuestra respuesta a la pregunta de qu es un perito y sobre todo a la de quin puede ser. un Perito I T -e n Tecnologas de la Informacin-, se concreta su stanc taimen te: a) debern poseer una titulacin, en informtica o de tdccofmintcactfa. entendemos que oficial y de carcter universitario: ingeniero tcnico" cuando menos, o ingeniero19, i bien podra admitirse la validez en determinadas peritaciones de otros titulados universitarios en ramas afnes; y. b) debern, adems, ser especialistas en el objeto d e la pericia, en tanto que la titulacin universitaria en si misma n o es garanta a priori de la competencia tcnica necesaria pora emitir un dictamen con reconocida autoridad, en un mbito particular de conocim iento dentro del vasto y dinmico contexto de las tecnologas de la informacin. Com o en muchos otros mbitos profesionales, la praxis ex diferente. Cuntas veces hemos constatado formando porte de "tem as enviadas a Juzgados, para insaculacin de sus miembros, que se desconoca el objeto de la pericia hasta ese momento, siendo el comn denominador de los peritos propuestos exclusivamente la titulacin universitaria que poseamos, pero no. por tanto, la adecuacin de nuestra especializacin y en definitiva nuestra capacitacin real pora emitir el dictamen en cuestin. Los Colegios Profesionales no cuentan habitualmcnte con recursos adminis trativos para efectuar una mnima prc-se leccin de propuestas de candidatos a perito judicial en un determinado procedim iento, ni puede que quizs se lo permitiese el propso colectivo de colegiados: potenciales peritos. No entraremos en este debate, ajeno a nuestra competencia, pero dejarem os constancia d e l.

'' fle*o NavutOu Emilio del: ,Kwwi rfe DicMnmn > Ptrlu)r> infomMcox. Ediiocul DIAZ Mi SANTOS Majnd. 199) I y u.) " Titulacin unlifririaria oficial, de primer ckto. '* Titulacin uMitnuana cfictaL de fiado ticte-

www.FreeLibros.me
CAjfn. io y >m ttA R " a u w a u x ta b w Sin duda. y para nuestra tranquilidad, el sistema dispone de sus propias salvaguardas: la deontologa del propio perito insaculado, o sim plemente propuesto. para declararse a s mismo como "no competente" en dicho procedim iento: y. la declaracin final que lodo perito har en el momento de firmar su dictamen: "segn su leal saber y entender, que le lleva a someter su opinin a otra m is cualificada o fundamentada tcnicamente"

En una tercera vertiente estrictamente profesional, coincidimos en fin con quienes defienden que un "P e rito IT p ro fesio n al" es mucho m is que un mero tcnico competente, por supuesto titulado universitario en alguna rama d e las Tecnologas de la Informacin y con experiencia (expertis*") en la materia objeto d e la pericia de que se trate en cada momento. Concretamente, la A IP T * diferencia entre "perito" y especialista", segn se hace constar en el correspondiente documento de 'Solicitud de ingreso" en la misma11: e l reconocimiento social y e l prestigio de las a ducciones profesionales de los Ingenieros de Telecomunicacin com o Peritos, hacen deseable a juicio de la Agrupacin que se satisfaga una doble condicin: a ) Experiencia y form acin especifica como Perito b) Dedicacin preferenciaI a l Ejercicio U bre de la Profesin Con inusual rudeza y absoluta claridad, la Com isin G estora de la AIPT puso de manifiesto que ~no basta con se r especialista para poder re a livir buenos peritajes: o ya se ha adquirido una form acin especifica como Perito, ejerciendo esta actn'idad desde hace aos, o se deber adquirir". Asimismo, "recuerda a los interesados en pertenecer a la Agrupacin de Ingenieros-Perito qu e e s necesario tener en cuenta las obligaciones de carcter fisca l y laboral que conlleva la realizacin de trabajos en ejercicio libre E n sntesis, la argumentacin de la A IPT es que debe profesionalizarse la actuacin como Perito con una "dedicacin preferencia!" a dicha actividad, y que debe acreditarse su competencia como ta l perito r o n cxpciicuvU aucdiUnU I icspcwiu. que no garantiza en s misma la titulacin universitaria oficial propiamente dicha (Ingeniero de Telecomunicacin, en este caso). E n otras palabras, un "Perito IT profeMonal" no e s un temporero d e las actuaciones Judiciales. Con todo respeto a su competencia tcnica, estos otros profesionales serian los " especialistas~ -q u e no peritos- , como distingue * Agrupacin de Ugttxtrm-PerUot de Teteetmuucciet. del Colegio Oficitd de ftlffalena dt Telecomunicacin. COMISIN GESTORA DE LA AIPT 'AttntJnd pmfeUonri libre ejerciente, amo tntememPerito deICOU" iSokcUudde h|KU). COfT: MadnJ. 17de nuyo de IW I

www.FreeLibros.me
inequvocamente la AIPT: "se enrienden como lates, a aquellos compaeros que toa expertos en una determinada materia, pero q u e carecen d e plena disponibilidad de tiempo y desplainm itm o en su trabajo principal tn o como ~libre-ejerciente~i o no estn interesados en asum ir e l riesgo de unos costos fijo s anuales ocasionados por el alta en e l IAE -Im puesto d e Actividades Econmicas y e l pago mensual como autnomo de la Seguridad Social En o t a linca fe leccin fe perito profe*Minales~. encontrarnos una slidi iniciativa, sin duda fuertemente elitista por criterios de formacin y dcontdoga. tal cual cs SllSPES/Soctcdad Espartla de Pierito* Judiciales", quien exige a sus asociado.: 1. Titulacin universitaria oficial de segundo ciclo, com o mnimo (el 5 0 de sus actuales miembros son doctores), en Derecho y lo carreras del mbito de las TI* (Ingeniera Informtica e Ingeniera de Telecomunicacin, preferentemente). l-'ormacin tcnica especializada de postgrado en materia fe peritajes, as com o en deontologa. que haya sido reconocida por la Fundacin DINTEL, adem s fe acreditar una adecuada experiencia profesional con Perito.

2.

En concreto, los requisitos exigidos pora ser admitido en SESPES. como tal "Perito IT profesional", son: a) titulacin universitaria oficial, de segundo ciclo, en Derecho o Tecnologas de la Informacin: b) formacin especfica d e postgrado en materia de peritajes; c ) compromiso de actuacin profesional sujeta a cdigos deontlogicos; y. d ) experiencia pericial acreditada. lvta A*ociacin de Peritos profesionales -S E S P E S - justifica de hecho sus criterios fe seleccin afirmando fie en otras condiciones se estaran ofertando aaquellas Instituciones u Organizaciones que le solicitan sus servicios o colaboracin, perito* seudo-profcsionales. o sin "garanta de origen, lo que no significa que i puedan dar un adecuado "servicio" esos tcnicos, en determinadas ocasiones. Y ello, sin entrar en las consideraciones fiscales y laborales que les exige asimism o la AIPT a sus miembros, segn hemos visto en el prrafo anterior. SESPES. o la SottrdoJ EtfaAota Je Ptrtioi JadHiatri, creada tujo lo auipKBM de b I undanta D iv m .. qee agrtfo a finio profetionalc* en Teroologl*' de la Infcemac Pirn* idi el I7dcatwild( 1999 co un A Fundacional de dit i pcuewonale (taco detfcvc en Detecto \to Tecnologa de la Infcem atpJo, Paireo. de la tiuklaon W X TH , y. cinco ex alurmo* de ui Ph.gra n sade AlU l<mac>> en Ingeniera InformJtKat SfcSPKS e xi reconocida oftculmeMc t*i con *u t*ljlwoy- .ra u n ia n el oportuno Repuro de A i , i m con el N* 1654l7(~XrinAHt Jr tu Seirtku Genrrat Toita JriM **M r,oA t Interior' : N*7.6J4. de 29dejulio de 19991

www.FreeLibros.me
CAHn.lO 2 b . tmiTAR VUOS AUDtTAR w

26.4.2.

Formacin de Peritos IT Profesionales"

Un "Perito I T ' no n a : se hacc. con formacin especfica. Efectivamente, hemos fccho que un perito, lo e s en tanto a unos conocimiento (titulacin) y una experiencia especfica en este m bito profesional. Desgraciadamente, en la Universidad n o se incluyen este tipo de materias, ni los colectivos profesionales (hablamos exclusivamente del sector de las Tecnologas de la Informacin) dedican a este asunto todos los recursos form avos que aparentemente son necesarios. Por e l contrario, nos constan algunas iniciativas aisladas en esta direccin, promovidas por la iniciativa privada: IEE. en colaboracin con GRANADA: Aula d e Informtica Legal- 0 '; y. Fundacin DIN TEL: "Programa de Alta Formacin en Ingeniera Informtica" y "Proyecto form ativo sobre Ejercicio Profesional y Autoetnpleo como Perito-04.

Segn SESPES. e n el apartado de "formacin especfica en materia de peritajes", los peritos profesionales debieran tener conocimientos de: a ) Fundamentos jurdicos: El perito profesional tiene que desenvolverse en un entorno judicial, para lo cual necesita conocer ciertos conceptos jurdicos, vocabulario, etc. b ) Tcnicas de redaccin d e dictm enes : El informe pericial e s uno d e los medios de prueba de que puede hacerse uso en un juicio' ' , siendo aconsejable por u n to que sigan un cierto esquema de exposicin. c) Criterios de mnutacin d e honorarios: El perito e s un profesional libre ejerciente que deber facturar sus honorarios, con criterios deontolgicos desde luego, pero tambin con conocimiento acerca de cules son las tarifas de honorarios recomendadas, sus excepciones y salvedades, etc. ?1 *AU de InixmilKj LegjT. ganiiada p<* IEE > GRANADA Binase CoMinMy: tV u w w i > f't n u y i hfom iiutn: Madnl atol. I. '*Fu am bo*o m . I uto < JI ta w fcw de kx Pro)ti fontulivin ha wdo cedido a lar<ad*:iM fot I propiciar cukutt u de loto u derechos intelectuales y de explotacin (Ri.no Laguna. JeUn hmrcto forma/mi Je Infirme> . OKimntti y FtrtueuMti. v Kura/ndKtaUt. MINISTERK) DEEDUCACIN Y CULTURA Registro O n n l de b Piuptolad Intelectual. N* 77 211) Un alum**piraos que Mfcna rl periodo de focnuoSn. tasado ahv-iacjmenl n <nm reales, reciben un T M i (XWul de la Pwlacin DlfTEL*. avalado poe un repMado Cianuro de Proesore. lodos FMeuonalet de mvooodo prestigio. acreditada nprntncu como IVMx en Tecnologas de U UmacMi. * Au loestablece espcclfKaance el articulo 57 apattato 3*. en la Seccia Quinu de la vtfctte Ley de EajaKiaaeolo Civil de IRSI. y. el articulo 299 asaltado 4*. en el Capitulo VI de la Ley de Enpucumienio Ovil 1/2000. que cacar en sigoe ai aio de se publicacin (en el y a ia ti 7 de n lr ptate ic ijitcuiirin estai cuestiones en profundsladl

www.FreeLibros.me
V MCCTBKlA INWKMUCA UNK K IQ tt HtCnCO d) Protocolos de actuacin: La actuacin de un perito puede provenir Je una decisin judicial directa, o a instancia de terceras portes: puede requerir obligatoriamente el V iu d o -previo o d iferido- del correspondiente Colegio Profesional: etc.

Adems. > en todo caso, un perito profesional debe: I tener uno mnimos conocimientos laborales y fiscales para cumplir con k oportunos mandatos: su desconocimiento en m odo alguno le exonera de responsabilidad: adquirir una mnima competencia comercial y de marketing, que le permita acceder al mercado laboral, con casos reales en los que poder ejercer tu actividad profesional; etc.

26.4.3. Conclusin
Las nuevas tecnologas, en particular las IT-Information Teclm ologiei' (Tecnologas de la Informacin), estn de moda y son un cam po de creciente inters en la presente Sociedad de la Informacin, lis en este marco tan dinmico e inestable, donde se impone la necesidad de efectuar peritaciones tcnicas, aun cuando sus propios agentes (los "tcnicos competentes") no las promoviesen. Surge pues, inevi tablemente. la necesidad de disponer d e p eritos profesionales, ms all de los meros tcnicos competentes. En todo caso, debe distinguirse al "perito" (como profesional"), del especialista " (como "experto puntual"), al que no se le exige que posea una formacin especfica en reas tales como: fundamentos jurdicos, tcnicas de redaccin de dictm enes, criterios de minutacin d e honorarios, etc.

26.5 DIFERENCIACIN EN TR E INFORMES, D ICTM ENES Y PERITACIONES

A ntes de comentar la diferenciacin que establece al respecto alguna Corporacin de D erecho pblico (CO IT. Colegio O fu'ial de Ingenieros de Telecomunicacin, en concreto), precisamente por su incidencia e n el clculo d e los honorarios que uaa determinada actuacin profesional provoca, haremos un recorrido por diversos

www.FreeLibros.me
diccionarios generales con la finalidad d e apollar una mayor perspectiva a estos trminos, habiiualmente identificados como equivalentes por los legos en la materia.

26.5.1Acerca del trmino Informe

El Diccionario de la R eal Academia Espaola d e la L engua* define Informe de modo genrico, com o "noticia o instruccin que se d a de un negocio o suceso, o bien acerca de una persona". Bastantes diccionarios*' introducen una cierta generalizacin -n o exenta de confusionismo tcnico, segn aludamos a m es-, al definir Informe como "la accin y efecto de informar o dictaminar Slo unos pocos aportan la precisin esperada: Diccionario ARISTOS: "accin de informar o dictam inar una persona competente". Gran Enciclopedia IARO U SSE: "exposicin oral o escrita del estado de una cuestin Diccionario G eneral de la tsn g u a Espaola VOX: Com unicacin que enumera con orden y detalle unos hechos, actividades o datos, basndose en supuestos ya comprobados (un informe tcnico).

Tambin los hay que matizan definiciones2' en el im b ito del Derecho, asociando el trm ino "Informe" a las "exposiciones orales que hace el fiscal o el letrado ante el tribunal que ha de fallar el proceso". En particular, algunos otros' ' asocian el trmino "informe" en el m b ito procesal, al contexto de pericial tcnica: "diligencia acordada por el juez cuando, para conocer o apreciar algn hecho importante en el juicio, fuese necesaria la intervencin de un especialista con conocimientos cientficos o profesionales".

tnlre ota. M iescomo:

C*w>del Durtonino EMKtoptiAto ESPASA. IAKOVSSC. Dvccionerto EncwIcyutJMn Vtmtna OCtANO. EncteloptAa UniirriaJ /iwwma CAJA MADRID. Dmxontuto jKutape^itv AIJ-'A dr ULVAT.tte 3 Ciw dd IAROUSSE. Du.i m m b i. tfcyw'Jk tVMWnof OCANO. Emcxlapn/M fm xrud KmtnJa ESPASACAITE Encwlt-ptAa ENCARTA dr MICROSOFT, etc > C**o de U EitcktopnKa V M PLANETA AGOSTINt. E n re lo ^V n h e n u t l w w u CAJAMADRID. Entvlofmtw Vnneruri Inuracui COUJUt. tu

www.FreeLibros.me
26.5.2 Acerca del trmino "Dictamen"
FJ Diccionario e la ReaI Academ ia Espaola de la t/ irua* define Dictamen de modo genrico, como "opinin o juicio que se form a o emite sobre una cosa". Bastantes diccionarios matizan: a) que quien expresa la opinin sobre dicha cosa, es "alguiea con autoridad en la materia": Diccionario M ara Moliner D iccionario deI Espaol A ctual, de AGUILAR etc.

b) que se traa de una "opinin escrita y motivada, suscrita por uno o varios facultativos, sobre un asunto determinado de una especialidad": Diccionario Enciclopdico ESPAA Diccionario Enciclopdico SALVAT Gran Diccionario d e la Ijrngua Espaola Enciclopedia IAROUSSF.. de PLANETA etc.

La Enciclopedia G ran L a ro u sst Universal, identifica no obstante dictamen (pericial), con "inform e pericial", invistiendo e n que "debe centrarse en cuestiones puramente tcnica, ya que los jueces no pueden delegar su poder decisorio... El perito e s un mandatario de la justicia, habilitado para proceder a toda* las investigaciones exigidas por e l cumplimiento de su misin, del d ictam en". Y aade inequvocamente al discutir la valoracin de un dictamen pericial que "la apreciacn que haga el juez del dictamen es libre, n o estando obligado a sujetar su decisin a li opinin pericial: si no lo considera adecuado para fundamentar el fallo judicial ccber. no obstante, sealar los motivos que han dado lugar a su decisin". El D iccionario de Derecho P ri\a d o de la Editorial LABOR, atode de su pune que "la ley utiliza la palabra dictamen para designar el informe em tid o por los peritos durante el periodo de prueba en un proceso".

H -noum LitCKiopetto ESPASA Cra* FMKtopnba lAKOUSSf: DKfKwr KxeukjpMKo EDAF Pirctomim fjtctchpMtto H A /A A JANS DtctiemarioAKISTOS

www.FreeLibros.me
c m u ____________________________________ C A H M O BH TAIIM SW JAUDIT OI La consulta de diccionarios'1 d e sinnimos, antnimos e ideolgicos, no apoda mayor luz. al considerar sinnimos trminos com o informe, opinin y juicio, ju nto a otros ms. Lo mismo ocurre con las definiciones recogidas en d ic c io n a r io s d e lengua extranjera: report. opinion y judgem ent. N o obstante, si puede considerar: relevante la diferenciacin que introduce el Diccionario d e Trminos Jurdicos (ligls-EspaAol / Spanish-English) d e Enrique Alczar Var y Brian Huges. de Editorial ARIEL, entre: dictam en consultivo: advisory opinion: dictam en jurdico: legal opinion (opinion o countel): dictam en m oth'ado: reasoned opinion: y. diclam en pericial: cvpert opinion (expert tcvtimony). c o tro sinnimo de

26.5.3. Definiciones del C O IT

Las anteriores sim ilitudes term inolgicas entre informe, dictanen y pericial quedan absolutamente deslindadas en los documentos oficiales del COIT. Colegio Oficial de Ingenieros de Telecomunicacin, y ms eoncrciamcnte en su A N EXO II de f rm u la s pora Informes. Dicimcncs y Peritajes". Concretamente, entiende por: IN F O R M E : El desarrollo, con explicaciones tcnicas, de U s circunstancias o b ie n a d a t en el reconocimiento o examen de la cuestin sometida a informe. D IC T A M EN : 1.a exposicin de la opinin que emite el Ingeniero, sobre la cuestin sometida a dictamen. PE R IT A C I N : El dictam en en que se disciernen cuestk o es de orden tcnico, o se definen circunstancias tambin del mismo orden.

Hasta tal punto es manifiesta la diferenciacin conceptual asocuda a los tres trminos en cuestin, que el CO IT especifica que "los honorarios en tos casos de defamen o peritacin (II), sern el doble de los sealados para los informes ( H T .

1 1 Gran Iheticmario de Smrumcn. de BRlXiUERA. Dk < tonarto n u a al de SM aiam y HMttmot. de VOX. Dim uri U n U fk # Je ta Unfu tspaM a. de JULIO CASABES: t*C 1 5Oxford Adsaoed L n m r 'i. COtLINS dKtionvy. ele

www.FreeLibros.me
60? AUOTTOKAINFORMTICA l'N ENFOQUE mACUCO A s. aun partiendo" de uno honorarios mnimos" de 55.700 p u s., el COIT recomienda se aplique com o frmula general para clculo de honorario de lo* Informes": H B * 0 0 3 x V xC siendo : V Sum a de valores d e materiales, mano de obra, amortizaciones, gastos, generales, ele. con la que ha habido que operar; B = 5.250 pas.: y, C * Coeficiente reductor por tramos;

pero teniendo en cuenta que. para los "Dictmenes" y "Peritaciones", los honorarios (II) se duplicarn: H - 2 x H E sta filosofa de duplicacin del valor ( II ') d e los honorarios resultantes de aplicar la frmula de los "Informes", se mantiene en cualquier otra situacin en que no sea vlida la frm ula general antes indicada. En concreto, e l valor antes indicado de H . te calculara: en el caso de "Informes sobre Proyectos ", mediante: H * - 0 * 5 x B + 0*l x P siendo P, los honorarios del Proyecto:

- en el caso de Inform es sobre Obras ". mediante: i r - 0 'S x B * 0 * l x O siendo O . los honorarios del Proyecto d e las O bras informadas: en el caso de Informes sobre Instalaciones (mquinas, materiales, etc.)", mediante: H * 0 '5 x B O 'l x l siendo I. los honorarios del Proyecto d e las Instalaciones informadas:

1 1Batanas de Hanorenot Orvm nwi para Trabajo iProfnumaln. tfb c M n a kn Inpnimu d e TeteoYBunKKin. en el Ejerciciolbre de laProfesin 1 4En et ato 2000

www.FreeLibros.me
*\ CAPTUH-O > : mtITAR VMSUS AUDITAR 01 en el caso de "Informes sobre Concursos de Proyectos " , medanle: H - 2 x B 0 05 x C siendo C . los honorarios de los Proyectos informadas:

en el caso de Informes sobre causas de a vera (en fbricas, instalaciones, maquinarias, artefactos. conducciones, etc.)", medante: H ' * B + 0 '0 5 x A siendo A. el valor de lodas las prdidas producidas p o r la Averia:

en el caso de "Informes ame Tribunales (en situaciones especiales para las que no existe la tarifa correspondiente), mediante: H ' b 0 5 x B + 0 0S x F x ( l* 0 'lx N ) siendo F el importe de la Fianza sealada por la autoridad judicial o el impode de la responsabilidad civil subsidiaria que sea objeto de la intervencin judicial, y N la suma del nmero de escritos y comparecencias del ingeniero;

en el caso de Informes sobre P atentes", mediante: H B (0*5 *0*25 x R ) siendo R el nmero de Reivindicaciones objeto del informe.

26.5.4. Tarifas diferenciadas de Honorarios de Ingenieros en Trabajos a particulares

La disquisicin de honorarios descrita en el prrafo precedente, no e s en realidad una particularidad del CO lT. Antes bien, se trata de una adaptacin d e las Tarifas del C O I!', a lo establecido por la O rden de 24 de ju lio de 1962 (Boletn Oficial del listado de 31 de julio), por la que se aprueban las normas complementarias de aplicacin de las tarifas de honorarios de los Ingenieros en trabajos a particulares, a propuesta del Instituto de Ingenieros Civiles d e lispaa" -actualm ente. Instituto de la Ingeniera de EspaAa-, y de acuerdo con lo establecido en la base general 13 del Anexo del Decreto 1998/1961 de 16 de octubre. As. de las 268 Tarifas que integran la Parte III del A n ex o '' al Decreto, dedicada a 'T rabajos Especiales", se establece concretamente una d a te denominada "Informes, dictmenes y peritaciones" (Tarifas 156 a 168. ambas inclusive), correspondiendo: La Piik I comxne tcalu U Tarifas t H a x n n rctonvu i Po)io. Grupo.

www.FreeLibros.me
- la Tarifa 168, a la frmula general; la Tarifa 156. a la frmula largamente comentada de H 2x11*: y, la Tarifas 157 a 160 <amba inclusive) y la 168 y 166 y 16?. a las explcitamente relatada. para clculo particular d e II': proyecto, obras, instalaciones, concursos d e proyectos, causas de av:ra. informes ante Tribunales y patente*, respectivamente.

Inequvocamente, este A nexo al Decreto de Tarifas de Honcrarios de Ingenieros jue se ha presentado, distingue pues entre Informe". "Dictamen" y Peritacin", recogiendo de hecho las mismas definiciones Jadas en el prrafo 5.3. en el prembulo al bloque de Tarifas 156 a 168.

26.6. PERITACION ES EX TR A JUD IC IA LES Y A RBITRAJES

N o profundizaremos aquf en este tema, por razones de espacio. pero no queremos pasar sin dejar constancia <fc su importancia explcita en el captui> que tratamos. El mismo A nexo <lcl Decreto le Tarifas a que hicimos referencia en el apartado precedente, dedica explcitam ente su Tarifa 220 a valorar este merester: H ' - 5 x B 0 05 x V siendo V la suma de valores con qtic se ha operado para resolver el arbitraje. En particular se establece que para su realizacin se supone que se proporcionan al Ingeniero toda clase de datos, y adems de lo resultante de aplicar esta tarifa, habrn de abonrsele los honorarios de los reconocim ientos, informes, viloraciones. etc. que efecte. De los dos tipos bsico de arbitraje que existen -le equidad y de derecho-, slo en el d e equidad cabe pensar en principio que un tcnico acte como rbitro . ya que en este caso puede serlo cualquier persona natural que se elija para decidir sobre la cuestin litigiosa, segn su leal saber y entender y sin sujecin a trmites, debiendo tan slo dar la oportunidad a las partes para ser odas y presentar las pruebas que estimen convenientes. Ello no impide que. en cualquiera d e los casos, se requiera un informe. Jictamen o pericial extrajudicial por las panes, a quienes asimismo corresponde la eleccin del tipo de arbitraje que desean17.

En el no del 'artMraje de derecho lo irtMrca deciden la curtate litipuu Wfccife a derecho, fue lo quedehertn ver letradoenejercKio. En **> de que > ha>aa nmfetado ui vol untad en m e aspecto, el arfante ttt i de exudad

www.FreeLibros.me
CAPITULOi t PIUrTAIt VtXttSAi:DtTAlt 60* El arbtrale, en tanto que istcma d e resolucin alternativa d e conftelo, aporta mltiples ventajas: rapidez'*, discrecin y confidencialidad, flexibilidad en el procedim iento y lugar de celebracin, reduccin d e costas, voluntariedad en la frm ula de solucin al litigio, eficacia, etc. En particular, y totalm ente en la lnea que nos ocupa, cabe destacar com o una notable ventaja el hecho de que las panes pueden escoger como rbitros ("de equidad") a personas que sean especialistas en la materia. ya sea por su profesin, cargo o actividad: no se olvide que sern estas personas, al actuar como rbitros, quienes lomarn la decisin que estimen ms justa en conciencia, y que una vez sea firme el laudo arbitral dictado ste podr ser objeto d e ejecucin forzosa, al igual que una 'sentencia judicial firme. Distinta e s la frmula de la mediacin", que se diferencia d e la del arbitraje en que el mediador no tiene carcter d e ju ez, sino de "hom bre bueno" cuyo consejo puede ser aceptado o rechazado libremente. En conclusin, segn recoge la Enciclopedia Gran Ijarouu* UniversaI: "Socialmente pues, el confiar la solucin de conflictos al juicio-resolucin de rbitros, significa la existencia de una comunidad sana y nicamente madura en la que los problemas imcrpcrsonales no alcanzan grados de continua agudizacin, y por el contrario se han conseguido en su seno altos niveles d e convivencia." En mayo de 1989. unos meses despus d e la entrada en vigor de la Ley de Arbitraje Espartla, se constituy en nuestro pas AKBFTEC" , con la finalidad de ofrecer una va alternativa eficaz para la resolucin d e divergencias que tengan como fondo productos o servicios relacionados con las Tecnologas de la Informacin. En febrero de 1997 se convirti en la primera institucin espartla que admite soluciones de arbitraje a travs de Internet, utilizando la re d en todas las fases del procedim iento arbitral, excepto en aquellas diligencias en las que se requiere presencia d e las p o n e s '1 .

* Estuca. incWsu. los deno** "arbitraje acelerado-. <n k x f x x introducen cien aodtfkacione* para garantizar que e (vedi realizar en nene* tiempo y coa neo m* redundo ido. M La im parcialidad de AMBtIWC -AiotMKidn EtpaMa * Artnrrar TtcnoUt**-. quedl garantizada p<* el h e s.-H > de que la Cuakuta encargada de elegir a lo rtxtro eli fumada po un representantede laoferta > otro de ladem anda a) el cctue de Un empieva vuaamttradom de Tecnologa de la takeminte. e*U representado por SEDISI: y. b> lo atuanos. estin representado*pee laAsociacin de Uuiariot de Internet I o* < 4 > *iiKaln garantizan la tutela de kn derecho de ta panes en ei manalo de la deigaacin de penkn para el procedireenlo artwval Pira som eterse al arbitraje ARBITEC. podr tram itarse b s4citud. por ejemplo. * tras del nesfundiente formularioelectrtaio en b teb tap onnet eVaibstes

www.FreeLibros.me
W. Al'DmHH IMOKMATKA I N I.MOQO IACTK~Q A de m is de ARBITEC. y desde luego d e la Corte Espaola d e Arbitraje, existe en nuestro pas otra interesante organizacin: A RxM E. Arbitraje y M ediacin". nica empresa privada espaola dedicada a promover e impulsar el arbitraje y la medixtn como alternativas a) procedimiento judicial ordinario, as com o de administrar kts sumos que le son encargados.

26.7. EL DICTAM EN DE PERITOS COM O MEDIO DE PRUEBA

La versin actualmente vigente de la LEC-Ley d e Enjuiciamiento C'il d e 1881 -R eal Decreto de 3 de febrero-, tambin llamada " le y de Trmites Civiles", establece en su A rtculo 578 (Seccin QUINTA. I)e los medios de prueba), que: Los medios de prueba de que se podr hacer uso en juicio son: 1. 2. 3. 4. Confesin de juicio Documentos pblicos y solemnes Documentos posad o s y correspondencia Los libros de los comerciantes que se lleven con las formalidades prevenidas en la Seccin Segunda. Ttulo II. Libro I 5. D ictam en d e Perito s 6. Reconocimiento judicial 7. Testigos." Debe hacerse notar que el artculo siguiente de la vigente LEC (el 579). no hace referencia alguna a las 'Pruebas ', entrando de lleno en la descripcin d e la "ConfesSo Judicial". No ocurre as. en la LEC - Ley 1/2000. de 7 d e enero, de Enjuiciamiento Civil (todava no vigente): se dedican dos artculos a los "M edios de Prueba" (Captulo VI. D e los medios de prueba y las presunciones), en el T tulo I (D e las disposiciones comunes a los procesos declarativos) del Libro II (D e los procesos dcctaraihos): Art. 299. M edios d e prueba Art. 300. O rden de prctica de los medios d e prueba

se modifican tanto las denominaciones de los medios de prueba, como el orden en que se po d r hacer uso de los mismos (Art. 299): 1. Interrogatorio de las partes 2. Documentos pblicos 3. Documentos privados

4 1 ARvMR. CMnbemdi i fmjle < 3 f 1996. tu deurrotUA.' timo un reglamento < Jciftottajr como un prortdimietto de w^ukVi. paradtsvtvJlv tu iratajo

www.FreeLibros.me
CMTTU.O 1. D ictam en de Peritos 5. Reconocim iento judicial 6. Interrogatorio d e testigos rtKtrAK

Y O t S V S

AITICTAK 07

se precisa e l orden de prctica de los medios de prucha (Art. 300). "salvo que el tribunal, de oficio o a instancia de parte, acuerde otro distinto": 1. Interrogatorio de las partes 2. Interrogatorio de los testigos 3. Declaraciones de peritos sobre sus dictmenes o presentacin de stos, cuando excepcionalmente se hayan d e a dm itir en ese mom ento 4. Reconocim iento judicial 5. Reproduccin*' ante el tribunal de p a lab ras im genes y sonidos captado* mediante instrumentos de filmacin, grabacin y otros semejante*.

26.7.1. Objeto de la prueba pericial"

En todo caso, e independientemente de la versin considerada de LEC. el "objeto principal de la prueba son kw hechos; ms exactamente, las afirmaciones l'cticas del proceso41. O . si se prefiere, entendemos po <p rueba": "la actividad que desarrollan las paites con el tribunal para adquirir el convencimiento de la verdad o certeza de un hecho o afirmacin Tctica o p a n fijarlos com o ciertos a los efectos de un proceso. Esta actividad se realiza tanto en procedimientos civiles como penales, sociales y contencioso-administrativos: siendo lo regulado para el procedimiento civil la norma bsica que se aplica a todos los procedimiento*". Ahora bien, no todos los "hechos" son objeto de prueba pericial. Tal seria el caso de aquellos que no necesitan ser probados por considerarse notorios, o porque sean admitidos al no resultar controvertidos, adems de determinadas presunciones. De modo genrico, puede distinguirse entre "hechos fundamentales" y "hechos accesorios o indicanos", en funcin de su correspondencia directa - o n o - con lo que se trata de resolver en el proceso en cuestin. Por otra parte, y aunque lo habitual es que sean la* partes (actora y demandada) quienes propongan la prueba, bien puede ocurrir que sea el propio Juez o la Sala que conoce del litigio quien decida la necesidad de una prueba pericial, antes de dictar El *flte 299 ? de b U r d e neto de 2000. establece<j* -i*nb x dmtirn. cwwmr j lo dnfvesto en esu Ley, lo m edio* de rrpeodoccuSn de plate*. el unido y b imagen. coso k* imcumenlot que penrrten archivar y cvoocer o reproducir pabhrm. dalo, cifra y operackoe maleextttc llevad a cabocon fine*ccauble* o e otra el, relevante*pan el proccuo. " Mufo/ Martnez. R k i I . Itnxiucci* ol mtnlojmriitco. Ld Fndanla DINTH. hogamw i r Alta FamactCm en Intm fha iKfotmlxu - Cuno de "Informe*. D c U m u y JVriUfCt en Tecnoloj-lMde la Infcemacico". Madnd. bnl 19 Mato* Matine/. RtU i.. Op. t.

www.FreeLibros.me

AUUfTOKlA INFORMATICA- IX KNKXX HtAniCO

sentencia: de ah que se denomine a este tipo de pruchas periciales como 'diligencias para mejor proveer".

26.7.2. El Dictamen de Peritos en la vigente LEC

La vigente LEC de 1881. dedica a e n e asunto los artculo 610 a 632. ambos inclusive. Desde una perspectiva conceptual, orientada al mbito tcnico, segn corresponde al contenido de esta obra, entendemos como significativos p a n nuestros Tines los siguientes aspectos que comentamos: La prueba pericial procede emplearse cuando se dan dos circunstancias concretas (A il. 610): a) b) se necesitan, o son convenientes, conocimientos cientficos, artsticos o prcticos; y. se persigue conocer o apreciar "hechos d e influencia en el pleito".

El objeto de la prueba pericial debe proponerse con d a rid id y precisin4, por la pane a quien interese este medio d e prueba (A n . 6 1 1). Los peritos, en nmero de uno o tres (A n . 6 1 1 > . "debern tener ttulo de tales en la ciencia o .irte a que pertenezca el punto sobre el que han de dar su dictam en, si su profesin est reglamentada por las leyes o por el Gobierno" (A n . 613). La admisin de una Solicitud de prueba pericial, y detde luego su objeto definitivo, slo corresponde al Juez (A n. 613), independientemente de la propuesta de las pones. Lo mismo ocurre con la valoracin del dictamen em itido por el Perito (A n. 632). ya que "los Jueces y los Tribunales apreciarn la prueba pericial segn las reglas de la sana crtica sin estar obligados a sujetarse al dictam en de los peritos", El Juez podr pedir informe a la Academia. Colegio o Corporacin Oficial que corresponda, cuando el dictamen pericial ex ja operaciones o conocimientos cientficos especiales (A n . 631).

* E por clk> q t>e. en hse a n cipmmtu profesional, esle aulor ha prepuestoen mkipln Ion que el lettajo cem eteam(equipo) con ef perno c'experto' en la m atena. con til Mcnicoen lamuitai: - XIII Encuentro de "Infoemttca y DfwKV tUniversidad Pontificia Comillas / Imtitmo de Informilica Jurdica) Madrid. 7 y Xabril I W - Retina Je IfetemAlMpw Juristas de bdilooal AKAV/AIM N* Jl. abol de 1999.

www.FreeLibros.me
26.7.3. El Dictamen de Peritos en la LEC, de enero de 2000

I-a LEC de 7 de enero de 2000. d edica a este u u n io los artculos 335 a 352, ambos inclusive, constitutivo* de la Seccin 5* del Captulo VI del T tulo I del Libro II de la Ley. La redaccin del articulado presenta en s misma apreciables diferencia*. Con respecto al "objeto y finalidad del dictamen de peritos" (Art. 335) la nueva Ley coincide en lo sustancial con la vigente. Se insiste explcitamente, adems, en que al emitir el dictam en, todo perito: a) deber manifestar, bajo juram ento o promesa de decir verdad, que ha actuado y. e n su caso, actuar con la mayor objetividad posible: b) tomar en consideracin tanto lo que pueda favorecer com o lo que sea susceptible d e causar perjuicio a cualquiera d e las pones; y, C) conocer las sanciones penales en las que podra incurrir si incumpliere su deber com o perito. Ambas leyes siguen coincidiendo en lo sustancial, en cuestiones tales como: Condiciones de los peritos (Art. 340) Los peritos debern poseer*1 el ttulo oficial que corresponde a la materia objeto del dictam en y a la naturaleza de ste. Asimismo, podr solicitarse dictam en de Academias e instituciones culturales y cientficas que se ocupen de las materias correspondientes al objeto d e la pericia4. Valoracin del dictam en pericial (Art. 348) El tribunal valorar los dictmenes periciales segn las reglas de la sana crtica. A hora b k n , la nueva LEC. introduce en el apartado d e dictam en de los peritos novedades importantes: artculos 336 a 339. As, se especifica en los artculos 336 y 337. que:

* *Cunado *e trac de nucerut qae no esla cnsprendidu en titulo profeionil okuk*. los pititn hbfin de r AOffltvadMentre perweat cmmkIkIi* en ayielltv nulrnx\ C Art J40. /> . * TimSn podra esa dKlaexn obre coc<*K*et (ifedlicu lu penonu jurdica kgilmcnic habiliudis pjri t!V IAn .1 *0.21.

t i:

www.FreeLibros.me
Mil M IH!lI.MSnmVM:< M M MOJI i 1 H MIMO 1. Los litigante podrn apon a i los dictmenes que dispongan (elaborados por peritos por ellos designados). y que estimen necesarios o convenientes para U defensa d e sus derechos (A lt. 336). Podrn aportarse dictm enes elaborados por peritos designados por las partes, con posterioridad a la demanda o contestacin, anunciittdo oportunamente que lo harn en cuanto dispongan de e llo s" , para su troludo a la otra paite (A n. 337).

2.

Desde luego, y pese a lo dispuesto en e l artculo 337, las pu les podrn apodar aquellos "dictmenes cuya necesidad o utilidad venga suscitada por la contestacin la demanda o por lo alegado y pretendido en la audiencia previa il juicio" (Art. 338). Es decir, se contempla tambin la posibilidad de aportacin de d rtm enes en funcin de actuaciones procesales posteriores a la demanda. Por ltimo, en el articulo 339 se contemplan: la solicitud de designacin de peritos por el tribunal ( ; resolucin judicial sobre dicha solicitud): y. la designacin de peritos por el tribunal, sin instancia de parte. Cuestiones retesantes son: si cualquiera de lax partes fuese titular del derecho d : asistencia jurdica gratuita, no tendr que aportar el dictam en pericial con la demanda o la contestacin, sino simplemente anunciarlo, a lo efectos de que se proceda a ti designacin judicial de perito (A d . 3 3 9 .1): la designacin judicial de p en to puede ser siempre solicitada en sus respectivos escritos iniciales, tanto por el dcmandinte como por el demandado, "si entienden conveniente o necesario pira sus intereses la em isin de informe pericial (Art. 339.2): y. la em isin de un informe pericia) elaborado por perito designado judicialmente se podr solicitar con posterioridad a a demanda o a la contestacin, "salvo que se refiera a alegaciones o pretensiones no contenidas en la demanda (A d . 339.2).

Lo* dwlitnean te formularan por sonto. acompaAados. <* su caso. dt los dera** devumento*. innnmetto* o malcrales adornado* fura opeare el pato: del pens ubre lo toe haya u 4 j objeto de la p e riM rt 36.2) ** fea lodo caso, antes de uncan la audiencia prest al meto crdmanoo aran de <nu ea I serbal lAn. U 7 .ll

www.FreeLibros.me
CAF1T1IIX) T tt P1RHAK YlXStS Al IXIAJC 611 Asimismo. consideramos significativo k> dispuesto en el A rtculo 345. acerca de 1 "operaciones periciales y posible intervencin de las partes en ellas": lis pjLflcs y sus defensores podrn presenciar el reconocim iento de lugares, objetos o personas o la realizacin d e operacin anlogas, si con ello no se im pide o estorba la labor del perito y se puede garantizar el acierto o imparcialidad del dictamen (Art. 345.1): y, el perito deber dar aviso directamente a las partes, del da. hora y lugar en que llevarn a cabo sus operaciones periciales, siempre que el tribunal haya aceptado la solicitud de aqullas para estar presente (Art. 345.2).

26.7.4. Comentarios finales

La LEC. de 7 de enero d e 2000. no entrar en vigor hasta un ao despus de su publicacin en el Boletn Oficial del Estado"", por lo que pudieran todava introducirse ciertos cambios, si bien no e s ello lo que cabe esperar, concretamente en k> que a nuestra parcela de inters compete. Las novedades que lu n sido comentadas introducen aportaciones sustanciales con relacin a la todava vigente LEC de I&8I. Deberamos reflexionar pues sobre ellas, como un cercano futuriblc. adems de muy posible en cuanto a su aplicacin y obligatoriedad.

26.8. CON CLUSION ES

Pe rilar no es Auditar, ciertamente, al igual que tienen mbitos de actuacin profesional separados y bien definidos los consultores y los auditores. Puede e n todo caso contextualiz-arse la Peritacin" como un mbito profesional afn al de la Coosultoria" y la Auditora , con sus obligadas diferenciaciones en cuanto a elementos conceptuales comunes, tales como: contenido, condicin o carcter del contenido, caracterstica temporal, justificacin o base que sustenta el contenido, objeto o elemento sobre el que se aplica la justificacin, y finalidad o producto deseado y esperado tras la actuacin profesional propiamente dicha. Conccptunlm ente. son absolutamente equivalentes los "expertos y los "peritos, si bien nada tienen que ver aqullos con los "especialsus", cuando se valoran componentes de dedicacin profesional con carcter preferencial. Cuestiones determinantes son la formacin especfica, el back-ground profesional, la actitud y la conducta tica en estos mbitos, etc., adems de su entorno y salvoconducto laboral " Diipcnjcta fiiu viguaao pnoma de la Ley.

www.FreeLibros.me
61i AlPtTORA INFORMTICA: UN RNFOQtlF. WICTKO (licencia fiscal. cuota c impuestos ad-hoc. etc.). Importan it . asimismo. la adquisicin de expertise". Suelen identificarse. inapropiadamente, trm inos pcrfcctanente diferenciados tales como informe". "dictamen" y "peritacin". No obstante, existen incluso tarifa oficiales de honorarios recomendados por las Corporaciones d : Derecho IMNico. distinta para la realizacin d e cada uno de ortos tres tipos de trabajos a particulares, de los ingenieros en el marco del ejercicio libre profesional. U s peritaciones no son slo judiciales, sino que tambin puteen tener un carcter extrajudicial. L os arbitrajes, e incluso las mediaciones", cobran Ij c i /j cada da ms. existiendo instituciones pblicas y privadas que se ocupan de favorecer este tipo de salidas para la resolucin d e litigios entre las partes en d e sacierto . La firma del "perito profesional" se ubica con determinacin en este nuevo contexto jurfdico-sociaL Tanto la vigente LEC / Ley de Enjuiciamiento Civil d e 1881. como la LEC de 7 de enero de 2000 que entrar en vigor un ao despus de su publicacin en el Boletn Oficial del Estado, reconocen explcitam ente el "dictamen pericul- com o uno de los medios de prueba. Su cotTccto planteamiento y uso. y la m acstri en su redaccin y defensa, pueden ser claves para la resolucin judicial, aun cuando se valore por el tribunal "segn las reglas de la sana crtica".

26.9. L EC TU R A S RECOM ENDADAS

Ptfso Navarro. F..; e l til.. M anual de Dictmenes y Peritajes Informticos. Ed. Daz de Santos. Madrid. 1995. Fundacin D INTEL (diversos autores). Ejercicio Profesional y Autocmpleo. como Perno, en M ultim edia y Comunicaciones. Proyecto Formativo. en colaboracin con la Comunidad de Madrid y la Unin Europea: Manual del Alumno (C u n o de 208 horas lectivas). Madrid, octubre 1999 (I* Edicin), y febrero 2000 (2* Edicin). Fundacin DINTEL (diversos autores). Ejercicio Profesional y Autoempleo. como Perito, en Informtica, Proyecto Formativo. en colaboracin con la Comunidad de Madrid y la Unin Europea: Manual del Alumno (Curso de 208 horas lectivas). Madrid, febrero 2000. Fundacin DINTEL (d ise o s autores). Perito en Prevencin d e Riesgos Laborales Informticos. Proyecto Formativo. en colaboracin con la Comunidad de Madrid y la U nin Europea: Manual del A lumno (Curso de 208 horis lectivas). Madrid, febrero 2000.

www.FreeLibros.me
CAllTX U ) M ttHITAR VfXU'i MMtXR 1 I Rivcro la g u n a. J.; e t al.: Informes. Dictmenes y Peritaciones : Ed. Fundacin DINTEL: Serie "M onografas y Publicaciones". Coleccin Peritacioocs IT Profesionales": Madrid, julio 2000. Rivera l.aguna, J.: Peritajes en Tecnologas Je la Informacin y Comunicaciones; XIII Encuentro obre "Informtica y Derecho": 7 y 8 mayo. I W ; Universidad Pontificia Com illas / Instituto d e Informtica Jurdica. A ctas del E xuentro. Rivcro Laguna. J.: "Procesos judiciales, arbitrajes y peritos profesionales, en Tecnologas de la Informacin": Ed. ARANXADI: Rev. Actualidad Informtica A lanzada, n* 31 (abnl. 1999). pginas 10 y ss. Verder-j y Tuells. E.: A lgunas consideraciones en rom o a l arbitraje comercial; Ed. C l VITAS. Roca Aymar. J. I..: 7 arbitraje t n ta contratacin internacional ; Ed. ESIC & ICEX. Madrid. 1994.

26.10. C UES TIO N ES DE REPASO

1. Diferencie "consultora" de "auditora" y "peritacin", a partir de la base que justifica su contenido conceptual y el producto final deseado. Indique el contenido que define el mbito d e actuacin profesional de un perito frente al d e un auditor, e incluso al de un consultor. Exprese tres acepciones diferentes para el concepto de "Perito". Enumere diverjas categoras y reas de peritaje forense prvalo. Cite aquellas reas de form acin especfica que debiera troer un perito profesional", frente a las actuaciones puntuales de un m ero tcnico compctent o " p p N il itu " , n I mbito del jtrcicio profesional como la). Distinga entre informe, dictamen y peritacin, en panicuUr indicando la frmula para calcular el valor de los honorarias que se ajlic ira en cada caso, en una situacin genrica. Indique algunas frmulas concretas para el clculo de honorarios recomendados de Informes tcnicos", para su aplicacin en el caso de trabajos de ingenieros a particulares.

2.

3. 4. 5.

6.

7.

www.FreeLibros.me
61 AUDTTtlRtA tNHULMACA: UX ENFOQUE PRACTICO 8. D efina lo dos ipos bsicos de arbitraje entre los que pueden optar las (unes para dirim ir cuestiones litigiosas que les afectan. Diferencie conceptualmente las figuras de "rbitro" y "mediado.

9.

10. Enumere los medios de prueba establecidos en la vigente LEC / Ley de Enjuiciamiento Civil y las modificaciones introducidas al respecto por b LEC de enero de 2000. tanto en cuanto a denominacin como en cuanto a orden de prctica de los mismos.

www.FreeLibros.me

CA PTULO 27

E L C O N T R A T O DK A UDITORA
lia h fl Da\xira Fernndez de Marcos

27.1. INTRODUCCIN
A pesor de que nuestro anlisis se centra en el contrato de auditora, antes de comenzar con ello creem os conveniente intentar delim itar en esta introduccin el concepto de Auditora Informtica. Para ello, empezaremos presentando varias definiciones doctrnales altamente reconocidas, luego pasaremos a plantear una ineludible comparativa con la Auditora de Cuentas, esquema comparativo que se seguir a lo largo del trabajo por ser la ms prxima, aun con sus importantes diferencias, referencia legal disponible, y terminaremos este apartido introductorio con algunas notas sobre las funciones y fases de esta auditora d< los sistemas de informacin. Una vez concretado en lo posible el mbito de actuacin d e la Auditora Informtica, nos permitiremos una breve aproxim acin a la n a tu n le u jurdica del contrato analizado, y finalmente pasaremos a estudiar la figura contractual que constituye el marco legal en que se desarrolla esta actividad y que cj el objeto de este trabajo. Para lograr este objetivo principal, y dado que en la defin ci n d e la figura jurdica en que consiste lodo contrato com o acuerdo de voluntades, hay que delimitar en todo caso tres elementos esenciales: consentimiento, objeto y causa (an. 1261 Cdigo Civil), nuestro estudio seguir esta estructura determinad] legalmentc. En cuanto al consentimiento, centraremos su estudio en el anlisis de las panes intervinientes como prestadoras d e dicho consentimiento, haciendo una especial

www.FreeLibros.me
616 Al'DIKWlA I.NKlRMnCA: UN ESTOQUE PRACTICO referencia al perfil del auditor informtico, a su responsabilidad y a su pertenencia o n o a la organizacin auditada. Con relacin al objeto del contrato diferenciaremos las distintas reas susceptibles d e ser sometidas a la revisin y juicio de la auditoria. Finalm ente, examinaremos las causas de la contratacin d e una auditoria y su posible obligatoriedad. La Auditora Informtica "comprende la revisin y la evaluacin independiente y objetiva, por parte de personas independientes y tericamente competentes del entorno informtico de una entidad, abarcando todas o algunas de sus reas, los estndares y procedim ientos en vigor, su idoneidad y el cumplimiento de stos, de los objetivos fijados, los contratos y las normas legales aplicables, el grado de satisfaccin de usuarios y directivos, los controles existentes y anlisis de los riesgos relacionados con la informtica"1. 1.a Information Systems Audit and Control Association (ISACA) define a la A uditora de los Sistemas d e Informacin como "cualquier auditora que abarca la revisin y evaluacin d e todos los aspectos (o alguna seccin/rea) d e los sistemas automatizados de procesam iento d e informacin, incluyendo procedimiento* relacionados no automticos, y las intcrrelaciones entre ellos". Sus objetivos deben ser brindar a la Direccin una seguridad razonable d e que los controles se cumplen, fundamentar los riesgos resultantes donde existan debilidades significativas. Ya que no tenemos una definicin legal d e la Auditoria Informtica, recurriremos, una vez ms. a la d e la Auditora d e Cuentas c intentaremos hacer un paralelismo entre sus elementos. En Esparta, la normativa en materia de Auditora de Cuentas se circunscribe a: la Ley 19/1988 de Auditora de Cuentas (LAC). d e 12 de julio, el Real Decreto 1636/1990, de 20 de diciembre, por el que se aprueba el Reglamento de la Auditora de Cuentas que desarrolla la LAC, las Normas Tcnicas d e Auditora (NTA). y dems referencias dispersas en otras disposiciones de diferente rango com o pueden ser el Cdigo de Com ercio, la Ley de Sociedades de Responsabilidad Limitada, el Reglamento del Registro Mercantil, y, las consultas publicadas por el ICAC. En d mbito comunitario europeo, en la actualidad el marco legal europeo en materia de auditoria se em e a la O ctava Directiva (regula el ejercicio profesional), a la Cuarta Directiva y a las Normas Tcnicas de Auditora nacionales. Asf. el Reglamento de la Auditora de Cuentas dispone en su articulo 1: /. Se entender p o r auditora d e c u tn ta t la actividad, realizada p o r una persona cualificada e independiente, consistente en analizar, mediante la utilizacin de las tcnicas de rexisin y \-erificacin idneas, la informacin econmicofinanciera deducida d e los documentas contables examinados, y que tiene ' Rwut GontUct. M A . La aafteoria mformioci". ra enerodr 1995. p4fieas I y u. molida* Informtna Armiadr. a *1 4 .

www.FreeLibros.me
CATfTVtjQ iT 11. COVT1IATOIX: AtltHTOttM 6IT com o objeto la emisin J e un informe JirigiJo a poner de manifiesto su opinin responsable sobre la fiabilidad Je la citada informacin, a fin de que se pueda conocer y valorar dicha informacin po r terceros. 2. Im actividad de auditora d e cuentas tendr necesariamente q*e se r realizada p or un auditor de cuentas, mediante la emisin d e l correspondiente informe y con sujecin a los requisitos y form alidades establecidos en 'a Ley 19/1988. de 12 de julio, en e l presente Reglamento y en las nonras tcnicas de auditoria. En definitiva, pasando a estructurar comparativam ente las d elinicvncv

rwmdm

^ I Cualificada - Auditor decvantt ] Aruluar * T InfctmKidn ev.om.'mwv-fiajt.iet -' -^ I IM u id i de dorumentot coouMet

So existe tmikota oScial ni Regn*u independenle mforanctfn enlomoInformtticot deducida revuin y omtrol de kn Emitir inform e m anifestando tu opndn retpoauMe *>re lafuNtbd de la informante paraque vecoootca >valore por Mfetoa

* '

Manifestando w pinina

4 4 | V*TC u t ild a d de lainf<maci<i u W fTrrji.tL J I " * <"oa y 'alore poe

I p

(omlididn r>xmat de laprofesa* cdigo de condixiate laproferta |

fin donde existen las principales divergencias entre la dos dcfim .ioncs es. de un lado. en la inexistencia de una titulacin oficial d e la profesin d e Auditoria Informtica y. de otro lado, en la inexistencia de reglamentacin especfica de esta actividad. En cuanto al prim er aspecto relativo a la titulacin, las ventajas ce una titulacin oficial son evidentes: se obtiene un consenso en la actuacin, se establece una metodologa comn, se dispone d e normas tcnicas actualizadas por los propios profesionales, se establecen una serie de criterios de responsabilidad coherentes, se oU a la profesin de prestigio, y se im pone la exigencia d e actualizacin'. : Tountoi Minan. Conferencia di aparva en ti Scirwono de Auditoria d e lo Sitiema de Mccnuoa y Control Imano<AUD1SI?000>. orfttizado pe* Mwmacm Eurcfem Kxpotot. M adrid. H m o 3000.

www.FreeLibros.me
61 AUDITORIA INFORMTICA: L *NEfiFOQfE mACTlCO En c h im o a la regulacin y normas existente*, en la actual d ad la Organizacin de Auditora Informtica tO A l). captulo e sp ato l d e la ISACA. tiene tanto unas normas tcnicas como un Cdigo de tic a profesional. Entre las {nieras destacan los Estatutos de Auditora, la Independencia profesional, la Edcacin Profesioail Continua, la Preparacin del informe... En el segundo, se impon el cumplimiento de las normas de la Asociacin, servir al beneficio de empleadores, accionistas, clientes y pblico en general, desempear las labores independiente y obje ivamcMc. obtener y documentar suficiente material basado en hechos reales, informar a las paites apropiadas, mantener valores morales en la conducta y el carcter A travs de la OAI se puede obtener el certificado C1SA. Ccnificd Information Systems Auditor, de la ISACA. D e acuerdo con la reconocida doctrina que opta por seguir ur concepto amplio de la Auditora Informtica para evitar que se reduzca a un control de kw aspectos informticos de los sistemas de informacin, los objetivos de la misma puedes clasificarse en tres grandes gnipos: a) Colaboracin con la Auditora de Cuentas. b) Auditora de los propios sistemas informticos. c ) Colaboracin del jurista en la Auditora jurdica de los en tx n o s informticos'. La utilizacin de la auditora informtica en la primera d e sas venientes, dentro de la auditora de cuentas, se debe, principalmente, a la necesidad d e ajuste en la especificacin de los riesgos del negocio. Sin embargo, la auditora informtica es m ucho ms que eso. y se ocupa de distintos y amplios temas com o el anlisis estratgico de los sistemas implantados, su adecuacin al negocio (actual y futuro), d tiempo de respuesta, la capacidad de la organizacin de responder a cambios e im plantar soluciones a medida, etc. Entre las razones que explican la evolucin de la auditora informtica destacan la dependencia de la informtica por parte de cualquier entidad, los riesgos novedosos referentes a la informtica, el cambio en la concienciacin del empresario, el uso de los datos de carcter personal d e forma automatizada, la seguridad en todas sus facetas-./. Y. en omcreto. dentro del denominado riesgo de control se ha introducido un nuevo elemento de vital importancia y al que bien pudiera d ele categora de elemento individual: la tecnologa de la informacin, y que ha dado lugar a la utilizacin de la informtica en los sistemas contables, que a travs d e la tecnologa d e la informicin. cada vez ms sofisticada, ha propiciado sistemas de informacin que incorpcran nuevos riesgos, peculiares y especficos que dan origen a la consultora y auditora informtica'.

IVI Pino. E . U aadaco ela |urd:a de la cosa mfoemlxa". Confmeoa pfuouiKisd en el VI C<*(rcw Ibceoanxtkano de D n td e Infocm fcica. plfina* $* y s s. *1-ane, l>J>J A . 1 j auditora nforanfeka y i evcdacio". en l'artuUPvbl*. n*9. jK trn tn 1998. cdpnat 76 y u. Hernndez Cania. A . l a cuantificacidn del l in p en auditora", en /Vuda toMe. a*S. atril 1998. pdfiiat 7J y s.

www.FreeLibros.me
CA<TVtO:H.CqVTRATOn AUillOKU 19 La utilizacin de sistemas expertos en auditora es. por lo u n to , un tema distinto que consiste en introducir el um > de la herramienta en la funcin de auditora tradicional. N o obstante, a pesar de que no se puede reducir el objeto de la auditora informtica a la auditora realizada con computador o con herramientas informticas, comporta ciertas ventajas hoy en da d e todo pun* imprescindibles: conserva el conocimiento experto de los auditores dentro de la empresa, aumenta la capacidad de los expertos para manejar grandes volmenes d e datos y realizar anlisis compiejos, asesora en la toma de decisiones, permite unu comprensin ms profunda del conocimiento de los expertos, perfecciona la productividad del personal, aumenta los vicios ofrecidos por las empresas d e auditora, y funciona como herramienta pedaggica y de form acin del personal para transmitir el conocimiento de los auditores expertos a los nuevos. En cuanto a las fases en que se puede descomponer un proceso de decisin en auditora, una propuesta de esquema podra ser la siguiente'': 1. Orietuacin: el auditor obtiene conocimientos sobre las operaciones del cliente y su entorno y hace una valoracin preliminar del riesgo y de la importancia relativa. Evaluacin preliminar d e los controles internos. Planificacin lctica de la auditora. Eleccin de un plan para la auditora. Prueba de cumplimiento d e los controles. Evaluacin de los controles internos basada en los resultados de las pruebas d e cumplimiento. Revisin del plan de auditora preliminar. Eleccin de un plan revisado para la auditora. Realizacin de pruebas susfantitas. Evaluacin y agregacin de los resultados. Evaluacin de la evidencia. Podra dar lugar a unas pruebas ms exhaustivas o formar la base de la eleccin d e la opinin por el auditor. Eleccin de una opinin que clasifique los estados financieros del cliente. Informe de auditora.

2. 3. 4. 5. 6. 7. 8. 9. 10. 11. 12. 13.

Para terminar con este apartado, una breve referencia a la debatida opcin entre auditora interna y externa, con relacin a la problemtica de la independencia, el mejor conocimiento de la organizacin e n su conjunto y el necesario y constante mantenimiento y supervisin en razn del peculiar objeto de la auditora informtica. La independencia es una caracterstica esencial en la auditora. Constituye un requisito nuclear sin cuya presencia se vicia todo el recorrido posterior. Por lo tanto, partiendo de esta premisa, el aseguram iento de la independencia e s una exigencia Sirvehe/ TomK Amonio. Siner-a. oprrtot en udilorii. en TV... CentaUr. sotanea 45.1993. S29ys*.

www.FreeLibros.me
O AUXTOMA INFORMATICA: UN ENHOQUE WCI1CO obligada, no siendo ste el lugar, en nuestra opinin, para profundizar en disquisiciones m is o menos improductivas acerca de la mayor independencia a pnon de la auditoria exlem a frente a la interna y viceversa. La independencia tiene que existir y ser manifiesta y constataWc en el caso concreto. De todas formas, no conviene olvidar que en el caso especifico d e la auditoria de los sistemas de informacin, donde se presentan las peculiaridades e s principalmente en la especificidad del objeto d e la auditora en si. lo que hace que sea imprescindible un conocimiento intenso de los sistemas de informacin y del (lujo de la informacin en la empresa en cuestin. Y sta es una d e las principales razones que apoyan en esta materia la constitucin de un departam ento de control interno d e los sistemas de informacin de manera institucionalizada en la organizacin en cuestin. T odo ello sm perjuicio de la recomendable compatibilidad de ambos opciones aunque sea de forma espordica en funcin d e la u n intocable eficiencia en k costes. E n todo caso, se opte por la alternativa que se opte, antes de encargar al exterior un trabajo de esta naturaleza se ha debido realizar un esfuerzo interno considerable, y se deben tener censadas las discrepancias, asi como las diferentes alternativas en caso de litigio*.

27.2. UNA BREVE REFEREN CIA A LA N ATUR A LEZA JURIDICA D EL C O N TR A TO DE AUDITORIA

Conviene empezar por asentar la casi total aceptacin por p an e de la doctrina del carcter contractual del vinculo que se establece entre la sociedad y el auditor, frente a las escasas discrepancias que abogan por una tesis "organicista". La calificacin de contractual se apoya fundamental mente en tres razones. En primer lugar lo establecido expresamente por el articulo 14.2 d e la Ley de Auditora de Cuentas que se refiere al contrato de auditora". En segundo lugar, la Ley d e Sociedades Annim as que deliberadamente excluye esta materia del capitulo de rganos sociales. Y. finalmente, porque i calificacin com o rgano sera insertar al auditor dentro de la estructura de la sociedad y considerarlo como parte integrante de la persona jurdica, lo que resulta contrario al espritu de la ley que lo configura como una "instancia extem a e irsdepct*licnlc de control"*. Adems de la dificultad aAadida que supone la inexistencia legal de la figura de la auditora informtica, tampoco en la tradicional comparacin analgica con la auditoria de cuentas existe unanim idad doctrinal e n lo que a su naturaleza jurdica se refiere.

www.FreeLibros.me
CA>mxOW H COVWtATOni-At lMTOOU 631 Sin pretender realizar un* investigacin exhaustiva de los posibles encuadres conceptuales de la figura, mencionaremos nicamente la divergencia doctrinal existente en cuamo a su concepcin como un arrendamiento d e servicios, aludiendo a la profesionatidad de la figura, o como un arrendamiento d e obra, aludiendo a la ineludible necesidad de la materializacin del contrato en el informe de auditora que constituye el resultado que caracteriza al contrato como un arrendamiento de estas caractersticas. Nuestra opinin se decanta por la figura de un contrato de arrendamiento de servicios, servicios que se desarrollan a lo largo de un periodo temporal determinado, y que. si bien se concretan en la emisin d e un informe de auditora, la libertad del auditor y la falta de capacidad de decisin del auditado sobre los contenidos de dicho informe le privan de la caracterizacin del resultado esperado a dicho contrato y le confieren una naturaleza de prestacin de servicios cuyo resultado no se puede, por lo menos en gran medida, prever, o. mejor dicho, cuyo resultado, en cuanto a inclusin de contenidos, no se puede pactar. listas caractersticas se pueden contrastar en varios lugares. De un lado, si el resultado del contrato estuviera perfectamente delimitado, no habra lugar a la aparicin del tan nombrado gap de expectativas. o diferencia de expectativas entre lo que los usuarios esperan obtener del informe d e auditora y lo que se obtiene realmente. De otro lado, no existiran tan diversas clases d e informes de opinin, pane integrante de todo informe de auditora que resume y concluye el juicio del auditor sobre las situaciones analizadas y los riesgos evaluado. La jurisprudencia, entendida en sentido amplio como todo pronunciamiento de tribunal en el ejercicio de sus competencias y no como la derivada del Tribunal Supremo que adems cumple los requisitos de repeticin e identidad, por su pane, ha definido lo siguiente: "... la auditora d e cuentas es. por lo Unto, un servicio que se presta a la empresa revisada..."".

27.3. P A R TES EN UN C O N TR A TO DE AUDITORA. EL PERFIL DEL A UDITOR INFORM TICO 27.3.1. La entidad auditada

1.a empresa que solicitaba una Auditora Informtica, hasta la actual normativa que veremos ms adelante, lo haca porque constataba una serie de debilidades y/o amenazas provenientes de sus sistemas d e informacin.

*Sentencia del Tnbunai Superior de iusocu de MaJnd. a*415.4 de miso Je 19*4.

www.FreeLibros.me
t AlOTTOUlAINKJRMUCA: UNtjMOQtlfc PRACTICO Por lo u n to , U empresa que necesitaba este tipo d e servicios lo que estaba demandando en realidad era una solucin a tu s problemas en trminos de eficiencia de sus sistemas. m s que una verificacin o una revisin del cumplimiento de los controles establecidos. Ex decir, se pretenda un atesoram iento especializado en U gestin de dichos sistemas, funcin ms cercana, como sernos, a ia consultora. Sin embargo, cada vez ms las empresas son conscientes de la relevancia del sometimiento del elemento si n o imprescindible sf completamente esencial, cons tituido por los sistemas de tratamiento de la informacin, a una serie d e revisiones y controles entre los que destacan el de seguridad, el de calidad o el d e la proteccin de dalos de carcter personal por su preponderancia en virtud d e su obligatoriedad legal. Hoy e s indispensable disponer en todo momento y d e una forma rptda de informacin suficiente, actualizada y oportuna. Y esto slo se puede garantizar manteniendo tos sistemas de tratamiento de dicha informacin en perfecto estado que slo se certifica mediante la correspondiente realizacin d e la pertinente auditoria de dichos sistemas de informacin.

27.3.2. El auditor informtico

Las nuevas tecnologas de la Informacin y las Comunicaciones estn creando nuevos canales y herramientas para la gestin de negocios. El auditor tradicional, esto es. el auditor de cuentas, no se encuentra capacitado en trminos de form acin para afrontar los nuevos riesgos derivados de la utilizacin d e las tecnologas. De ah que se haga im prescindible la existencia de la Auditora de Sistemas d e Informacin'". Entre las caractersticas del auditor, y como ya hemos scAalado en la comparativa expuesta al inicio del trabajo, destaca la independencia. Podemos definir la independencia del auditor como "la ausencia de intereses o influencias que permite al auditor actuar con libertad respecto a su juicio profesional, para lo cual debe estar libre de cualquier predisposicin que im pida su imparcialidad en la consideracin objetiva de lo* hechos". Los problemas pueden clasificarse en tres grupos principalmente: la compatibilidad de la prctica de la auditora con las asesoras legales, el interlocutor del auditor dentro de la empresa auditada, y la rotacin del auditor En otro orden de cosas, a pesar de que calificam os de profesional al auditor, hay que precisar, remitindonos una vez ms a la comparacin con la auditora de cuentas que la Ley de Auditora d e Cuentas, segtln aclara el Tribunal Constitucional respondiendo a una alegacin referente a la vulneracin por la LA C del articulo " Mur Botngav Allomo, loi irniri de amdttoeii interna de lueww de tmfarmatMn. Sem inario Auditoria de los Sisieen de tncmuon y Control laeem u(AL'DtSt '2000). organiujo pe*taformineo Kun?eoi Esperte. Madnd. itbrrro 2000 1 1 Lon Lara. B y Serrino. K. "La auditoria a debale: pesem e y foeuro~. c* Ponida la Me. *t. ano 1996. pdpaat SS y .

www.FreeLibros.me
oama__________________________________ CAPfTVLOJ 1t . CONTHATODBAtUtTORlA 6H regulador de la l e y de Colegio Profesional, no regula exactamente una profesin liberal, sino una actividad que puede ser realizada por profesionales, pero ni los profesionales han de realizar slo esa actividad, ni sta ha de constituir exclusivamente el objeto de una profesin . En cuanto a la sujecin legal del auditor, todas los profesionales que desarrollan su labor en el cam po de la auditoria de cuentas estin sometidos a una serie de normas que tipifican su capacidad profesional, la conducta para llevar a cabo su cometido y la forma de emitir el informe. I-os auditores informticos no son una excepcin, aunque adems deben cum plir una serie de requisitos y directrices que les son inherentes. Las diferencias no slo afectan a las normas, puesto que su cometido tambin difiere y consiste e n la revisin de la funcin informtica o paite de ella, sus reas d e revisin son asimism o originales (organi/acional del departam ento d e SI. d e seguridad de accesos lgicos. f(sc<xs y controles medioambientales, de actuaciones frente a desastres con los (dans d e recuperacin, del softw are de sistema en cuanto a las polticas sobre su desarrollo, adquisicin y mantenimiento, d e softw are de aplicaciones y de control d e aplicaciones, as como las especificas de telecomunicaciones, bases de datos y usuarios) y . finalmente, tambin pueden ser diferentes sus tcnicas utilizadas . En este punto tambin e s ms que resaltable la existencia de unos condicionantes ticos imperantes en el ejercicio d e esta profesin que por su especial autonoma precisan una especial atencin. Pues si e s verdad que existen lodos estos referentes que delimitan profesionalm ente la definicin de la auditora de sistemas de informacin, no es menos cierto que el asentamiento de la profesin requiere tambin de la creacin y seguimiento d e cdigos deontolgicos que apoyen los mnimos necesarios constituidos por los estndares norm ativos . Las Normas Tcnicas de Auditora, siguiendo con el anlisis comparativo del etquema normativo existente en la Auditoria de Cuentas, son un instrumento regulador propio de la profesin. Existen normas tcnicas de carcter general, sobre la c ualificadn del auditor, la calidad de su trabajo en el ejercicio de su profesin y aspectos de tica profesional. Tam bin podemos encontrar normas tcnicas sobre la ejecucin del trabajo que determinan los procedim ientos a aplicar por los auditores. Finalmente, encontramos tambin normas tcnicas sobre elaboracin de informes, donde r l mutilo informtico debe exponer los objetivos de control no cubiertos adecuadamente as como las recomendaciones a practicar1. En cuanto a la naturaleza y eficacia de estas N TA. y d e nuevo recurriendo a la inevitable analoga, hay que entender su carcter puramente normativo como su propia denominacin in d ic a pues " Bctrmn M. de VilUrcil. A, M.. la Ley de Audiiorfi de Coenijn y los rpian hmdicoonileV*. <n Parthki fie**. *94. novKmtvr I99X. f-lprui 14 y n. 1 1 PovoU Maette. J P. 'AudrtM Je Coenu# y Audmw Infwmica. Anilim Je Ut aorm Unen", en T/cmea ContMt. Tomo 46. I W . pigiw 481 y iv " Pie/ MjM. i . "(VcdctugM Jel Auditor Inforatkxo y CA*{0* ikoV. en Amflioni fcjfcrn.iri.ij i tmfaptt prctko. til KA-MA. NUdisJ. 199. I *cdKin. 151 y \\ " Pos<da MaeWe. i P . Amhiora Cm eiuas y Informtica AmSIi.ti Je la, w n u i Mueiu. ep. cU. plfiius 482 y m

www.FreeLibros.me
AtXMIOaU ISTOItSMTKA UN ENPOQfE P1UCT1CO son meras lincas generales de actuacin, por lo que la alegacin ante los tribunales de su falla de publicacin en el Boletn Oficial del Estado e s una insistencia sin fundamento, pues csic requisito es cxigiblc nicamente para las leyes, segiln el articulo 2.2 del Cdigo Civil. C on relacin a las funciones del auditor informtico, su actividad puede abarcar desde aspectos funcionales, como la adecuacin de los sistemas de informacin a las necesidades reales, lu s u la revisin de los tiempos de respuesta, pasando por la Habilidad de los sistemas. Por supuesto, los aspectos tcnicos son los que ofrecen un mayor cam po d e actuacin: desde el comienzo con el computador y sus perifricos, los convenios utilizados para la codificacin de datos, los procedim ientos de captura de estos, la explotacin, la programacin, las comunicaciones, o . cmo no. toda la gran rea de la seguridad, ffsica y lgica, y de la calidad1 *. El auditor, en el desarrollo d e su trabajo, ha de obtener evidencia de los hechos, criterios y elementos que est evaluando, con la finalidad de form arse una opinin. Dicha evidencia deber ser suficiente y adecuada. Suficiente en cuanto a la cantidad de evidencia a obtener y adecuada con relacin a la calidad de la misma, e s decir, a su carcter concluyente. Pero para obtener la evidencia adecuada el auditor deber guiarse por los criterios de importancia relativa y riesgo probable. E l de la importancia relativa supone que no todos los hechos, criterios y elementos que forman parte de los documentos contables son de la misma importancia. Existen algunos cuya importancia es decisiva dentro del contexto general pora la opinin que el auditor va a emitir. La importancia relativa, de otro lado, e s un trm ino de los encuadrablcs en la denominacin jurdica de concepto jurdico indeterminado, pues la mayora de los pronunciamientos profesionales dejan en manos del buen juicio y experiencia del auditor, aunque existen una serie de consideraciones generales que sirven de gua para fijara, dependiendo de su aplicacin al caso concreto del contexto1. El auditor de Sistemas de Informacin debe tener la capacidad y los conocimientos tcnicos para revisar y evaluar el control interno del entorno en que se desarrollan y procesan los sistemas de informacin, capacidad para revisar riesgos y controles, evaluar y recomendar los controles necesarios de los sistemas de informacin, y capacidad para disertar procedimientos y tcnicas d e auditora especificas para este tipo de actividad. El auditor de sistemas de informacin empieza a ser un generalista. porque tiene que ser consciente d e que los sistemas de informacin son un punto clave en una organizacin".

Akmto Riwv G . A*dttarM laformnca. Ediciones Dlu de Sanios. S. A.. Madnd. I9KK. ptfgirm tyu. Almeta Uiez. B . "La importancia rean** en auduota". en Partida IXMt. n *7J. diciembre 19%. " ToiriAo. Mirm. Contornen Je afertura en el Sentan A stuta de kn Sntemai de Incemac: ) Controi Interno (AUDISI'2000). orgaMudo por latonniCKO* Europeo* Esperto*. Madnd. MmoSOOO

www.FreeLibros.me
CAPTULO 21 II. CONTRATO Df- AlDTTORlA <05 Otra cuestin (rauda e n la doctrina e s la del desistim iew o del audtor. Entre las cautas que pueden considerarse suficientes destacan la im poubilidid fsica de cumplimiento del contrato, la necesidad de atender a otro* deberes, las causas de incompatibilidad, la perturbacin de las relaciones de confianza entre el auditor y los administradores de la sociedad auditada o los incumplimientos d e les deberes de cooperacin por parte de la sociedad. En cada uno de los casos habr q u : dilucidar su procedencia o improcedencia a efectos de delimitar, entre otra, cosas, las comecuencias jurdicas de dicha terminacin unilateral del contrato1 ''. lu responsabilidad del auditor es o tro tema polmico en la tk c trina. en la Resolucin del ICA C de 18 de junio d e 1999 se somete a informacin p lk a . por seis meses, U Norma Tcnica de Auditora sobre errores e irregularidades" cuyo objeto es establecer los procedimientos que el auditor tiene que aplicar cuando detecta, y en su caso informa, errores e irregularidades que pudieran existir en los estados financieros objeto de su auditora as como delimitar su responsabilidad. La norma d stingue entre irregularidades, com o actos u omisiones intencionados o negligentes cometidos por el personal de la empresa o por terceros que alteren la informacin cotxenida en lo* estados contables, y errores, com o actos u omisiones n o intencionados ju e asim ismo alteren dicha informacin. C uando se derivase la posible existencia d e errores c irregularidades, el auditor debe evaluar sus efectos potenciales en las cu:nU s anuales, y comunicar a la direccin, tan pronto como sea posible, su existencia. La norma propone que informe del asunto a un nivel superior al de las personas presuntamente implicadas y. cuando los ltimos responsables de la gerencia estn tambin implicados, el auditor deber obtener el adecuado asesoram iento legal. En 1999 se ha creado una subcomisin que ha iniciado el estudio de la modificacin de la Ley de Auditora de Cuentas. Entre las demandas ck los auditores destaca la necesidad de delim itar la responsabilidad del auditor. Los auditores opinan que el carcter ilimitado y solidario de su responsabilidad e s excesivo, y as lo confirma el borrador de la Ley d e Sociedades Profesionales que introduce esta reivindicacin y exime de responsabilidad a aquellos socios de la firma de auditora que no hayan firmado el informe. En la actualidad, a tenor d e lo depuesto en el artculo 11.2 de la LAC, un demandante puede actuar solidariam ente cortra cualquiera de los socio auditor* do una firma* . Para terminar, queremos hacer referencia a una figura que e s ti gam ndo una gran aceptacin en la doctrina, en las organizaciones especializadas y. en definitiva, en la profesin: los Com its de Auditora. El objetivo del com it e s contribeir a la mejora

" lglru brida. J L . "La renooda al carjo del *u&x de cocal: nm m iaK m JaoiAcMivas y cnuecuencw jurid* de la renuncia", en Keviua Crinen de t>rreeho IxmMuxrto. n*622. aa>juo I9M. nipitu 1501 y o . Almcla Kc/, B. *Novtd*]esen Audrtcriaen PartidaDMe.n* 107.enero2 0 pigma 76y .

www.FreeLibros.me
a: Ai'prTtmlAiNKmMncA un enfoque wtAcnco
de la gestin corporativa y garantizar la asuncin de responsabilidades oportunas sobre el control interno11. Segn se desprende de los informes de renombrados com its o comisione* de expertos en relacin con estudios llevados a cabo sobre esta materia, tos Comits de Auditoria constituyen una pieza clave en el cumplimiento de las responsabilidades de vigilancia que tos Consejos d e Administracin tienen sobre la informacin financien que las sociedades facilitan a sus accionistas y a terceros, sobre los controles internos que tienen establecidos y sobre tos procesos de auditoras, tanto internas como externas. Un Comit compuesto exclusivamente de miembros independientes y sin responsabilidad ejecutiva alguna, redundara necesariamente en una mejor supervisin de las actividades de la sociedad, lo que se traducira en una mejor defensa de los intereses de los accionistas., presentes y futuras, as com o d e terceros interesados en la buena marcha de la sociedad. I-os Comits de Auditora de los Consejos de A dministracin son exigidos por la Bolsa de Nueva York como requisito pora admitir una sociedad a cotizacin y para que puedan seguir operando las sociedades ya admitidas. Del mismo modo, ta i Comits de Auditora han sido recomendados por el Informe Cadbury".

27.3.3. Terceras personas

La informacin financiera ha ampliado su campo de comunicacin en el sentido de que ya no interesa slo a los accionistas o propietarios de la empresa, sino tambin, en la medida en que ha atendido a las implicaciones de la responsabilidad social, ha ampliado la audiencia a la que va dirigida dicha informacin. As pues, el actual concepto de usuario ya no se refiere slo a propietario, sino que se extiende a todos los interesados en la actividad empresarial, entre los que se encuentra la colectividad en general1'. As se se fula en la Sentencia del Tribunal Superior de Justicia d e Madrid n* 41$ d e 4 de mayo de 1994 ya citada: la auditora de cuentas es un servicio que se presta a la empresa revisada y que afecta e interesa n o slo a la propia empresa, sino tambin a terceros que mantengan relaciones con la misma, habida cuenta que todos ellos, empresa y terceros, pueden conocer la calidad de la informacin econmico-contable sobre la cual versa la opinin emitida por el auditor d e cuentas". En la declaracin "A Staiement o f Basic Accounting Theory en 1966 de la American Accounting Asxociation. en que por primera vez se hace una referencia Rtmrtt, J . La cotamSn t auditoria", ca livrttim y Profrrio. n* IS9.199. pgina 115 y as 111pti Ccartbarro. J L . TropoevUn para utu mo*fkactfa de la Ley de Auditoria t Cuerna". t SWiida ftakU. n* 71. octutee I*.. p*uia 42 y u Lan Lata. L . "Una aueva Ley de Auditoria, de iodo y para K4'\ ca Ponida DoNt. * 9*. noviembre 1998. p(inat44 y u

www.FreeLibros.me
CACHILO 27 H.CXXSTHATOPt. AUlM TORlA expresa a la funcin social de la contabilidad, se establecen los objetivos de la informacin contable, uno de los cuales es facilitar las funciones y controles sociales, y asi comienza la contabilidad a ser considerada com o un medio a travs, del cual la sociedad puede ejercer su funcin d e control sobre las unidades econmicas. Si se aade a esta funcin social el carcter de bien pblico de la informacin contable emitida por un auditor independiente, entonces aparece la asuncin d e una responsabilidad social por parte del auditor com o garante de la fiabilidad d e dicha informacin'4. La diferencia de expectativas alude al desacuerdo entre k> que esperan los usuarios de la auditora y lo que ofrecen los auditores, teniendo e n cuenta, adems, que el tipo de auditora que necesita la sociedad depende, en cada momento, del tiempo y del entorno concreto. En la literatura anglosajona se ha denominado diferencias en Las expectativas de la auditoria" (aw iit expectations gap}. o lo que e s lo mismo, las diferencias existentes entre lo que los usuarios esperan d e la auditora y lo que los auditores consideran que es su trabajo'-'. Aunque el fenmeno del gap d e expectativas tiene un alcance mundial, e s en Europa donde ha alcanzado su mayor virulencia. Com o prueba de la inquietud despenada, la Comisin de las Comunidades Europeas promovi un estudio sobre la funcin, posicin y responsabilidad civil del auditor legal, que fue llevado a cabo por el M aastrkht Accounting and Auditing Research Cerner (M A R O , para conocer cmo era tratada la auditora legal en la legislacin de los estados miembros, publicado en 1996. La Federacin de Expertos Contables Europeos por su parte public en enero de 1996 un resumen de recomendaciones desarrolladas por ella com o resultado de la investigacin llevada a cabo acerca tambin de la funcin, posicin y responsabilidad civil del auditor legal en la Unin Europea. Posteriormente, en octubre de 1996. la Comisin de las Com unidades Europeas public su libro verde sobre los mismos aspectos que los tratados en el informe MARC y en el estudio d e la FEE. y organiz una conferencia en Bruselas en diciembre de 1996 para debatir sobre los mismos. Adems, en 1992 se haba publicado el informe Cadbury sobre los aspectos financieros del gobierno de las sociedades en el Reino Unido, y las ocho mayores firmas internacionales de auditora crearon en 1993 e l "G rupo Europeo de Contacto" para considerar de qu forma la profesin contable en Europa poda responder al txprctation gap. asumiendo que la profesin debera cambiar en cuanto a sus actuales enfoques y alcances si se pretendan reducir las diferencias en las expectativas' . Para terminar este apartado, quisiramos sealar que sta no e s una tendencia exclusiva de esta actividad. En la literatura empresarial m is reciente se ha acuado el '' Piada l-urcn/o, I. M . l a inpmiih h liJ en lak a ii", en Tftnnt nmtiMr. tomo 4ft. 19*4. pginas 225 ) 11 Careta Bromi. M A. y Vivo Manine/. A . \( fu t e<ra la tocicdad de ta aaSiixi*". re T/fnu n ronfoMe, rT eitrauciurw. IWS. pignat 1 7y x x * Lpe* Cccaham. J. 1-. "ftefleoac* obre algu pumo relacionados ce la auditor". e ta m *! DoNf. S5. enero 1998. pgina 24 y * * .

www.FreeLibros.me
bit AlPfTORlAIXHM UHTICA t'NHSOQt)KPRCTKTI cau
trmino le s ta k eh o id tn . o interesados, ms concretamente apostantes. Se apunta con cta denominacin, que recuerda sin duda a Ion tradicionales primero interesados o accionistas (thareholdtrs o stockholdtrs). que existe un modelo d e "base ampliada" en el que es necesario que toda organizacin vea a los nuevos miembros, que en la literatura gerencia! norteamericana se asimila a todo los ciudadano porque se considera que e l negocio de su pas e s la empresa. A l menos e s posible identificar cinco grupos de "interesados" o depositarios de dichas apuestas": los accionistas, los empleados, los dientes, las comunidades locales y la sociedad e n general. Podramos incluso detallar an ms e incluir a los mediadores y distribuidores, a los proveedores, a los com petidores a las instituciones financieras o los medios de comunicacin .

27.4. O B J E T O D EL C O N TR A TO DE AUDITORIA INFORM TICA

Entendemos por objeto del contrato le auditora, tras la explicacin previa sobre la naturaleza jurdica del mismo, la definicin y clasificacin que hemos presentado com o tales en la introduccin le capitulo, y n o la pura y sim ple emisin del informe de auditora que constituye en esencia la fase final de dicho contrato y n o el resultado del encargo que lo caracterizara, de ser asi. como dijimos, com o contrato de arren damiento de obra. A pesar le su inexistencia en la regulacin nacional actual, sobre todo comparacin a la existente en la auditora de cuentas, el objeto d e un contrato auditora informtica est ampliamente disersificado y se encuentra en un perodo auge inusitado que requiere d e esfuerzos dogmticos importantes para estructuracin. en de de su

Esta inexistencia legal, pues las referencias normativas que se quieren encontrar, si bien conceptualm entc encuentran su calificativo idneo en el trm ino informtico, especifican en todo momento la realizacin de una auditora, a secas, sin calificativos, choca de una manera frontal con la espectacular amplitud de reas de conocim iento y de gestin empresarial que cada vez ms se ve abocada a controlar y con la acuciante demanda de profesionales en el mercado. T odo esto, obviamente, pasando por alto las voces discrepantes de algunos profesionales de la auditora de cuentas que reclaman la denominacin Se auditora en exclusiva relegando a las dems especialidades a adoptar la expresin le revisin o similares ^ Entre las mencionadas "cuasi-referencias legales" se encuentran el artculo 28 e) del Estatuto de la A gencia de Proteccin de Datos (Real Decreto 428/1993. de 26 de marzo), la Norma Cuarta de la Instruccin 1/1995 de la Agencia de Proteccin de '' fm Xniei Itntiixkz. I. L . fjMa pura rmpmarioi y w iiin . Ed. F-SIC. 2*rdacxVn. Madrid. 199b. pgina* 179 y a ' Lara Lara. L , *U*i mcvj lc> de Au*vU. de balm y fon todo", oj. cu.. plgin* 46.

www.FreeLibros.me
o * w _________________________________ CA ftnnxn? a.cofciKATOD:Ai'puoU fc Dato*. relativa a prestacin de serv id o s sobre solvencia patrimonial y crdito, y el artculo I? del Real Decreto 994/1999. de II de junio, por el que se aprueba el Reglamento de medidas de seguridad de los archivos automatizados que contengan datos de carcter personal. Aunque nos encontram os en un rea que por sus propias caractersticas impide el listado de un numerus elam iti de actividades susceptible*, de ser sometidas a este tipo de auditora, que. consecuentemente, en nuestra opinin, dan lugar a otros tantos subtipos de contratos especficos de auditora d e entornos informticos, pasarem os a realizar una enumeracin de las principales reas en las que se desarrolla la "inexistente" auditora informtica actualmente. E n concreto, podemos distinguir los siguientes m bitos principales en la realizacin de una auditora informtica de la que hemos catalogado como perteneciente a la auditoria jurdica de los entornos informticos''*: 1. 2. 3. 4. 5. 6. 7. Proteccin de datos de carcter personal Proteccin jurdica del softw are Proteccin jurdica de las bases d e datos Contratacin electrnica Contratacin informtica Transferencia electrnica d e fondos Delitos informticos

Todas estas reas deben ser objeto d e un anlisis d e la entrada, tratamiento y salida de la informacin en los sistemas de informacin de la empresa desde un punto de vista jurdico. Pasaremos a realizar unas breves observaciones al respecto remitindonos al captulo en concreto de este libro en donde ya se trataban en la primera edicin extensa y precisamente cada una de ellas'".

27.4.1.

Proteccin de datos de carcter personal3 1

Es quiz ste el aspecto que ms importancia tiene en relacin con la materia tratada, la Auditora informtica, pues ha tenido que esperarse hasta la plasmacin por escrito y todo el posterior desarrollo legal del derecho fundamental prescrito, entre o tro s por el artculo 18.4 de nuestra Constitucin para contar con una referencia legal, como hemos dicho cuasi-explcita, de la existencia d e la auditora de los sistemas de informacin.

*Davara Rudrijut i. M . Mamni Jt t t m *.>hormlico. Ed. Anaudi. PauTffcna. 1997. >96 Dii Pino. K . Auditora In/onxJtKa i tn<nw pfitfieo. op c u. pipita* 119y u " Datara Kotlrifccz. M . Lprotrttifa J t Jaiot en tmropa. Ed. Cnipo Asncf Equtfu. MftJrid.

www.FreeLibros.me
(M AMXTOUlA INFORMTICA UN EOOQUEFRCTICO___________________________ La actual Ley Orgnica 15/1999. d e 13 de diciembre, de Proteccin d e datos de carcter personal (LOPD ) que supone la reform a d e la anterior Ley Orgnica 5/1992. de 29 de octubre, de regulacin del tratamiento automatizado de dato de carcter personal (LORTAD) sigue obligando e n su artculo 9 a la adopcin de medidas de seguridad para los archivo*, ya no slo automatizados, que contengan dichos datos de carcter personal. F.l tambin artculo 9 de la LORTAD remita a desarrollo reglamentario para su concrecin. Pues bien, dicho desarrollo reglamentario se plasm en la prctica en el Real Decreto 994/1999. de 11 de junio, por el que se aprobaba el Reglamento de Medidas de Seguridad para los archivos que contuvieran datos de carcter personal. La nueva LOPD mantiene vigente este Reglamento, tal y como prescribe en su Disposicin Transitoria Tercera, FJ Reglamento, aplicable por lo tanto, clasifica e n tres los niveles de seguridad (bsico, medio y alto) a los que hay que someter a los archivos dependiendo del grado de sensibilidad de los datos de carcter personal alm acenados. En concreto, e exige una auditora al menos bianual pora todos los niveles excepto para el bsico. Entre todos las medidas cuyo cumplimiento se exige que se controle, destaca el procedimiento de respuesta y registro d e las incidencias, el control de accesos, la constitucin de un responsable de seguridad...'2 De esta auditora, que puede ser tanto interna como externa, se obtendr necesariamente un informe del cual el responsable de seguridad elevar las conclusiones al responsable del archivo, encontrndose a disposicin d e la A gencia d e Proteccin de Datos en todo caso. Si bien es cierto que esta auditora no lleva calificativo legal alguno, no es menos cierto que encuentra en la Auditora de Sistemas de Informacin su acomodo perfecto, en la conjuncin de la auditora de seguridad de los sistemas que tratan los datos y la calificacin jurdica de los datos involucrados.

27.4.2. La proteccin jurdica del software5 3

La calificacin jurdica del softw are ha sid o objeto de discusin doctrinal, porque integra distintos elementos que pueden encuadrarse bajo diferentes rdenes de proteccin jurdica, unos im parables hajo la legislacin de la propiedad industrial y otros bajo la de la propiedad intelectual. La inclusin bajo esta ltima, y en concreto bajo la figura de los derechos d e autor, hace que asimilemos los programas de computador a las obras literarias, cientficas o artsticas. Com o bienes objetos d e esta proteccin, la auditora a la que se tienen que someter debe verificar e l cumplimiento de la misma, y . por lo tanto, investigar la 0(1 Fracs F.. y Ramos. M. A.. LORTAD KrgtantMO Je Secundad. Edtfione IX/ de Santos. S A . Madnd. 1999. (Apa* 163 y s 1 1Datara Rotfgocz. M. A . Uanital * Dtrt<ho tnfonmitko. op. d i . plfinxs 103 y si

www.FreeLibros.me
CAHnXOt7: EL CWlKATOOe AUDITORIA 6 31 legalidad del software utilizado en dichos sistemas. evaluando el riesgo que se corre por permitir la ilegalidad, el "pirateo**, y cuantificando monetariamente hablando el diferencial existente entre dicho riesgo y el coste de implantacin y control de todos y cada uno de los programas utilizados en la entidad. Los auditores informticos tienen que eliminar los riesgos en esta rea proporcionando de este modo un valor aadido a una buena gestin informtica, siguiendo los criterios expuestos, entre otros, por la ISACA en su concepto de Valu for Auditing Money para una mejor gestin y control de las licencias de softw are. En particular, se pueden concretar los riesgos que conlleva la realizacin de copias no autorizadas de softw are original como son las sanciones y multas, los problemas tcnicos, la inexistencia de asistencia tcnica, la obsolescencia tecnolgica, el impacto negativo en la calidad del software, el deterioro de la imagen empresarial y los ataques intencionales14.

27.4.3. La proteccin jurdica de las bases de datos3 5

Una base de datos es un depsito comn de documentacin, til, para diferentes usuarios y distintas aplicaciones, que permite la recuperacin d e la informacin adecuada, para la resolucin de un problema planteado en una consulta. E s decir, contiene datos, pero proporciona informacin. De nuevo nos encontramos con la figura jurdica de los derechos de autor como la adecuada para su posicionamicnto. por la carga de creatividad que conlleva. Iero. adems, surge la denominada proteccin mediante un d e re cl ir g rn tris d e las bases de datos, pues se pretende garantizar la proteccin de la inversin en la obtencin, verificacin o presentacin del contenido de una base de datos, evitando que una copta de los contenidos de una base de datos determinada sometidos a unos criterios distintos de almacenamiento, indizacin, referencias y mtodos de recuperacin constituya una nueva base de datos que quede asim ismo amparada bajo la figura d e los derechos de autor. Se establecen asim ismo como requisitos necesarios para que la base d e datos sea susceptible de dichas proteccin la existencia de un autor o autores id en tific ares y relacionados con la obra realizada y el trabajo original que ha dado lugar a dicha base de datos. En el planteamiento de los bienes y derechos objeto d e proteccin, habr que atender, de un lado, los derechos de los titulares de los documentos almacenados, de otro lado, los derechos de los productores de la base, pocs su creacin tiene tambin una carga de intelectualidad, y. por ltimo, el derecho del titular de la base a impedir la extraccin o rcutilizacin total o parcial. M(M i dt Auduort* dt Sofaturr Original, RuncM Sotove Altante. Mjtlnd. 2000. pfn 2 y Dara Rodrigue/. M. . U a u if dt Otrrtho Informtico, op. <it pigiiu IJJ y s.

www.FreeLibros.me
t ! AUMTCTtU INFORMATICA: UN ENKXX'B P*ACUCO___________________________ c*w> Pues bien, la auditora en este c a to tendr del mismo m odo que atender a los tres casos expuestos, analizando el cumplimiento para todos ello* de los controles establecidos, evitando por lo tanto copias o extracciones no autorizadas, y verificando la gestin y actualizacin por las personas competentes y autorizadas para ello. IU auditor debe en primer lugar analizar la metodologa d e distilo para determinar su aceptabilidad y luego comprobar su correcta utilizacin, drspos tendr que exam inar si los disertos se han realizado correctamente, una vez pursto en explotacin deber comprobar los procedimiento* de explotacin y mantenimiento, y finalmente deber establecer un plan para despus d e la implantacin. D d mismo modo, la formacin del personal a lo largo de la vida del producto consituye un elemento permanente e indispensable* .

27.4.4. Contratacin electrnica3 7

Entendemos por contratacin electrnica toda aquella que s: realiza por algn medio electrnico. C on la generalizacin del uso de Internet el ajge d e este tipo de contratacin empieza a ser consultable. Pero no slo esta red mundial acapara el perfeccionamiento de contratos electrnico*, aunque e s cieno que ha sido su implantacin la que ha relegado al anterior sistema EDI (Electron; Data Intcrthange) utilizado principalmente para transacciones intracmpresariales ". Hoy en da. en el com ercio electrnico concretamente, y entendido en su m is amplio sentido como cualquier forma de transaccin o intercambio d e informacin comercial basada en la transmisin de datos sobre redes de comunicacin romo Internet, se habla de la segmentacin en la utilizacin de estos medios electrnicos en tres sentidos: en la direccin empresa-consumidor final (busiiKss to consummer. B2C). en la direccin empresa-empresa (business to business B2B). y finalmente, en la direccin empresa-administraciones pblicas (business to adrainiurations. B2A). Adems podram os separar al consumidor final o usuario como artfice activo d e dicha contratacin y aftadir la contratacin entre consumidores (consuntner to consummer. C2C) y la gestin de las relaciones administrativas de los administrados electrnicamente. Podramos tambin diferenciar entre com ercio electrnico directo como aquel que consiste en la obtencin del bien o servicio ntegramente por el medio electrnico, por Punini Velthuiv M . Auditoril < Je Lu de Dolo y de lo Alm acene* de tXilot" < datiwarcbc*cI, oxiferetKia proouiKiada en Semitono Auditoria de los Siurmn de lncemi y Coecrol tatemo (AUDISI 2000). orfanindo por Intormkxoi turopeo lUpcrio Madrid, Febrero 2000 " Datara RnM[ur>. M. A.. La pnxeeetfi Je loi intereses Jet romurajor M e fui mn-ioi uuenut Je o w rr w riri ukko. fcd Cco/ederacV F.sjuAoU de Orgim/Kiooei de Anu de Caa. Convocadores y Ikuirnn (CEACCU). Madrid, 2000. plgmas }? y Del Pcvx F.. "Audiloril jurdtci de k nbxtk infcemltko- . en /(femirlii v Dereeho. n 1922.199X. pfiru 614 y u.

www.FreeLibros.me
c t w __________________________________CAPTULO27: ELCONTRATODEAUWTORlA ft ejemplo, la compra de un libro en formato electrnico, o el com ercio electrnico indirecto e n el que alguna de las actividades que perfeccionan la adquisicin del bien o v er'icio no .se realiza por medios electrnico*, ya sea el transpone, el pago o cualquier otra. En la contratacin electrnica hay que atender a tres aspectos fundamentales: en primer lugar a la inmediatez, de las relaciones, cuestin que se solventar en caso de relacin mercantil por el momento de emisin de la aceptacin y en caso de otro tipo de relacin por el momento en que llega a conocimiento del oferente, en segundo lugar a la calidad del dilogo, y excluyendo el telfono o la videoconferencia habr que asemejar la aceptacin a la hecha por correspondencia escrita en soporte papel, y. en tercer lugar, desde el punto de vista d e la seguridad. Pasamos a dedicar un especial prrafo a este aspecto. En lo que a seguridad se refiere, en las transmisiones electrnicas d e datos se busca garantizar la autenticidad, la integridad y el no repudio (en origen y en destino) de las mismas. Actualmente existe un mecanismo que puede garantizar estos extremos: la firma digital. Espaa ha sido una vez ms pionera en estos temas regulatorios de los aspectos jurdicos de la denominada sociedad de la informacin. En efecto, antes de que .se apruebe la Directiva europea sobre firma electrnica, se aprob el Real Decreto-cy 14/1999. de 17 de septiembre, sobre firma electrnica, y la Orden de 21 de febrero de 2000 aprob en su A nexo el Reglamento d e acreditacin de prestadores de servicios d e certificacin y de certificacin d e determinados productos de firma electrnica. Aunque no e s objeto d e este trabajo su anlisis exhaustivo no queremos dejar de m encionar las caractersticas ms im portantes de esta novedosa normativa. E l Real Decreto ley 14/1999 distingue entre dos clases de firma electrnica, la sim ple y la avanzada o digital. La firma digital tiene que cumplir una serie de requisitos, entre otros el ser emitida por un prestador de servicios acreditado y su eficacia jurdica es idntica a la d e la firma manuscrita. El prestador de servicios, en term inologa comunitaria ahora adoptada por la legislacin nacional que ha preferido no utilizar la calificacin de autoridad de certificacin y despojarle as d e ninguna pretendida competencia pblica, se constituye en una tercera porte de confianza, crendose el "fedatario electrnico , que puede identificar y autenticar a' las panes intervinientes. por medio de tcnicas de cifrado de claves con las arquitecturas de clave pblica o Public Key Infraestructura (PK I) que se basan en la utilizacin de algoritmos de clave asimtrica d e entre los cuales destaca el R-S.A, garantizar la integridad de los mensajes transmitidos, y asegurar el no repudio de las comunicaciones, en origen, que quien hizo la oferta lo niegue, y en destino, que quien la acept lo haga. Adems se puede a/ladir la funcin de sellado temporal en la que se cenifique focha y hora del perfeccionamiento de dicho acuerdo. N o obstante, estas funciones nicamente las puede garantizar un prestador d e servicios acreditado, pues si bien la constitucin de estos prestadores se realiza en un rgimen d e libre competencia sin que la falta d e acreditacin puesta conllevar la inexistencia de tal prestador, slo los acreditados podrn expedir certificados reconocidos que lleven aparejada dicha firma digital que tiene plenos efectos jurdicos.

www.FreeLibros.me
W AlDTTOtlA IMOftMTlCA; l'S EMOQtai MtCTICO____________________________OU4B Desde el pumo de vista de Ion controles a los que se puede someter este tipo de contratacin se requiere un axesoramiento tcnico para que la redaccin jurdica se adece a la ingente potencialidad de la herram ienta utilizada que hace que la mera traslacin de las categoras conceptuales tradicionales al medio virtual no sea posible sin el previo sometimiento a unas especificaciones y aclaracin d e todo punto imprescindibles en virtud del modo de perfeccionarse e u o s contraros que. sin ser un elemento esencial com o hemos mencionado para los restantes tipos contractuales, se hace necesario por las consecuencias jurdicas q u e se pueden derivar de su inobser vancia. E s decir, la aparicin de estas nuevas form as de contratacin, traspasa las fronteras de la mera forma para constituirse en elementos definitorios de cuestiones tan relevantes en la prctica contractual com o la delimitacin y en s i caso exoneracin de responsabilidades, la prestacin de garantas o la divisin d e obligaciones entre las partes que no pueden sin m is asemejarse a las categoras convenc ocales, entre otras cosa* por la globalizacin y por tanto interseccin de legislaciones nacionales. Ni siquiera los trminos tradicional mente constituidos en usos del conercio. que segn nuestra legislacin mercantil tienen carcter d e fuente de Derecho son absolutamente trasladables a este entorno, y ejemplo claro de ello es el intento de definicin de unos "c-tem is", en una clara regulacin paralela a los utilizados y reconccidos incoterms en el trfico mercantil internacional.

27.4.5. La contratacin informtica*9

Definindola como la contratacin de bienes o servicios informticos. Bienes informticos son todos aquellos elementos que forman el sistema en cuanto al hardware, ya sea la unidad central de proceso o su perifricos, s como todos los equipos que tienen una relacin directa de uso con respecto a ellos y que. en conjunto, conforman el soporte fsico del elemento informtico. Asimismo, se consideran bienes informticos los bienes inmateriales que proporcionan las rdenes, datos, procedi mientos e-instrucciones en el tratamiento automtico d e la informacin y que, en su conjunto, conforman el soporte lgico del elemento informtico. Los servicios informticos son todos aquellos que sirven d e apoyo y complemento a la actividad informtica en una relacin de afinidad directa con ella. Podemos dividir en dos grandes grupos diferenciados: res pee al objeto, debido a las caractersticas especiales d e lo s distintos objetos sobre los que pueden versar extos contratos, y respecto al negocio jurdico, debido a que los cottratos informticos ms comnmente realizados se han llevado a cabo bajo in a figura jurdica determinada (compraventa, arrendamiento financiero, mantenimiento, prstamo...) en

* Diva* Rodrigue?. M .

<t Oernho InformJnto. op t i ! . pljira 191 y t.

www.FreeLibros.me
CAPlTl'I.O 2 1 :FJ. CONTRATO PE ACPT<)lA U que han encontrado acomodo pero que en casi lodos los casos ha sido necesario adecuar. U contratacin <le bienes y la prestacin de servicios informticos n o tiene una calificacin uniforme para situarla en un modelo o tipo d e contrato. Los contratos informticos estn formados por elementos tan dispares que exigen la m ezcla o unin d e dos o ms tipos de contratos. Asim ismo, el desconocimiento por e l usuario, en trminos generales, de las posibilidades y lm ites de la informtica, hace que no todo e n el contrato pueda estar basado e n el principio de autonoma de la voluntad de las panes. En muchas ocasiones son contratos de adhesin, en los que una de las pones fija las clusulas del contrato y la otra se adhiere a las mismas, sin tener posibilidad de modificar ninguna de ellas. I-a contratacin informtica resulta extremadamente complicada en la redaccin d e los contratos y en la fijacin de los derechos y obligaciones d e las panes. A ello hay que aadir la inexistencia de una normativa adecuada a los mismos y la dificultad en la fijacin del bjeio cuando son contratos complejos. Se deben redactar teniendo en cuenca un equilibrio de prestaciones y evitar en lo posible la existencia de clusulas oscuras. Y es aqu, de nuevo, donde la figura del auditor informtico cobra toda su importancia asesorando c implantando en dicho acuerdo los requisitos tcnicos y los trminos especficos que delimitan y concretan los aspectos imprescindibles cuyo cumplimiento debe ser objeto de los controles a los que se someta este tipo de contratacin cuyas particularidades requieren un ascsoram icnto especializado y experto.

27.4.6. Transferencia electrnica de fondos4 0

Este es un tema comn a la contratacin electrnica, a la proteccin de datos de carcter personal y al pago electrnico. En concreto este ltim o adquiere una relevancia en la prctica inusitada y en constante crecim iento. Esta relevancia y sus particularidades justifican su tratamiento independiente. N os referirem os en concreto a los medios de pago electrnicos ya conocidos, esto es. las tarjetas de crdito y de iVhlrt. o rl ruin p.-irlirulnr I xuvtwUs a un rtrl^rmifinrln ntaMnminiln mercantil pora la realizacin de compras en el mismo, y slo mencionamos aqu el naciente fenmeno de los micropagos y del dinero electrnico propiamente dicho y de las consecuentes entidades emisoras de dinero electrnico. N o obstante, y dado que una ve* ms tenemos que recordar el objeto de este captulo, no es ste el lugar donde analizar las fases de la transferencia electrnica de fondos, ni los derechos y obligaciones de las distintas panes implicadas, el emisor del instrumento de pago y el usuario, ni la nueva situacin de desequilibrio derivada de la

" IXnu i R<iripuc/. M A . Manual <UDrmho tnformAtKO, ap. rrt . pigmjn 237 y u.

www.FreeLibros.me
Mt AUDfTORlA INFORMATICA UN fcNK)QC.'li HtACtlCO utilizacin de nuevo de kw contratos de adhesin, ni la confidencialidad ni seguridad de los dalos de carcter personal involucrados, ni la delimitacin de las responsabilidades y riesgos existentes en el uso d e este medio d e pago. La tarea especifica de este mbito para el auditor informtico, aparte de la posible y probable interseccin de alguno de los otro* mbitos especificados, reside en la comprobacin de la inieropenibilidad entre los sistemas de lectura de las tarjetas y las redes de comunicaciones.

27.4.7. El delito informtico4 1

ste es un tem a debatido en la doctrina tanto en su definicin, ms all, en cuanto a su existencia legal, como en su clasificacin. De un lado, los elementos integrantes d e la definicin estricta de delito en la doctrina crim inalista, son difcilmente cnconirablcx e n la utilizacin de medios informticos, en su ms amplio sentido, en la comisin de ilcitos. De otro lado, en la clasificacin de todas las acciones ilegales dolosos instrum entali/adas d e este modo tampoco existe unanimidad Parece claro que son los fraudes los que ms importancia cualitativa y cuantitativa encuentran dentro de este delito. Peto tampoco en la ordenacin d e los mismos se especifica una seleccin nica. A modo de ejemplificacin. baste enumerar los virus informticos, la actuacin de los llamados piratas informticos, o el mero robo y otras acciones fsicas similares contra los elementos fsicos y lgicos de los equipos informticos, donde destaca sobremanera, la piratera del software ya mencionada ms arriba*'. Com o no es el objeto d e este capitulo el desarrollo intenso de este tema, remitimos de nuevo a la parte especfica de esta obra donde se detalla su contenido y pasamos a intentar circunscribir el mbito d e la auditora de sistemas de informacin con relacin al denominado delito informtico. La intervencin del auditor informtico reviste aqu, sin lugar a dudas, una especial utilidad. Si. com o hemos mencionado, en cuanto a los errores c irregularidades detectables en la auditora de cuentas tiene un deber de diligencia y cuidado profesional que determina su comunicacin a la empresa auditada, en cuanto a la deteccin de delitos existe una prescripcin legal que, por la experiencia y profes tonalidad, del auditor le constituye en el sujeto idneo para no slo la constatacin de estos delitos sino tambin para ayudar en su delimitacin conceptual a efectos de su inclusin en una u otra categora, otorgndole, por otra parte, por estas mismas consideraciones una especial responsabilidad en dicha deteccin.

www.FreeLibros.me
QK**>_________________________________ CAPTULO!lgCOfZmATOCCAUDfTORU t i l

27.5. C A USA
Para terminar con el anlisis d e los elementos esenciales de iodo contrato, pasamos a examinar la causa del contrato de auditora. De todo lo anterior cabe deducir que la exigencia LEGAL de la Auditora de los Sistemas de Informacin en la actualidad es. en puridad, nula. No e:iMc ni una sola disposicin de ningn rango que determine la realizacin de una auditora de estas caractersticas. No obstante, toda la actual regulacin en materia de proteccin de datos de carcter personal aconseja y suena a su imposicin. No cabe, hcrmenuticamente hablando, la posibilidad de que se est refiriendo en este cuerpo normativo a una auditora de las convencionales". A parece, de este modo, la "figura legal" de la Auditora Informtica, si se opta por no someterse a la literalidad de la Ley. en cuyo caso conducira a la nica auditora existente por el momento a efectos de reconocimiento legal: la auditora d e cuentas, y acudir a la y a tradicbnal y aceptada corriente de interpretacin del espritu de la norma, a efectos de conseguir una conclusin ms adecuada y realista, que lleva ineludiblemente a la iceptacin de la Auditora Informtica como la idnea para este anlisis. Por lo tanto, e s posible, en nuestra opinin, concluir que la causa puede tener en este contrato, dentro de su licitud, sus dos orgenes: de un lado, partiendo de la autonoma de la voluntad, principio rector en materia de Derecho contactual prescrito en el artculo I2SS del actual Cdigo Civil, puede ser solicitada a simple voluntad de la empresa auditada, y. de otro lado, com o cumplimiento de la exigencia legal prevista en la normativa de proteccin de datos de carcter personal y en concreto en el artculo 17 del Reglamento de Seguridad.

27.6. EL INFORME DE AUDITORA

El informe de auditora constituye el producto final del trabajo de auditora y la nica documentacin que va a llegar a quien la ha encargado. Sus objetivos principales consisten en permitir al que revisa entender el trabaje realizado, las circunstancias que afectan a i fiabilidad y las conclusiones del aulitor. as como prevenir una interpretacin errnea del grado de responsabilidad tsum ido por el auditor1 . El informe debe estar escrito e ir firmado. En l deben constar los antecedentes, el objetivo del proceso de auditora, las posibles limitaciones, y un resumen para la

www.FreeLibros.me
M AlrortOHlA INFORMTICA: UNIJOOQUi fUCTICO___________________________ m m Direccin en trminos no tcnicos. En cada punto debe explicarse por qu es un incumplimiento o una debilidad, y alguna recomendacin. Ha de discutirse con los auditados antes de emitir el definitivo. En algunos casos incluso se pueden recoger las respuestas de los auditados**. El informe de auditora de cuentas anuales, obligatorio para ciertas entidades que cumplan unos determinados parmetros, e s un docum ento donde se pone de mani fiesto la opinin del auditor, respecto de la fiabilidad de la informacin contable auditada, d e manera que cualquier tercero pueda valorar dicha informacin y. en vu caso, lomar decisiones sobre la base de la misma con autntico conocimiento d e causa. Estas caractersticas son. de nuevo, aplicables al informe consecuente de la realizacin de una auditora informtica. U n informe debe constar d e las siguientes panes: ttulo, destinatario (a quin va dirigido y quin efectu el nombramiento), identificacin de la entidad auditada, prrafo de alcance (N T utilizadas y excluidas en su caso), prrafo de comparabilidad (respecto a ejercicios anteriores), prrafo d e salvedades (detallando su efecto sobre las cuentas anuales o su naturaleza), prrafo de nfasis, prrafo de opinin (especialmente recalcando el principio general contable de representacin d e im agen fiel), prrafo sobre el informe de gestin, firmas y fecha (que coincida con la de terminacin del trabajo en la oficina de la entidad auditada)*'. Para que el auditor pueda transmitir de form a satisfactoria su trabajo a los colectivos interesados, el informe de auditora debe ser un documento que ha de ser ledo y comprendido sin que los lectores encuentren dificultad o dudas en la interpretacin del mensaje que contiene. En trminos generales, se ha producido un rechazo al informe corto y la aceptacin generalizada d e su alargamiento, de nuevo como una forma ms. entre otras cosas, de acortar el tan nombrado g ap de expectativas*'.

27.7. CON CLUSION ES

Estas conclusiones tendrn do partes diferenciadas: En primer lugar, extraeremos los puntos ms resaltables en cuanto a los elementos del contrato analizado, y despus pasarem os a realizar un ms extenso anlisis de la situacin actual normativamente hablando de la auditora informtica, pues e s en este punto donde encontramos que se debe hacer hincapi a la vista d e lo estudiado anteriormente.

Rinus Gnuifc/. M. A . Aixtawa infcnnitiu. en IxfionMuca y Drmho. n* 19-22. 199. 65? y . *' Ltyv/ Crrale. K. "Cumplimknlu de lm nomsts tcnicas en t*m u ta dt informe- . en l'aitrd M r. n*'H. r.y. itrrixe 1993. (Ugius 68 y u

www.FreeLibros.me
C A P tnxo:? ll cotohato p e a iix to k u 6 El contrato de auditora informtica, com o todo lo que afecta a la regulacin jurdica de las Nuevas Tecnologas de la Informacin y las Com unicaciones, no ex algo que ve encuentre delimitado. La inseguridad jurdica es palpable. El objeto propio de esta contratacin, adems de su multiplicidad, se caracteriza por la dificultad de su configuracin jurdica. La profesin d e auditor informtico, apae de su falta de regulacin, sufre, entre otras cosas, d e intrusismo profesional y d e extralimilacin de sus funciones. 1.a empresa que solicita una auditora informtica suele tener dudas en cuanto a su objeto y a su resultado. Ij diferencia de expectativas es aqu mayor porque ni siquiera se tiene claro lo que se espera, pues se espera todo, se espera una solucin, no una deteccin d e los problemas. En cuanto a los terceros, menos claro tienen an la existencia y delimitacin d e la figura. Por otra pane, la causa, como hemos visto, es escasamente legal en cuanto a periodicidad en la obligacin. No vamos a abandonar en este ltimo apartado el obligado, esperam os que no por mucho tiempo, esquema comparativo respecto a la auditora d e cuentas que hemos venido siguiendo, y. por lo tanto, nos aprovecharemos del anlisis de la situacin actual de la misma e intentaremos sintetizar los puntos m s relevantes para basar nuestras "reivindicaciones. Comencemos por resaltar una vez ms lo novedoso de su normativa. Slo a partir de la LAC (1988) se regula por primera vez la profesin de auditora de cuentas, determinndose quin puede ser auditor de cuentas, cmo debe actuar el auditor de cuentas en el ejercicio de su profesin, los plazos para la contratacin, e l rgimen de incompatibilidades y las responsabilidades y mecanismo sancionado. Para una profesin que se remonta a los orgenes de las civilizaciones ms antiguas, resulta cuando menos llamativo. Pero adems, la auditora tiene an pendientes numerosos problemas que afectan u n to al contenido de sus normas de trabajo, com o al alcance del mismo, o a la forma de su expresin como actividad profesional. Temas com o la autorregulacin profe sional. la unificacin de criterios, la incemacionalizacin de los principios contables, conceptos como los de empresa en marcha, importancia relativa, fraude e ilegalidad, la compatibilidad de las funciones de auditor profesional y la consultora. sobre los procesos de concentracin, las relaciones con las autoridades, los controles deontolgicos. o la calidad del trabajo. Tambin es necesaria una normativa comn europea sobre aspectos relacionados con la independencia y objetividad del auditor, las reglas de contratacin, las responsabilidades cxigiMex, los seguros de responsabi lidad profesional, y el rgimen de control y supervisin y de sanciones aplicables por oooductas im propias4'.

Snchez Fdez. t ViWnnnu. I L . judiiorU en el coateu econRKO k*mT. m J/.nKu ConuNr. n*lroftkftjr>o. 199, pgin 37 y n

www.FreeLibros.me
6*0 AUDITORIAINFORMATICA: UN EXFOQC'E mXCTKO Apoyando c s u afirmacin, como hemos visto, el Libro Verde sobre la funcin, posicin y responsabilidad civil del auditor legal e n la Unin Europea4*, publicado por la Comunidad en 1996. pone de manifiesto la necesidad de homogeneizar el ejercicio de La auditora en aspectos como su definicin, la forma y el contenido del informe, la independencia del auditor legal, la fo m u de realizacin del control de calidad, la responsabilidad del auditor legal... en orden a establecer las bases que permitan el desarrollo del mercado interior de los servicios de auditoria. F.1 Parlamento Europeo, por su parte, analiz el citado Libro Verde y aprob una Resolucin en enero de 1998 en la que consideraba, entre otras cosas, la necesidad d e concretar los objetivos mis inmediatos, la idoneidad de la constitucin d e un su be o m it tcnico, la necesidad de armonizar el ejercicio de la auditora en la UE resaltando la relevancia d e las normas profesionales, la independencia del auditor y el ejercicio del control de calidad, la responsabilidad civil de los auditores, aconsejando la suscripcin de un seguro mnimo... En resum en, que para que se desarrolle el mercado interno de los servicios de auditora es imprescindible que se disponga de un modelo com n de organizacin de la actividad. La Com isin Europea, como continuacin del anterior anlisis del Parlamento, present un documento denominado L a auditora legal en Europa: el camino a seguir, donde se especifica que el fin d e proteccin del inters pblico, el aumento de la arm onizacin de la informacin financiera y el incremento d e la fiabilidad de la misma convierten a la auditora en un elemento importante para el establecimiento y funcionamiento del m ercado nico. La Comisin es consciente de la falta de unanimidad sobre la funcin, posicin y responsabilidad civil del auditor legal y de la necesidad de adoptar un modelo comn que a su vez respete los estndares internacionales en la ejecucin del trabajo, en la emisin d e la opinin y en los controles establecidos para mejorar la calidad de los citados informes4. En definitiva, si una profesin u n antigua com o la auditora convencional adolece de u n ta s imperfecciones legales, con tantos problemas y aspectos sin definir y con extremos tan absoluum cntc indefinidos, y dado el muy superior ritm o de crecim iento c importancia de la auditora informtica, entendemos que ya se est a un nivel de importancia, aunque sea pretendidamente soslayada, y de presencia real de la profesin, como para reclam ar el reconocimiento d e una identidad y particularidad. As. en un futuro cercano esperam os tener que dejar de realizar anlisis comparativos nada satisfactorios en el estudio de las caractersticas originales y propias d e esU profesin. "Aprovechemos", pues, las sim ilitudes existentes y la indefinicin legal que sufre en muchos puntos la auditora de cuentas para comenzar un proceso normativo propio que delimite la figura de la auditora de sistemas de informacin en todos sus aspectos: desde los subjetivos, definiendo el perfil del auditor informtico, h a su los objetivos. Libro Ver*. /mcMi. pourin y mpomtaMida <rl del oydOoe te**) en h <M*| Ovnpea (96021/01) * C teM Cifu. A.. "Miimo in iitiu n o de la U y de Auditora de Coceen". cu t'arrtJa OobU. oilmen) W. novvcmtre 199ti. pipan 4 ) u.

www.FreeLibros.me
*__________________________________ CAFfTtlO?7:ELCONTKATOPCAUPnOWlA 641 en o anlo a la regulacin legal principalm ente, y los instrumentales u organizativos. E s preciso lograr una regulacin, del tipo que sea. propia y del imitadora, declarativa que no constitutiva. Je lo que e s una realidad creciente en nm ero c importancia: la profesin de auditoria informtica.

27.8.

L EC TU R A S RECOM ENDADAS

D atara Rodrguez. M. .. M anual de Derecho Informtico. Editorial Aranzadi. Pamplona. 1997. U i proteccin de los intereses d e l consumidor ante los rutews sistem as de comercio electrnico. Editorial CEA CCU. Madrid. 2000. Ramos Gonzlez. M. A., La auditora informtica, en A ctualidad Informtica Aranzadi. n 14. enero de 1995. VV.AA.. Del Peso Navarro. E. (Director). M anual de dictm enes y peritajes informticos: A nlisis de casos prcticos. Ediciones Daz de Santos. Madrid. 1995. VV.AA.. Del Peso Navarro. E. y Piattini Vclihuis. M. G . (Coordinadores). Auditoria informtica: un enfoque prctico. Ed. Ra-Ma. I* edicin. Madrid. 1998.

27.9.
1.

C U ES TIO N ES DE REPASO
Comparativa entre las definiciones legales- de la auditora de cuentas y la auditora de sistemas de informacin. Cul e s la naturaleza jurdica del contrato de auditora? Por qu? Las Normas Tcnicas de Auditora. Auditora interna frente a Auditora extem a en sistemas de informacin. Las terceras personas o interesistas y la informacin en el contrato de auditora. Utilidad de los Com its de Auditora. Distintos objetos en el contrato de auditora informtica. La auditoria en la proteccin de datos de carcter personal. La causa en el contrato de auditora.

2. 3. 4. 5.

6. 7. 8. 9.

10. Caractersticas del informe de auditora.