Auditora informtica del Software.

1.- Introduccin. La auditoria informtica es el conjunto de tcnicas, actividades y procedimientos, destinados a analizar, evaluar, verificar y recomendar en asuntos relativos a la planificacin, control, eficacia, seguridad y adecuacin del servicio informtico en la empresa, por lo que comprende un examen metdico, puntual y discontinuo del servicio informtico. Tradicionalmente, en el entorno del proceso de datos, cuando se habla de software, de un modo genrico, se est haciendo referencia a los programas que se ejecutan en el ordenador. Cuando se trata de auditar el software el concepto puede generalizarse ms y extenderse con la parte que no se ve de una instalacin de proceso de datos. Estos aspectos lgicos de la informtica son: software del sistema, utilidades, datos, programas, bases de datos, etc... 2.- Objetivos de la Auditora. A continuacin veremos una lista de los objetivos de la auditoria del entorno software: * Revisar la seguridad del logical sobre ficheros de datos y programas. * Revisar las libreras utilizadas por los programadores. * Examinar que los programas realizan lo que realmente se espera de ellos. * Revisar el inventario de software. * Comprobar la seguridad de datos y software. * Examinar los controles sobre los datos. * Revisar los procedimientos de entrada y salida. * Verificar las previsiones y procedimientos de back-up. * Revisar los procedimientos de planificacin, adecuacin y mantenimiento del software del sistema. * Revisar la documentacin sobre software de base. * Revisar los controles sobre programas producto (paquetes externos). * Examinar la utilizacin de estos paquetes. * Verificar peridicamente el contenido de los ficheros de usuario. * Determinar que el proceso para usuarios est sujeto a los controles adecuados. * Examinar los clculos crticos. * Supervisar el uso de las herramientas potentes al servicio de los usuarios. * Comprobar la seguridad e integridad de las bases de datos.

3.- Auditora informtica del entorno software. Software del sistema. Para un eficiente funcionamiento del ordenador y garantizar su continuidad es importante la puesta en marcha y el control de todas las modificaciones al sistema operativo, y en general, de todo el software de base del sistema. Garantizando as la no interrupcin por falta de actualizacin en las diferentes versiones que con frecuencia lanzan las casas constructoras. Tambin es necesario establecer controles y restricciones adecuados para evitar los cambios desautorizados en el software del sistema y el uso incontrolado de determinadas utilidades potentes, y que no dejan la menor huella para auditora tras su ejecucin. El auditor, revisar la forma en que se est realizando el proceso de modificacin o alteracin del software de base: es necesario que tal operacin est organizada y dotada del nivel de seguridad que requiere una operacin de esta ndole, con una correcta normativa al respecto y contemplando las oportunas autorizaciones por parte de la direccin informtica. La supervisin en este sentido es fundamental dada la propia importancia del software a modificar. Las instalaciones de proceso de datos disponen de potentes utilidades que acceden a datos y programas prcticamente sin ningn tipo de control ni restriccin, permitiendo la modificacin directa de estos al margen de cualquier sistemtica. Esto supone un gran riesgo para la informacin almacenada. Por ello se hace necesario establecer controles sobre su utilizacin. Como primera medida se catalogaran sensibles aquellas utilidades peligrosas para la integridad de la informacin (accesos a ficheros, copias de ficheros, etc...) y que, slo podrn ser utilizadas por personal autorizado. Si por necesidades de la instalacin alguna de estas rutinas deben permanecer on-line se dispondr de un sistema de passwords para su utilizacin. Al igual que las utilidades, determinados comandos del sistema deben tener un carcter de uso restringido, por lo que se examinar la correccin en la definicin de los perfiles de usuario para evitar el uso indiscriminado de tales comandos. El control de los datos. Una frase muy utilizada en informtica viene a decir que a un sistema al que se le proporcione basura a la entrada, nos dar basura a la salida. El tratamiento automtico de los datos ignora su significado y atiende tan slo a su contenido y estructura. Ello implica que el control informtico debe vigilar no slo el valor de la informacin sino tambin su forma. El control de los datos a la entrada es fundamental y en la auditora se examinar la forma en que se han establecido los

programas de control de datos en las diferentes aplicaciones productivas, verificando que, estos programas permitan detectar: * Inverosimilitudes en los datos, con lo que se captan algunas posibilidades de error. * Errores en los indicativos que estn aportando falsa informacin sobre un tem errneo o una falta de informacin sobre el verdadero. La mayora de los mtodos utilizados para este fin se basan en la utilizacin de una letra o dgito de control que se aade al dispositivo a depurar. * Errores en la zona de enunciado que, al no ser muy graves, en la mayora de los casos puede no ser necesaria su deteccin por el excesivo coste de las redundancias necesarias para tal fin. El criterio del auditor dilucidar sobre la necesidad de este tipo de control. * Errores en campos de importe que por su naturaleza deben cuidarse sobremanera. Desgraciadamente, no existen procedimientos infalibles que estn exentos de rechazar datos que s son correctos o que, por el contrario, permitan el paso a los incorrectos. Se pueden establecer test programados basndose en la experiencia previa y utilizando, por ejemplo, tcnicas estadsticas, pero sin perder de vista en ningn momento la falibilidad de estos procedimientos. * Errores por prdida de informacin. Estos fallos son ms fciles de detectar y prevenir, ya que por ejemplo se pueden programar la obligatoriedad de lleno de campos. Control peridico de ficheros y programas. Dentro del marco de seguridad integral de la instalacin hay que contemplar una revisin regular de ficheros y programas, detectando, por ejemplo, que procesos que concluyan anormalmente alteren informacin contenida en los ficheros, o que las versiones disponibles de los programas fuente son las adecuadas y no han sufrido modificacin alguna. Con el objetivo de eliminar este tipo de problemas es conveniente que en la auditora se revisen ciertos puntos: * La auditabilidad de las aplicaciones, lo que se consigue proporcionando cuadros de valores numricos, totales de registros, con indicacin de su tipo y, en suma, toda una serie de medidas que permitan un mejor seguimiento. * El procesamiento regular de los ficheros, investigando cualquier tipo de informacin que proporcione una nocin del estado de los mismos. * El cotejo aleatorio de la coherencia entre los datos contenidos en los ficheros antes y despus de su procesamiento.

* Implantacin de un software que permita un control de las versiones de los programas, impidiendo que se obtenga copia de un programa mientras no se devuelva otra copia previa y manteniendo un fichero histrico de las modificaciones. * La adecuada concienciacin ante la importancia de registros y documentos de forma que stos estn clasificados al menos en las siguientes categoras: - Vitales: por lo que deber existir una copia exterior, es decir, almacenada en un local diferente a aquel en que se asienta el centro de informtica. - Importantes: En esta caso su salvaguarda se almacenar en una sala diferente de aquellas utilizadas por informtica. - Utiles: estos registros necesitarn tambin de una copia de seguridad que se puede guardar en la propia sala del servicio informtico. Copia de seguridad. Un elemento clave en la auditora del entorno de datos y programas lo constituye la revisin de los procedimientos de obtencin de copias de seguridad. La necesidad de la obtener copias de ficheros y programas es ms que evidente y cualquier instalacin ha de intervenir unos minutos del tiempo de los operadores al final de la jornada para obtener tales copias, como mnimo de los ficheros y/o programas que hayan sufrido alguna modificacin a lo largo del da. Adems de estas copias diarias se obtendr otra con una periodicidad marcada por la propia naturaleza de los procedimientos en explotacin. Si en la instalacin auditada existen ordenadores personales bajo control directo de los departamentos de usuarios, el auditor comprobar que se han adoptado medidas segn los cuales los usuarios son conscientes de la necesidad de obtencin de copias de seguridad de una manera regular, as como capaces de obtener y almacenar dichas copias. En todo caso es necesario que los procedimientos de back-up estn debidamente documentados. Seleccin de paquetes. En un examen de este tipo, no debe descuidarse la revisin de la metodologa que tenga la empresa auditada en lo que se refiere a la seleccin y adquisicin de paquetes de software. Esta metodologa de seleccin deber incluir una evaluacin tcnica que nos asegure que efectivamente el programa que vamos a adquirir podr funcionar en la empresa y evalu los aspectos de seguridad, documentacin, mantenimiento, etc. El proceso de seleccin deber concluir con un informe detallado que incluya

todos los posibles anlisis efectuados, as como las razones que indujeron a tomar una u otra alternativa. Desarrollos con herramientas evolucionadas. Los lenguajes de cuarta generacin constituyen una importante lnea de evolucin de la informtica de gestin. Ahora bien, la utilizacin de estas tcnicas no debe hacerse perdiendo de vista algunos puntos de importancia de cara a las aplicaciones ya existentes y a los futuros desarrollos, por lo cual la revisin y seguimiento que se realice sobre el uso de estas herramientas se fijara en: * La coordinacin necesaria entre el staff de proceso de datos y los departamentos de usuarios. Se trata as de evitar el uso indiscriminado de estas herramientas de desarrollo, pues de lo contrario no sera nada anormal encontrarse con aplicaciones alternativas a las convencionales desarrolladas por informtica para solucionar problemas puntuales. * La documentacin y formacin facilitadas a los usuarios. Se trata de evitar los individualismos de los usuarios cuando estos estn realizando desarrollos valindose de las tcnicas evolucionadas que se les han facilitado. Adems de la adecuada formacin que requiere la ptima explotacin del paquete, es necesario imbuir al usuario las normas imprescindibles de seguridad y documentacin que conlleva cualquier desarrollo. * La fiabilidad e integridad de la informacin que los usuarios consiguen con estos procedimientos. A tal fin se hace necesario la implantacin de procedimientos de seguridad que restrinjan la libre disposicin de la informacin por cualquier tipo de usuario. En definitiva se trata de que el auditor se fije en la forma en que se est utilizando el software evolucionado y cmo puede esto repercutir en el nivel de eficiencia y seguridad general de datos y programas de la instalacin. Seguridades en bases de datos. Los sistemas de bases de datos soportan hoy en da los sistemas de informacin de la mayora de las empresas mecanizadas. Son, por tanto, un elemento a tener en cuenta a la hora de dictaminar sobre la situacin de la informtica de una empresa. Las caractersticas de construccin de las bases de datos motivan la aparicin de nuevos riesgos por lo que el auditor debe conocer los principios y conceptos fundamentales de diseo de una base de datos (ms concretamente del sistema de

gestin de la base de datos). Esto, de forma global y en particular obtendr una visin preliminar de la base de datos a examinar, en sus aspectos de implementacin y soporte fsicos, de administracin, etc. Principales riesgos a los que est sometida una base de datos: * Inadecuada asignacin de responsabilidades. * Inexactitud de los datos. * Prdida de actualizaciones. * Adecuacin de los audit trail. * Accesos desautorizados a los datos. * Actualizaciones en el software base. * Documentacin no actualizada. A la hora de auditar una base de datos se pueden establecer una serie de puntos a controlar, puntos con cuya revisin se conformar una idea sobre la situacin real de la base, y son: * Mantenimiento de programas que manejan datos de la base. * Controles de la validacin en la entrada de datos. * Autorizaciones de acceso * Procedimiento de manejo de datos errneos. * Objeto del procesamiento. * Datos concurrentes o compartidos. * Prevencin y detecciones de los interbloqueos. * Asignacin de funciones y responsabilidades. * Controles de salida. * Situacin del diccionario de datos. * Documentacin del sistema y de sus configuraciones * Entrenamiento del personal. 4.- Etapas de la auditoria de una aplicacin informtica. - Recogida de informacin y documentacin Sobre la aplicacin: se realiza un estudio preliminar en el que recogemos toda aquella informacin que nos pueda ser til para determinar los puntos dbiles existentes y aquellas funciones de la aplicacin que puedan entraar riesgos. - Determinacin de los objetivos y alcance de la auditoria: Es preciso conseguir una gran claridad y precisin en la definicin de objetivos de la auditoria, del trabajo y pruebas que se proponen realizar, delimitando perfectamente su alcance de manera que no ofrezca dudas de interpretacin. - Planificacin de la auditoria: en este caso es de crucial importancia acertar con el momento mas adecuado para su realizacin. No es conveniente que coincida

con el periodo de implantacin porque los usuarios no estn muy familiarizados con la aplicacin, pero al mismo tiempo el retraso excesivo puede alargar el periodo de exposicin a riesgos. - Trabajo de campo, informe e implantacin de mejoras: consiste en la ejecucin del programa de trabajo establecido. Respecto al informe se recogern las caractersticas del trabajo realizado, sus conclusiones, recomendaciones o propuestas de mejora. La implentacin de las mejoras identificadas en la auditoria. 5.- Herramientas de uso ms comn en la auditoria de una aplicacin. - Entrevistas: son de larga utilizacin a lo largo de toda la auditoria. - Encuestas: pueden ser de utilidad tanto para determinar el alcance y objetivos de la auditoria, como para la materializacin de los objetivos relacionados con el nivel de satisfaccin de los usuarios. - Observacin del trabajo realizado por los usuarios: es necesario observar como trabajan los usuarios: Puede ayudar a detectar que el trabajo final sea bueno y por lo tanto los controles establecidos sean efectivos. - Pruebas de conformidad: son actuaciones orientadas especficamente a comprobar que determinados procedimientos, normas o controles internos, se cumplen o funcionan de acuerdo a lo previsto o esperado. - Pruebas substantivas o de validacin: orientadas a detectar la presencia o ausencia de errores o irregularidades en procesos, controles o actividades internos integrados en ellos. - Uso de ordenador: es el uso de las aplicaciones software que se pueden utilizar para realizar la auditoria, los cuales son de gran ayuda para facilitar el trabajo.

BIBLIOGRAFIA. Auditoria Informtica. Gonzalo Alonso Rivas. Ediciones DAZ DE SANTOS, S.A