Conceptos de Auditora de Sistemas

La palabra auditora viene del latn auditorius y de esta proviene auditor, que tiene la virtud de oir y revisar cuentas, pero debe estar encaminado a un objetivo especfico que es el de evaluar la eficiencia y eficacia con que se est operando para que, por medio del sealamiento de cursos alternativos de accin, se tomen decisiones que permitan corregir los errores, en caso de que existan, o bien mejorar la forma de actuacin. Algunos autores proporcionan otros conceptos pero todos coinciden en hacer nfasis en la revisin, evaluacin y elaboracin de un informe para el ejecutivo encaminado a un objetivo especfico en el ambiente computacional y los sistemas. A continuacin se detallan algunos conceptos recogidos de algunos expertos en la materia: Auditora de Sistemas es: La verificacin de controles en el procesamiento de la informacin, desarrollo de sistemas e instalacin con el objetivo de evaluar su efectividad y presentar recomendaciones a la Gerencia. La actividad dirigida a verificar y juzgar informacin. El examen y evaluacin de los procesos del Area de Procesamiento automtico de Datos (PAD) y de la utilizacin de los recursos que en ellos intervienen, para llegar a establecer el grado de eficiencia, efectividad y economa de los sistemas computarizados en una empresa y presentar conclusiones y recomendaciones encaminadas a corregir las deficiencias existentes y mejorarlas. El proceso de recoleccin y evaluacin de evidencia para determinar si un sistema automatizado:

DaosSalvaguarda activos DestruccinUso no autorizadoRoboMantiene Integridad de Informacin Precisa,los datos CompletaOportunaConfiableAlcanza metas Contribucin de laorganizacionales funcin informticaConsume recursos Utiliza los recursos adecuadamenteeficientemente en el procesamiento de la informacin Es el examen o revisin de carcter objetivo (independiente), crtico(evidencia), sistemtico (normas), selectivo (muestras) de las polticas, normas, prcticas, funciones, procesos, procedimientos e informes relacionados con los sistemas de informacin computarizados, con el fin de emitir una opinin profesional (imparcial) con respecto a: Eficiencia en el uso de los recursos informticos Validez de la informacin Efectividad de los controles establecidos

El enemigo en casa: infracciones informticas de los trabajadores.

La proliferacin de las nuevas tecnologas en la empresa conlleva tambin la proliferacin de nuevos peligros. Ya no son slo los ataques y sabotajes informticos desde el exterior, sino las infracciones desde dentro, las producidas por los propios empleados, y contra las que las organizaciones son, al parecer, ms vulnerables. Hace poco ms de un mes, la firma Landwell de Abogados y Asesores Fiscales, perteneciente a PricewaterhouseCoopers, presentaba un excelente estudio titulado Actos desleales de trabajadores usando sistemas informticos, el cual merece la pena conocer con algo de detalle en estas pginas. El estudio se ha elaborado a partir del anlisis de informes, sentencias, autos y procedimientos judiciales de 393 casos reales sufridos por empresas espaolas y protagonizados por trabajadores en plantilla, durante el trienio 2001-2003; y se ha completado con entrevistas personales con los responsables de las compaas afectadas. Para empezar, el informe reconoce que se

desconoce el nivel de incidencia en el conjunto total de las empresas espaolas, ya que una gran parte de las empresas afectadas por este tipo de acciones prefieren llegar a un acuerdo amistoso y no divulgar los hechos. Las infracciones ms habituales que han sido detectadas son as sistematizadas en el estudio: Creacin de empresa paralela, utilizando activos inmateriales de la empresa. Consiste en la explotacin en una empresa de nueva creacin, de la propiedad intelectual, la propiedad industrial o el know how de la empresa en la que el trabajador trabaja. Generalmente, el trabajador constituye la nueva compaa antes de solicitar la baja voluntaria y realiza un proceso de trasvase de informacin mediante soportes informticos o a travs de Internet. Es posible que el trabajador acte aliado con otros compaeros de la empresa. Daos informticos y uso abusivo de recursos informticos. Los daos informticos se producen generalmente como respuesta a un conflicto laboral o a un despido que el trabajador considera injusto. Consisten en la destruccin, alteracin o inutilizacin de los datos, programas o cualquier otro activo inmaterial albergado en redes, soportes o sistemas informticos de la empresa. Los casos ms habituales son los virus informticos, el sabotaje y las bombas lgicas, programadas para que tengan efecto unos meses despus de la baja del trabajador. Tambin es habitual el uso abusivo de recursos informticos, especialmente el acceso a Internet. Informacin confidencial y datos personales. Consiste en el acceso no autorizado y en la posterior revelacin a terceros, generalmente competidores o clientes, de informacin confidencial de la empresa. En algunas ocasiones, la revelacin la realizan trabajadores que tienen un acceso legtimo, pero con obligacin de reserva, a la informacin posteriormente divulgada. En este captulo tambin se contempla la cesin no autorizada a terceros de datos personales de trabajadores y clientes. Amenazas, injurias y calumnias. El medio utilizado habitualmente es el correo electrnico corporativo, aunque tambin se han utilizado cuentas annimas, e incluso se ha suplantado la identidad de otro trabajador de la misma empresa. En el caso de las amenazas, se busca un beneficio material o inmaterial para el trabajador. Si el beneficio no se produce, el trabajador llevar a cabo la conducta anunciada en el mensaje amenazador. En el caso de las injurias y las calumnias, se busca desacreditar a la empresa, o a alguno de sus directivos. Tambin se han producido insultos a clientes habituales o a clientes potenciales de la empresa con el que el trabajador tena algn conflicto. Infraccin propiedad intelectual e introduccin de obras de la empresa en redes P2P. Consiste en la copia de activos inmateriales de la empresa, especialmente obras protegidas por la propiedad intelectual, con el fin de cederlas posteriormente a terceros. En los ltimos dos aos se han dado casos de difusin a travs de Internet, mediante el uso de redes de intercambio de ficheros (peer to peer). De esta manera, una multitud de usuarios acceden de forma gratuita a programas de ordenador desprotegidos, informacin o contenidos multimedia. Intercambio de obras de terceros a travs de redes P2P. Este es el caso ms habitual y se detecta generalmente en el curso de una auditora de seguridad informtica, mediante el anlisis del caudal de datos transferido por los trabajadores a travs de la red corporativa. En algunas ocasiones, se ha detectado directamente la instalacin del programa P2P o el uso de puertos tpicos para el acceso a redes P2P. Este caso es especialmente grave, ya que la empresa se convierte en proveedora directa de copias no autorizadas de msica, pelculas y programas de ordenador. Infraccin de derechos de propiedad industrial. El caso ms habitual ha sido la infraccin de marcas de la empresa mediante el registro del nombre de dominio por parte del trabajador. En algunos casos, se ha creado una pgina web con contenidos ofensivos para conseguir un mayor efecto nocivo para la empresa o para obtener una suma de dinero por la transferencia. Ante la aparicin de esta clase de situaciones, cul ha sido la estrategia de respuesta de las empresas? El informe de Landwell nos dice que la mayora de las empresas prefieren encomendar la investigacin de los posibles actos desleales de un trabajador a un equipo interno, generalmente formado por miembros del departamento de RRHH y del departamento de sistemas. Slo un 22 por ciento de las empresas que sospechan de un empleado deciden externalizar la investigacin. El tipo de investigacin depende de la intencin de la empresa de llegar a un acuerdo o plantear una reclamacin judicial. Cuando se toma la decisin de llevar la infraccin a los tribunales, la obtencin de las evidencias electrnicas se encarga a un tercero, con el fin de conseguir mayor objetividad y valor probatorio. El procedimiento de recopilacin de las evidencias debe respetar los derechos del trabajador para que sea vlido judicialmente. Una investigacin se inicia a partir de las sospechas e indicios generados por la propia conducta del trabajador, por un consumo de recursos poco usual o por el descubrimiento de los efectos de la infraccin. No obstante, Slo el 26 por ciento de las

infracciones detectadas acaban en los tribunales. El resto de las infracciones son objeto de un acuerdo privado o de una sesin finalizada con aveniencia en un organismo de mediacin y conciliacin laboral. En general, las empresas prefieren solucionar sus conflictos de forma privada y ello incide en la forma de investigar y tratar las posibles infracciones de sus trabajadores. Ahora bien, si los daos producidos estn previstos en la cobertura de un seguro, es muy probable que la empresa deba plantear una reclamacin judicial para poder solicitar la correspondiente compensacin econmica.

Caractersticas de la auditoria tecnolgica

La informacin de la empresa y para la empresa, siempre importante, se ha convertido en un Activo Real de la misma, con sus Stocks o materias primas si las hay. Por ende, han de realizarse inversiones informticas, materia de la que se ocupa la Auditoria de Inversin Informtica. Del mismo modo, los Sistemas Informticos o tecnolgicos han de protegerse de modo global y particular: a ello se debe la existencia de la Auditoria de Seguridad Informtica en general, o a la auditoria de Seguridad de alguna de sus reas, como pudieran ser Desarrollo o Tcnica de Sistemas. Cuando se producen cambios estructurales en la Informtica, se reorganiza de alguna forma su funcin: se est en el campo de la Auditoria de Organizacin Informtica o tecnolgica Estos tres tipos de auditorias engloban a las actividades auditoras que se realizan en una auditoria parcial. De otra manera: cuando se realiza una auditoria del rea de Desarrollo de Proyectos de la Informtica de una empresa, es porque en ese Desarrollo existen, adems de ineficiencias, debilidades de organizacin, o de inversiones, o de seguridad, o alguna mezcla de ellas.

Sntomas de necesidad de una auditoria informtica:

Las empresas acuden a las auditorias externas cuando existen sntomas bien perceptibles de debilidad. Estos sntomas pueden agruparse en clases:

Sntomas de descoordinacin y desorganizacin:

No coinciden los objetivos de la Informtica de la Compaa y de la propia Compaa. Los estndares de productividad se desvan sensiblemente de los promedios conseguidos habitualmente.

Sntomas de mala imagen e insatisfaccin de los usuarios:

- No se atienden las peticiones de cambios de los usuarios. Ejemplos: cambios de Software en los terminales de usuario, refrescamiento de paneles, variacin de los ficheros que deben ponerse diariamente a su disposicin, etc. - No se reparan las averas de Hardware ni se resuelven incidencias en plazos razonables. El usuario percibe que est abandonado y desatendido permanentemente. - No se cumplen en todos los casos los plazos de entrega de resultados peridicos. Pequeas desviaciones pueden causar importantes desajustes en la actividad del usuario, en especial en los resultados de Aplicaciones crticas y sensibles.

Sntomas de debilidades econmico-financiero:

- Incremento desmesurado de costes. - Necesidad de justificacin de Inversiones Informticas (la empresa no est absolutamente convencida de tal necesidad y decide contrastar opiniones). - Desviaciones Presupuestarias significativas.

- Costes y plazos de nuevos proyectos (deben auditarse simultneamente a Desarrollo de Proyectos y al rgano que realiz la peticin).

Sntomas de Inseguridad: Evaluacin de nivel de riesgos

- Seguridad Lgica - Seguridad Fsica - Confidencialidad [Los datos son propiedad inicialmente de la organizacin que los genera. Los datos de personal son especialmente confidenciales]

Centro de Proceso de Datos fuera de control. Si tal situacin llegara a percibirse, sera prcticamente intil la auditoria. Esa es la razn por la cual, en este caso, el sntoma debe ser sustituido por el mnimo indicio.