Instituto Nacional de Estadística e Informática

¿QUÉ ES LA AUDITORÍA INFORMÁTICA?

COLECCIÓN CULTURA INFORMÁTICA

_________________________________________________________ INSTITUTO NACIONAL DE ESTADÍSTICA E INFORMÁTICA Elaborado por la Subjefatura de Informática Dirección Técnica Desarrollo Informático Teléfono 433-4223 – Anexos 314– 315 Telefax 433-5568 INTERNET infoinei@inei.gob.pe Impreso en los talleres de la Oficina de Impresiones de la Oficina Técnica de Difusión Estadística y Tecnología Informática del Instituto Nacional de Estadística e Informática (INEI) Edición : Dirección, Redacción y Talleres: Av. General Garzón N° 658 Jesús María Orden :

PRESENTACIÓN El Instituto Nacional de Estadística e Informática (INEI), como ente rector del Sistema Nacional de Informática, continuando con la publicación de la Colección “Cultura Informática”, pone a disposición su Vigésimo Sexto Número titulado: “¿Qué es la Auditoría Informática?”. En esta oportunidad la publicación que se presenta como “¿Qué es la Auditoría Informática?”, pretende despertar el interés, despejando asimismo dudas e inquietudes con respecto a éste tema. Por su contenido, esperamos que sea del agrado de nuestro distinguido público lector, ya que el tema es muy interesante, debido a que la auditoría Informática es una actividad de suma importancia para el desarrollo de las empresas por que la gran mayoría tiene las bases de su desarrollo en esta actividad. Los temas que se tratan durante el desarrollo de esta publicación son los que generalmente se dan en una Auditoría Informática, como por ejemplo, conceptos generales de Auditoría, Auditoría Interna y Externa, alcance de la Auditoría Informática, sus objetivos principales, Auditoría Informática de Explotación, de Desarrollo de Proyectos, de Sistemas, de Comunicaciones y Redes, de Seguridad Informática y otros temas que son importantes como: Metodología de Trabajo, Determinación de los recursos a utilizar, Actividades que realiza la Auditoría Informática, hasta el Informe final, para finalmente llegar a las conclusiones. El Instituto Nacional de Estadística e Informática, pone a disposición de sus lectores, la presente publicación, esperando sea de utilidad.

Econ. Félix Murillo Alfaro JEFE INSTITUTO NACIONAL DE ESTADÍTICA E INFORMÁTICA

CONTENIDO

Introducción Auditoría Auditoría Interna y Auditoría Externa Alcance de la Auditoría Informática Tipos y Clases de Auditoría ¿Cuáles son los objetivos principales? Auditoría Informática de Explotación Auditoría Informática de Desarrollo de Proyectos Auditoría Informática de Sistemas Auditoría Informática de Comunicaciones y Redes Auditoría de Seguridad Informática Técnicas y Herramientas usadas por la Auditoría Informática Metodología de Trabajo Determinación de Alcances y Objetivos Análisis de Ambiente a Auditar y del entorno Auditable Determinación de Recursos de la Auditoría Informática Elaboración y Planteamiento del plan de trabajo y de los Programas Actividades a realiza en la Auditoría Elaboración del Informe Final Elaboración de la Carta de Introducción Correspondiente al Informe Final Conclusiones

7 10 11 13 16 17 20 23 25 30 30 33 39 39 40 42 43 44 45 48 49

¿Qué es la Auditoría Informática? INTRODUCCION: El desarrollo a pasos agigantados de los medios de comunicación, nos lleva a concluir en que los Sistemas Informáticos, con el paso de los años se han constituido en herramientas muy poderosas para la organización en un nivel empresarial, materializando conceptos que son completamente vitales, los cuales conforman los Sistemas de Información de las empresas, convirtiéndose a finales del último siglo en pilares fundamentales para el desarrollo empresarial en general. La gestión empresarial cumple un rol muy importante hoy en día, estando la informática involucrada en todos los procesos que se requieren para una buena gestión, es por ello que los aspectos normativos y estándares informáticos deben encontrarse en acorde a los establecidos. El “management” o gestión de la empresa se denomina así a la forma como las organizaciones están afrontando el mercado. La informática no es quien maneja las empresas, lo que sucede es que tiene un poder de decisión, pero no decide por sí misma. Y de acuerdo a como se tome su importancia dentro del ámbito empresarial, se da la existencia de la Auditoría Informática. Pero se ha podido advertir que el término de Auditoría ha tenido un uso incorrecto frecuentemente, ya que se encasillado en el concepto de evaluación el cual está equivocado, por que se considera que tiene un solo fin y es el de detectar errores y señalar las fallas. Con esto se determina que las causas de esto se deben a que se ha tomado la frase “Tiene Auditoría” como si el significado de esta frase quisiera decir que en dicha entidad, antes de realizarse la auditoría, ya se habían detectado fallas. Realmente Auditoría tiene una concepción mucho más amplia, por que la auditoría es un examen crítico que se lleva a cabo con la finalidad de evaluar la eficacia y eficiencia de una sección, un organismo, una entidad, etc. Instituto Nacional de Estadística e Informática 7

¿Qué es la Auditoría Informática?

Si nos remontamos al campo de la etimología veremos que auditoría viene del latín auditorius, proviniendo de aquí la palabra auditor, la misma que significa o que se refiere a aquel que tiene la virtud de oir. La Auditoría informática puede ser definida de diversas formas, y una de las definiciones que tienen la da el diccionario Español Sopena, el cual define a la auditoría como Revisor de Cuentas colegiado. Careciendo inicialmente de una definición clara por que no se explica el objetivo fundamental, es decir no se especifica labor del auditor, la cual es evaluar la eficacia y eficiencia. Si hacemos una investigación tratando de documentarnos con respecto al rol que cumple la auditoría entonces llegaremos a concluir en que esta actividad no es sólo una actividad mecánica, donde se apliquen conocimientos y procedimientos ya establecidos, sino que también es una actividad en la que el auditor realizará un a análisis crítico, en el cual no implica que ya hayan existido fallas en la entidad auditada, y que la finalidad está en que se trata de evaluar y mejorar la eficiencia y eficacia de una entidad o en todo caso la sección que se está evaluando.

8

Instituto Nacional de Estadística e Informática

¿Qué es la Auditoría Informática? El objetivo principal de la Auditoría Informática es llegar a tener un control en la actividad informática, también se rige de la normatividad que rige los parámetros establecidos por la empresa y su cumplimiento, el análisis de la eficiencia de los sistemas informáticos, supervisión de la gestión de los recursos humanos informáticos y materiales. Los sistemas de información son recursos de vital importancia para las empresas de hoy, es entonces que el auditor tiene la responsabilidad de hacer que el uso de los recursos de la empresa se lleven en buena forma y correctamente. Cabe destacar que una Auditoría bien realizada es la que toma en cuenta a todas las instituciones de forma igual e importante, debido a que un ministerio, una universidad o una entidad pública deben ser consideradas de la misma manera tomándolas en su más amplio sentido. Y es que en todas estas entidades la informática es importante pues la utilizan para realizar la gestión de negocios en forma óptima con la finalidad de obtener los beneficios económicos y de costes deseados. De acuerdo a todo esto los sistemas de información están sujetos a un control permanente y se toman en cuenta tanto como los otros órganos de la empresa o entidad a la que se está haciendo la auditoría. El hecho de realizar una auditoría informática es importante debido a que las herramientas que se utilizan pueden definir o marcar la diferencia con respecto a la competencia o al momento en que se está viviendo. Algunos de los aspectos que deben ser considerados son:

Instituto Nacional de Estadística e Informática

9

¿Qué es la Auditoría Informática? El mal diseño de los sistemas puede ser muy perjudicial, por que puede traer consecuencias desastrosas para la organización debido a que las máquinas sólo acatan órdenes recibidas de forma irrefutable, y el modelamiento de las organizaciones se encuentra supeditada al buen funcionamiento de estas mismas, las cuales materializan los sistemas de información, entonces la empresa no puede permitir que el software y el hardware presenten falta de eficiencia por que va en contra de sus propios intereses. La sofisticación en los equipos informáticos han dado pie para que los centros de control de procesos sean los puntos en el blanco para la delincuencia, el espionaje, o para manifestaciones terroristas. Para esto la seguridad en Auditoría informática es importante. Todos sabemos que hasta las computadoras pueden tener fallas en la información elaborada y arrojar resultados erróneos, pero si es que dichos datos son igualmente erróneos. Esto se da frecuentemente cuando las instituciones pierden de vista la naturaleza y calidad de la información que ingresan a sus sistemas de consulta, con el peligro de que otros sistemas que son independientes se vean afectados por este hecho, para este hecho la Auditoría de datos es la más recomendable.

10

Instituto Nacional de Estadística e Informática

¿Qué es la Auditoría Informática? La necesidad de realizar una auditoría informática es importante para las empresas, por que les permitirá conocer la capacidad que tienen, a nivel informático para poder afrontar sus necesidades más importantes. AUDITORIA La Auditoría cumple una función muy valiosa e independiente, no toma acciones pero da sugerencias, y sus conclusiones deben tomarse en cuenta en la toma de decisiones. La auditoría se apoya de herramientas de análisis, verificación y exposición conformando así elementos de juicio, los cuales permitirán determinar las debilidades y disfunciones. Es muy probable que se afecte la susceptibilidad del personal auditado, debido a que se interrumpe de alguna manera sus tareas, en el momento de realizar la auditoría, además esta actitud es comprensible. Pero los sistemas en ocasiones son muy sofisticados, lo cual hace que el auditor disponga de un nivel técnico adecuado e insuficiente frente al tiempo que tiene para realizar su trabajo. Como parte de la auditoría está la evaluación del personal, para esto existe el Chek List, que es un cuestionario, el cual es archivado bajo estrictas medidas de seguridad por las empresas que se encargan de realizar este trabajo de Auditoría, por considerarse información confidencial y activos muy importantes que respaldan su actividad. La evaluación debe ceñirse de acuerdo a las normas o reglas implantadas y se considera que debe aplicarse una metodología que pueda resolver los problemas que puedan presentarse.

Instituto Nacional de Estadística e Informática

11

¿Qué es la Auditoría Informática?

Con todos los elementos de juicio recolectados el Auditor podrá emitir un informe en el cual expresara el estado en el que ha encontrado los sistemas, expondrá las fallas en cuento a hardware y software encontradas y también sobre la correcta utilización del recurso informático.

AUDITORÍA INTERNA Y AUDITORÍA EXTERNA Existen dos tipos de auditoría, como se ve en el titulo de este párrafo, y estas son dos La Auditoría Interna y la Auditoría Externa, de las cuales en el caso de la Auditoría Interna es realizada con recursos humanos propios de la empresa, lo mismo sucede con los recursos materiales, pues todos estos pertenecen a la empresa auditada. Considerando que los empleado que realizan esta labor reciben una remuneración económica. La Auditoría es una actividad que existe por decisión propia de la empresa, es decir, que la empresa puede decidir en el momento en que esta labor puede ser disuelta. En el caso de la Auditoría Externa el personal que debe realizarla es un personal que debe guardar afinidad a la empresa que es auditada, este tipo de Auditoría tiene más consideración debido a que tiene una mayor objetividad por existir un mayor distanciamiento entre el personal auditor y el personal auditado. El caso de la Auditoría informática es ventajoso en vista de que puede ser realizada periódicamente, la cual puede ser incluida en el plan anual de trabajo realizando una revisión completa de los sistemas y los equipos de cómputo, es por ello que guarda cierta ventaja con la auditoría externa.

12

Instituto Nacional de Estadística e Informática

¿Qué es la Auditoría Informática? Esto permite también al personal auditado a poder adecuarse al plan de trabajo de la auditoría, y mucho más cuando las consecuencias de las recomendaciones crean beneficio laboral. Es tarea del personal de informática de escuchar y orientar sobre las ventajas o desventajas técnicas que puedan existir y sobre los costos que pueda demandar un sistema. Generalmente su opinión no tiene voto en las decisiones que se toman en la empresa pero si tiene voz para dar la opinión que sea más adecuada y así poder satisfacer las necesidades más apremiantes. Todas las empresas desean tener un control sobre sus sistemas informáticos, necesitando también que su gestión esté adecuada a los procedimientos, que todo esto implica. Es por ello que esta necesidad se ve reflejada en la imagen del auditor interno informático. Sólo las empresas grandes pueden contar con una oficina de auditoría, debido a que es costoso contar con este servicio permanentemente, es así que las empresas pequeñas acuden a la auditoría externa. Pero cuando la empresa adopta por tener este servicio como auditoría interna, parte del personal informático pasa a formar parte de esta actividad. Se puede dar que una institución que cuente con una oficina de auditoría interna solicite los servicios de una auditoría externa, debido a razones que pueden ser: ♦ ♦ La falta de capacidad técnica, para realizar la auditoría de materia especializada en gran cantidad. Cruzar las informaciones emitidas tanto de la auditoría interna como de la auditoría externa, sobre todo con la emisiones internas de graves recomendaciones las mismas Instituto Nacional de Estadística e Informática 13

¿Qué es la Auditoría Informática? que pueden discrepar con la opinión general de la empresa misma. ♦ Esto puede servir como mecanismo protector ante la posibilidad de auditorías informáticas externas que hayan sido solicitadas por la empresa. La oficina de auditoría interna forma parte de la misma empresa pero es independiente del Departamento de Sistemas es por ello que es recomendable solicitar los servicios de una auditoría externa, lo cual permitirá tener una visión externa de la empresa.

Tanto la auditoría externa como interna, deberán estar libres de toda influencia política, debido a que pueden afectar gravemente la estrategia y política general de la empresa. La oficina de auditoría puede actuar por decisión propia ya que es un órgano independiente de la empresa aún estando dentro de la misma, también actúa a solicitud de la dirección o de parte del cliente. ALCANCE DE LA AUDITORÍA INFORMÁTICA: La auditoría informática actuará dentro de parámetros establecidos, es decir que se desarrollará en un entorno y límites determinados, y es complementada con los objetivos. Estos límites deben estar claramente estipulados en el informe final, para que quede claro hasta donde puede llegar la auditoría y no solamente eso sino que hay materias fronterizas que pueden ser omitidas. Cuando estos puntos no son bien definidos, puede implicar el que esta no tenga éxito.

14

Instituto Nacional de Estadística e Informática

¿Qué es la Auditoría Informática? Auditoría Informática y sus características: La información es netamente confidencial, es de la empresa y para la empresa, tendrá una importancia especial, además esta información es considerada como un activo real que al igual que sus stocks y materias primas, si es que las hay. Debido a esto es que se realizan inversiones de carácter informático, y de esto se ocupa la Auditoría de Inversión Informática. La Auditoría de Seguridad Informática se encargará de la protección los sistemas informáticos, o también pueden ocuparse de esto la auditoría de seguridad de cada área, si es que existe. La función de la informática puede ser reorganizada, si es que se producen cambios estructurales, y esto es lo ve la Auditoría de Organización Informática. Es así que una auditoría parcial esta conformada por estos tres tipos de actividades auditoras. De otra forma cuando se lleva a cabo una auditoría informática en un área de desarrollo de Proyectos Informáticos es por que existen ineficiencias, debilidades de organización, de inversiones, de seguridad, o alguna mezcla de ellas. Razones para determinar la necesidad de una Auditoría Informática: Cuando existen síntomas de debilidad en la empresa, éstas acuden a las auditorías externas para poder determinar en donde están las falencias. Estos síntomas se pueden agrupar clases: ♦ Cuando existe Desorganización y descoordinación: - Los promedios conseguidos no se habitúan a los estimados, por que los parámetros de productividad no son respetados y sufren un desvío. Instituto Nacional de Estadística e Informática 15

-

¿Qué es la Auditoría Informática? Los objetivos que la empresa persigue, no coinciden con los obtenidos. Esto puede darse debido a un cambio masivo de personal, o también por que un área tuvo una mala reestructuración, también puede deberse a una norma importante que haya sido modificada.

Cuando hay insatisfacción del cliente y una mala imagen - Cuando no hay capacidad de satisfacer las necesidades del cliente. - Las fallas en hardware no son reparadas, ni se resuelven las incidencias en plazos establecidos y razonables, ocasionando un descontento en el usuario por sentirse abandonado. - Los resultados periódicos no son entregados en los plazos establecidos. Las pequeñas imprecisiones pueden ocasionar que la información no refleje lo real y que la actividad que ejerce el usuario se vea afectada por este motivo. Debilidades Económico-Financieras: - Elevación de costos de forma repentina y desmesurada. - Cuando se da la necesidad de justificar las inversiones informáticas. - Cuando se dan otras prioridades en el aspecto presupuestario. - Costos y plazos de nuevos proyectos. Cuando existe inseguridad: Se da una evaluación de nivel de riesgos, la que contempla los puntos siguientes: • Seguridad Lógica. • Seguridad Física. • Aspectos de confidencialidad. - La continuidad en el servicio es importante. En ocasiones se considera más importante que los aspectos de seguridad. Instituto Nacional de Estadística e Informática

16

-

¿Qué es la Auditoría Informática? Si existen problemas en los que el centro de procesamiento de datos se encontrara fuera de control, una auditoría no tendría sentido por considerarse inútil, por eso deben tomarse en cuenta los más mínimos indicios para su aplicación.

Planes de Contingencia: Por lo general las empresas deben aplicar una política de Backups, lo la cual puedan resguardar la información en forma diaria, estos backups deberán ser en forma doble asegurándose que uno de ellos se encuentre dentro de la empresa y otro fuera de ella. Estos backups pueden estar guardados el tiempo que la empresa lo determine, de acuerdo a la periodicidad con la que van renovando sus backups.

Instituto Nacional de Estadística e Informática

17

¿Qué es la Auditoría Informática? TIPOS Y CLASES DE AUDITORÍA El departamento de informática a pesar de tener sus actividades dentro de la misma empresa, trabaja como si fuera una entidad independiente, debido a que su actividad está proyectada al exterior y a los usuarios, de aquí nace la Auditoría Informática de Usuario, la misma que se distingue de la informática interna, ya que en esta última se realiza una actividad informática cotidiana y real, es por ello que existe una Auditoría Informática de Actividades Internas. La dirección es quien realiza el control de las actividades del departamento de informática con el exterior. La importancia de se control se debe a que es posible entender las necesidades que tiene la compañía. El apoyo de la dirección a la Informática frente al “exterior” es muy importante para que esta sea eficiente y eficaz. Este tipo de relaciones forma lo que se conoce como Auditoría Informática de Dirección y su objetivo. Con estos tres tipos de Auditoría, y sumado a esta la Auditoría de Seguridad, se determina las cuatro grandes Areas Generales de la Auditoría Informática más importantes. Dentro de estas Areas Generales existen otras divisiones en la que la Auditoría Informática se subdivide, estas son: Auditorías de Explotación, de Sistemas, de Comunicaciones y de Desarrollo de Proyectos. Conformando así las áreas específicas de la Auditoría Informática más importantes. Los criterios que se aplican para cada área específica en una auditoría son: 18 Instituto Nacional de Estadística e Informática

¿Qué es la Auditoría Informática? Se debe tomar desde el punto de vista de la seguridad que la informática ofrece en general, o en la rama que se está auditando. Desde el funcionamiento interno. De acuerdo al apoyo que se recibe desde la dirección, realizándola en un sentido ascendente, del grado de cumplimiento de las directrices de ésta. Considerando las necesidades de los usuarios juntamente con sus perspectivas.

-

-

Los criterios que se han mencionado pueden ser ampliados, y establecidos de acuerdo a la real necesidad de la empresa Auditada y a sus características.

Instituto Nacional de Estadística e Informática

19

¿Qué es la Auditoría Informática? ¿CUÁLES SON LOS OBJETIVOS PRINCIPALES? La auditoría Informática tiene muchos fines y entre los que son más importantes tenemos: Operatividad: Esta función consiste en que la organización pueda funcionar con la cantidad mínima de recursos. No se puede permitir que la maquinaria detenga sus actividades para poder detectar los fallos, y así empezar de nuevo. Cabe destacar que la auditoría debe llevarse a cabo estando los sistemas en marcha, y este es un proceso que debe realizarse tanto a nivel global, como parcial. El auditor tiene una principal preocupación y esta es la de conseguir que los sistemas se encuentren en total operatividad, para lograr esto se deben realizar una serie de Controles Técnicos Generales de Operatividad, y dentro de ellos unos Controles Técnicos Específicos de Operatividad, los que deben estar desarrollados previamente Controles Técnicos Generales: Estos son controles que verifican la compatibilidad que existe entre el Sistema Operativo y el Software de base con todos los subsistemas existentes, así como la compatibilidad entre el Hardware y el Software instalado. La importancia de estos controles en las instalaciones que cuentan con varios competidores se da debido a que como existen entornos de trabajo muy diferenciados se obliga a contratar diferentes productos de software básico, existiendo el riesgo de que se pueda desaprovechar parte del software que a sido contratado. Esto se puede dar también con los productos de software básico que han sido desarrollados por el propio personal de la empresa, en especial cuando la ubicación de los equipos se encuentra Instituto Nacional de Estadística e Informática

20

¿Qué es la Auditoría Informática? geográficamente distante. También se puede ver que esto tiene un aspecto negativo, el cual se puede reflejar en la inoperatividad del grupo. La interconexión o intercomunicación. Es posible que cada Centro de Proceso de Datos sea operativo trabajando sólo e independiente, pero lo que no podrá ser posible será la interconexión e intercomunicación de todos los centros de procesos de datos si es que no existen productos compatibles y comunes. Controles Técnicos Específicos: Son igual de importantes como los Controles Técnicos Generales para lograr la Operatividad de los Sistemas. Estos se encargan de verificar el funcionamiento correcto de partes específicas del sistema, como “parámetros de asignación automática de espacio en el disco”, los cuales pueden crear dificultad o impedir su uso posterior por una sección diferente a la que lo genero. También los periodos de retención de los ficheros comunes a varias aplicaciones pueden estar definidos con distintos plazos en cada una de ellas, de modo que la perdida de información es un hecho que podrá producirse con facilidad, quedando inoperativa la explotación de alguna de las aplicaciones mencionadas. ¿Qué son los parámetros de asignación automática de espacio en disco? Las aplicaciones a desarrollarse son superparametrizadas, lo que significa que existen muchos parámetros los cuales permiten la configuración del sistema. Es decir que cada aplicación necesitará un espacio de disco determinado. Si es que no se pudo analizar cual es el tiempo que se empleará en la asignación del espacio durante la operación, es muy Instituto Nacional de Estadística e Informática 21

¿Qué es la Auditoría Informática? probable que la aplicación no funcione y se caiga. Sería muy arriesgado el volver a levantar la aplicación haciendo una nueva asignación de espacio y una reconversión ya que demandaría demasiado tiempo. Verificación de Controles de la Gestión Informática: Cuando ya se ha conseguido que los sistemas se encuentren en total operatividad, se procede a cumplir el siguiente objetivo de la auditoría, el cual es el cumplimiento exacto de las normas previamente establecidas en el departamento de informática y que tengan coherencia con el resto de la empresa. Esto se realiza siguiendo un orden el cual es el siguiente: Las Normas Generales de la Instalación Informática. Se hará una verificación inicial no considerando a fondo las contraindicaciones que puedan existir, pero si anotando las zonas que se encuentren en carencia de aspectos normativos requeridos, y por sobre todo teniendo mucho cuidado en que esta normativa no se encuentre en contradicción con las normas generales de la empresa. Los Procedimientos Generales Informáticos. Se procederá a la comprobación de su existencia, mínimo en los sectores más importantes. Los Procedimientos Específicos Informáticos: De igual forma se procederá a la verificación de su existencia en las principales áreas. Hay que asegurar que los Procedimientos Específicos no se opongan a los Procedimientos Generales. En los casos antes Instituto Nacional de Estadística e Informática

-

-

22

¿Qué es la Auditoría Informática?

-

mencionados sin excepción se deberá tener cuidado en no contradecir ninguna normativa y los Procedimientos Generales de la propia empresa. Los procedimientos que se dan a continuación son los que se han estado mencionando.

AUDITORÍA INFORMÁTICA DE EXPLOTACIÓN En la Explotación Informática se producen los resultados informáticos de 1. todo tipo, es así que arroja Planificación resultados como: listados impresos, ficheros 2. 3.Soporte soportados magnéticamente Producción Técnico para otros informáticos, ordenes automatizadas para lanzar o modificar procesos industriales, etc. Esta es vista como la fabrica un centro de producción que tiene características particulares, las cuales la hacen diferente a las reales. La materia prima es importante, los datos serán transformados en la información requerida esta información pasará por un control de integridad y calidad previamente. El proceso informático es la vía para esta transformación el cual es gobernado por programas. Al final los resultados se someten a controles de calidad, para asegurar que la salida al mercado del producto final se haga en óptimas condiciones. Explotación Informática La Explotación Informática está dividida en tres grandes áreas. Estas son: Planificación, Producción y Soporte Técnico, y estas a su vez están subdivididas en varios grupos.

Instituto Nacional de Estadística e Informática

23

¿Qué es la Auditoría Informática?

1° Control de Entrada de Datos La información obtenida será analizada para su compatibilidad con los sistemas, se debe tomar en cuenta los plazos establecidos para la entrega de los datos y la correcta entrega de la información a los entornos diferentes. También se tomará en cuenta que estos procedimientos se realicen de acuerdo a las normas vigentes. 2° Planificación y Recepción de Aplicaciones Las normas de entrega de Aplicaciones por parte de desarrollo serán auditadas, comprobando su cumplimiento y su calidad. Una forma de evaluar la información también es escogiendo una serie de muestras representativas de la documentación de las aplicaciones en explotación. Se hará las investigaciones pertinentes a fin de determinar sobre la anticipación de contactos con desarrollo para la planificación a medio y largo plazo. 3° Centro de Control y Seguimiento de Trabajos: La producción diaria es un procedimiento al que se realizará un análisis exhaustivo. La explotación informática dará ejecución básicamente a procesos por cadenas o lotes sucesivos(Batch), o en tiempo real(Tiempo Real). Las aplicaciones de teleproceso se encuentran en permanente actividad limitando a las funciones de Explotación a vigilar y recuperar incidencias, y mientras esto sucede el trabajo Batch absorbe una buena parte de los efectivos de Explotación. Aquí se determina el éxito de la explotación, debido a que este se considera uno de los artífices en el mantenimiento de la producción.

24

Instituto Nacional de Estadística e Informática

¿Qué es la Auditoría Informática?

Batch y Tiempo Real Aplicaciones Batch, son un tipo de aplicación que carga mucha información en el transcurso del día, durante la noche corre un proceso, el cual relaciona a la información en general, también lo que hace es calcular cosas y obtener como salida alguna acción. Entonces lo que hace es sólo recaudar información sin que sea procesada, es decir que solamente se trata de un tema Data Entry, el cual recolecta la información y corre el proceso batch(por lotes), este realiza posteriormente cálculos para comenzar a trabajar el día siguiente. En cambio lo que sucede con las aplicaciones que son Tiempo Real, es que estas procesan la información inmediatamente después de ser ingresada devolviendo el resultado en el preciso instante. Operación, Salas de ordenadores Las relaciones que unen a las personas y la conexión lógica que existe de cargos y salarios serán estudiadas, también se verá si es que la distribución de turnos es equitativa. Cada turno de trabajo estará bajo el cargo de un responsable de sala. Los Manuales de Operación son importantes, así como su utilización, también los comandos y su grado de automatización serán analizados con el fin de despejar dudas acerca de su buen funcionamiento. Los planes de formación deben ser analizados, además estos deben ser cumplidos también es importante que se cumpla el tiempo transcurrido para cada operador, desde le tiempo en que recibió el último curso. Se verificarán los montajes diarios y por horas de cintas o cartuchos, luego el tiempo que transcurre a solicitud de montaje por parte del sistema hasta el montaje real. Serán verificadas las líneas de papel impresas día a día y en las horas de impresión, así también la manipulación de papel que este implica.

Instituto Nacional de Estadística e Informática

25

¿Qué es la Auditoría Informática?

Control de Red y Control de Diagnosis Existe un centro de control de red, el cual se encuentra siempre ubicado dentro del área de producción Explotación. Este centro dedica sus funciones exclusivamente al entorno de las comunicaciones, se relaciona mucho con el Software de Comunicaciones de Técnicas de Sistemas. La fluidez en cuanto a la relación y el grado de coordinación entre ambos debe ser analizado. La existencia de un punto equidistante será estudiada, desde donde sean perceptibles todas las líneas que se encuentren asociadas al sistema. En cuanto al Centro de Diagnosis, aquí se atienden llamadas de los usuarios clientes, quienes se ha averiado o han sufrido alguna incidencia, tanto en Software como en Hardware. Este centro es para informáticos grandes con usuarios dispersos en un territorio amplio. El Centro de Diagnosis es uno de los que más ayuda a disponer la configuración de la imagen de la informática de la empresa. La auditoría debe tomar este punto de vista. Desde el punto de eficacia y eficiencia del usuario en cuanto al servicio que recibe. La verificación de la eficiencia técnica del centro no es suficiente, por que será necesario un análisis simultáneo, en el entorno del usuario. AUDITORÍA INFORMÁTICA DE DESARROLLO DE PROYECTOS El Análisis y, la Programación de Sistemas y Aplicaciones es lo que ha dado lugar al nacimiento del llamado Desarrollo. Este último abarca muchas áreas, y son tantas como sectores informáticos tiene la empresa. Sencillamente, una aplicación tiene fases, las mismas que son:

26

Instituto Nacional de Estadística e Informática

¿Qué es la Auditoría Informática? Prerequisitos del usuario (único o plural) y del entorno. Análisis Funcional. Diseño. Análisis orgánico (preorogramación y programación). Pruebas. Entrega a explotación y alta para el proceso.

El control interno es una actividad a la cual estén sujetas estas fases, si se diera el caso contrario puede originarse un usuario insatisfecho, provocado también por un elevamiento de los costes. Al final debe comprobarse la total garantía en la seguridad de los programas, es decir que los resultados que se arrojen sean los deseados. Se deben considerar cuatro puntos que son importantes para la Auditoría de Aplicaciones, quien obligadamente deberá pasar por la observación y el análisis. 1. Una revisión obligada de las metodologías utilizadas, es decir estas serán analizadas, para así asegurar la modularidad de las nuevas ampliaciones de aplicación, así como también su mantenimiento. Dentro del control interno se revisarán las mismas fases, las mismas que han debido continuar en el área correspondiente de desarrollo: ♦ Cuando la aplicaciones son grandes, caras y complejas es importante un análisis de su aplicación. ♦ Las aplicaciones deberán ser definidas de acuerdo a una lógica. Se observan los postulados, en función de la metodología que se aplica y los objetivos que el proyecto persigue. ♦ El Desarrollo Técnico de la Aplicación. Es importante que este desarrollo técnico sea ordenado y correcto. Deberán ser compatibles las herramientas técnicas que se usen ya que la diversidad de programas así lo requiere. Instituto Nacional de Estadística e Informática 27

2.

¿Qué es la Auditoría Informática? ♦ ♦ Diseño de Programas, deben ser muy sencillos, serán también económicos y tendrán modularidad, es decir regulable. Debe haber un periodo de pruebas y para eso se debe utilizar un método, el cual será realizado de acuerdo a las normas de instalación. Se harán pruebas de ensayo de datos, para mayor seguridad y los datos reales no serán permitidos. Documentación. Toda actividad realizada será documentada y deberá cumplir la normativa establecida en la instalación. Habrá un equipo de programación. Debido a que hay tareas que deben ser observadas, estas son tareas de análisis puro, de programación e intermedias.

♦ ♦

3.

Los usuarios cumplen un rol importante debido a que las aplicaciones que se encuentren técnicamente eficientes y bien desarrolladas, que no satisfagan los requerimientos de estos mismos, serán vistas como fracasadas, la aceptación por parte del usuario otorga ventajas, debido a que se podrán evitar nuevas programaciones, ahorrando en mantenimiento de la aplicación.

28

Instituto Nacional de Estadística e Informática

¿Qué es la Auditoría Informática? 4. Otro punto son los programas críticos a quienes hay que mantener un control de procesos y ejecuciones: entonces el Auditor debe tener la posibilidad de ejecutar un módulo el cual no corresponde con el programa fuente que desarrollo, codificó y probó en el área de Desarrollo de Aplicaciones. La compilación debe corresponder al programa codificado, de no ser así podrían provocar graves daños y altos costes de mantenimiento, lo que también puede suceder es que se prestaría para fraudes y sabotajes, etc. Cuando un programa se da por bueno entonces se sujeta a ciertas normas que determinan el ser entregados a explotación con el fin de copiar el programa fuente en la librería de fuentes de explotación, ha esta librería nadie más tiene acceso. Después la compilación y el montaje del programa poniéndolo en la librería de módulos de explotación, a esta tampoco nadie tiene acceso, y por último hacer una copia de los programas fuente que se soliciten para modificarlos o en todo caso para ser arreglados una vez hecho esto es necesario volver a verificar todo.

Este sistema para auditar es bastante complejo y arduo, por eso se utiliza un sistema llamado U.A.T. (User Acceptance Test). Este sistema consiste en la medida en que el usuario de uso a una aplicación los errores sean detectados. Estos errores que van encontrándose deben ser corregidos a medida que se va desarrollando el sistema U.A.T. cuando se consigue el U.A.T. el usuario debe dar el visto, es decir el “Sing Off” (esto esta bien). La Auditoría debe controlar todo este testeo, además deberá analizar que este sea correcto, y que exista un planeamiento para esto, donde se encuentren involucrados el Instituto Nacional de Estadística e Informática 29

¿Qué es la Auditoría Informática? cliente y el desarrollador a fin de corregir estos errores. Este análisis al final debe ser confirmado. AUDITORÍA INFORMÁTICA DE SISTEMAS La técnica de Sistemas tiene varias facetas de las cuales ésta rama de la auditoría esta ocupándose y analizando. Con el avance de la tecnología en cuanto a las telecomunicaciones se ha dado origen a que se den auditorías de las comunicaciones, redes y líneas de instalaciones informáticas sean auditadas individualmente, así sean parte del entorno general de sistemas. Tenemos a los Sistemas Operativos: Los sistemas deben encontrarse actualizados y esto es tarea del sistema operativo, quien abarca los sub-sistemas de procesamiento de data, los dispositivos de Entrada/Salida, etc., la verificación de esto debe hacerse con las últimas versiones de la casa fabricante o proveedora, se debe hacer un seguimiento por posibles fallas u omisiones si es que las hubiera. Con esta labor se puede determinar la incompatibilidad que existe entre un software básico que pueda haber sido adquirido, o quizás el posible conflicto que pueda estarse generando entre un software con otro. Los límites variables de las librerías deben ser observados constantemente, sobre todo los más importantes de los sistemas, debido a que hay que tener cuidad para que no cumplan otra función sino para la que ha sido creada por fabricante. 30 Instituto Nacional de Estadística e Informática

¿Qué es la Auditoría Informática?

Software Básico: Los software básicos son productos que muchas veces han sido adquiridos posteriormente a la adquisición de los equipos de cómputo, y siendo así, el auditor debe tener pleno conocimiento de la facturación de estos productos. Debido a intereses económicos y a razón de que la computadora pueda funcionar sin el producto adquirido posteriormente por el cliente. Después debe comprobarse que el software desarrollado por el propio personal de la empresa no cree conflicto con el Sistema. En el aspecto económico, si se presentara el caso de encontrar alternativas que signifiquen una mejora en términos de costes y esfuerzo, deberá ser tomado en cuenta. Software de Teleproceso (Tiempo Real): Por la función específica que cumple e importancia el Software Básico no es incluido. Pero las consideraciones antes establecidas son válidas para éste también. El Tunning: La conducta de los sub-sistemas es evaluada por un conjunto de técnicas de observación y de medida, así también el Sistema es evaluado en todo su conjunto. El tunning debe ser diferenciado de otros controles que el personal de sistemas realiza normalmente. De acuerdo a los indicios observados es que se establecen planes y programas de acción, estos planes pueden ser desarrollados cuando se determina que existe deterioro en cuanto a la actitud parcial o general del sistema. Y de forma periódica, aplicando alguna metodología, por cada cierto tiempo las acciones que se toman tienen un planeamiento ya determinado. Instituto Nacional de Estadística e Informática 31

¿Qué es la Auditoría Informática?

El tunning es una actividad que debe ser realizada un determinado número de veces por año, y esto debe ser de conocimiento pleno del auditor, así como también los resultados que arrojen estos. Las observaciones deben ser consideradas por ser de mucha importancia. Los Sistemas, Sub-Sistemas y su Optimización: A consecuencia de los tunnings que se han realizado, el personal de sistemas hará una acción de optimización permanente. Las acciones de optimización estarán monitoreadas por el auditor quien se encargará de comprobar que estas son efectivas y que no perjudicarán el sistema manteniéndolo operativo juntamente con el plan critico de producción diaria. La optimización viene a ser nada más que la mejora en el rendimiento del software, ya que estos a veces se ponen muy lentos por toda la información manejan y a medida que se van cargando más, se van volviendo más lentos. Y esto se logra con un análisis de la performance de la aplicación. Administración de Base de Datos Una tarea bastante complicada se ha convertido la construcción de Bases de Datos, ya sean relaciones o jerárquicas, generalmente estas se desarrollan en un entorno de técnica de sistemas, de acuerdo a las áreas de desarrollo y usuarios de la empresa. La administración de la arquitectura y diseño de programas esta a cargo de Sistemas. Se han observado algunas deficiencias por el mal funcionamiento, debido a la falta de experiencia que el personal de sistemas tiene sobre el problema general de usuarios de Bases de Datos.

32

Instituto Nacional de Estadística e Informática

¿Qué es la Auditoría Informática? Quien debería estar a cargo de la explotación es la administración. El auditor de bases de datos debería asegurarse que explotación conoce suficientemente las que son accedidas por los procedimientos que ella ejecuta. Revisará los sistemas de seguridad que puedan existir, los que son de competencia de Explotación. Por último se verificará la integridad y consistencia de los datos, también se verificará la ausencia de repeticiones innecesarias entre ellos. Investigación y Desarrollo Las empresas de hoy necesitan de informáticas desarrolladas, y saben que su propio personal desarrolla aplicaciones y ganancias que, pensadas inicialmente para su utilización interna, pueden ser susceptibles de otras empresas, creando una competencia a las compañías del ramo. La auditoría informática debe tener cuidado que la Investigación y el Desarrollo no sea una actividad que estorbe a otras actividades internas de la empresa.

AUDITORÍA INFORMÁTICA DE COMUNICACIONES Y REDES Tanto el informático como el auditor, las Redes Nodales, Concentradores, Redes Locales, Líneas, Multiplexores conforman lo que ellos conocen como la estructura de lo que conocen como el soporte físico-lógico del Tiempo Real. El auditor debe saber enfrentar las deficiencias técnicas del entorno, debido a que debe realizar un estudio profundo de todas las actividades, siendo partícipe de situaciones y hechos alejados entre sí, encontrándose parametrado a la participación del monopolio telefónico que se presta por parte de soporte. Aquí la auditoría necesita de especialistas expertos que presten servicio simultáneo en Redes Locales y Comunicaciones. En las comunicaciones el auditor deberá estudiar sobre el uso de las líneas contratadas con gran cantidad de información sobre tiempos de desuso. La topología de red con la que Instituto Nacional de Estadística e Informática 33

¿Qué es la Auditoría Informática? trabaje deberá ser la más actualizada, de no ser así significaría una debilidad grande. La carencia de información provocaría la inoperatividad informática. Pero el mal funcionamiento organizativo es en muchos casos el producto de las debilidades más frecuentes. Los puestos de trabajo van de acuerdo a como están dispuestas las contrataciones e instalaciones de líneas. Las actividades en su conjunto deben tener una buena coordinación o en todo caso depender de una sola organización.

AUDITORÍA DE SEGURIDAD INFORMÁTICA Los equipos de cómputo son herramientas muy útiles, debido a que agilizan enormemente el procesamiento de información, esta información puede ser confidencial, para las personas, también para empresas o instituciones, la cual puede ser a su vez mal utilizada. La seguridad es importante en todo sentido debido a que puede prestarse para realizar robos, fraudes o sabotajes, lo que podrían causar la destrucción de esta actividad en su totalidad o parcialmente, y junto con ello vendría un retraso no esperado. Los virus informáticos tienen intenciones diversas, los hay para softwares que no tienen autorización generalmente y que han sido copiados, es decir los que son piratas, causando mucho daño a la información que Ud., pueda tener en su disco incluso podría llegar a borrarla. El auditor debe cuidar este aspecto debido a que al momento de conectarse con otros equipos en red, podría infectarse de 34 Instituto Nacional de Estadística e Informática

¿Qué es la Auditoría Informática? virus. Esto comienza cuando la actividad que se le asigna al equipo de cómputo no es cumplida totalmente y se le da un uso ajeno a la organización, por lo general se da estos casos por tratarse de fines de comerciales en algunos casos fraudulentos. La seguridad física y lógica son dos conceptos que la seguridad informática toma. La seguridad física se ocupa del Hardware y de los soportes de datos, también se ocupa de toda la estructura de la que forman parte es decir los ambientes e instalaciones que alberga al hardware, toma en cuenta situaciones de desastres como incendios, sabotajes, catástrofes naturales, robos, etc. Obviamente la seguridad lógica se refiere al cuidado del software y a la protección de los datos, programas y demás procesos, además está incluido la forma de acceso a la información por parte de los usuarios. Cuando se puede tener el software dentro del control de acceso, se puede manejar mucho mejor el control de protección del sistema. Es decir que los accesos son controlados a usuarios no autorizados, ya que la información se considera como confidencial. En los últimos años se ha observado un incremento en cuanto a los delitos informáticos y las agresiones a centros e instalaciones informáticas, dando lugar a que se tomen las medidas pertinentes, con el fin de mejorar la seguridad informática en un nivel físico. Para esto se ha acelerado el desarrollo de productos de seguridad lógica y el uso de medios criptográficos bastante desarrollados. Podemos dividir a la seguridad informática en Area General y como Area específica (seguridad de Explotación, seguridad de Aplicaciones). Los sistemas integrales de seguridad deben considerar lo siguiente: ♦ ♦ ♦ Se debe definir una política de seguridad en la empresa. La seguridad física es importante y debe considerar catástrofes como incendios, terremotos, etc. Elementos administrativos. Instituto Nacional de Estadística e Informática 35

¿Qué es la Auditoría Informática? ♦ ♦ ♦ ♦ ♦ ♦ ♦

Deben ser organizados y deben dar responsabilidades. Se deben ejecutar prácticas de seguridad del personal. Deben contemplar elementos técnicos y procedimientos. Seguridad de los equipos, de los sistemas, de redes y de terminales y de todos los elementos en general. La aplicación de sistemas de seguridad debe ser extensiva a datos y archivos. Por seguridad debe planearse programas de desastre y probarse constantemente. Debe definirse el rol que cumplirán los auditores internos como externos.

Los riesgos potenciales son uno de los factores a los que se debe la decisión de optar por una Auditoría Informática de Seguridad Global. Para esto se desarrollan matrices de riesgo, donde son consideradas las “amenazas” de una instalación y como pueden verse afectadas éstas debido a ello. Estas matrices pueden representarse con cuadros que disponen de una doble entrada en la que se enfrentan las Amenazas Vs. Impacto, aquí los elementos de la matriz son sometidos a un intenso análisis. Impacto Destrucción De Hardware Borrado de Información Amenaza Error Incendio Sabotaje ….. 1: No probable 2: Probable ----1 1 3: Certeza 4: Despreciable 3 1 1

36

Instituto Nacional de Estadística e Informática

¿Qué es la Auditoría Informática? TÉCNICAS Y HERRAMIENTAS AUDITORÍA INFORMÁTICA USADAS POR LA

Cuestionarios La información recopilada es muy importante, y esto se consigue con el levantamiento de información y documentación de todo tipo. Los resultados que arroje una auditoría se ven reflejados en los informes finales que estos emitan y su capacidad para el análisis de situaciones de debilidades o de fortalezas que se dan en los diversos ambientes. El denominado trabajo de campo consiste en que el auditor busca por medio de cuestionarios recabar información necesaria para ser disernida y emitir finalmente un juicio global objetivo, los que deben ser sustentados por hechos demostrables, a quienes se les llama evidencias. Esto se puede conseguir, solicitando el cumplimiento del desarrollo de formularios o cuestionarios lo que son preimpresos, los cuales son dirigidas a las personas que el auditor considera más indicadas, no existe la obligación de que estas personas sean las responsables de dichas áreas a auditar. Cada cuestionario es diferente y muy específico para cada área, además deben ser elaborados con mucho cuidado tomando en cuenta el fondo y la forma. De la información que ha sido analizada cuidadosamente, se elaborará otra información la cual será emitida por el propio Auditor. Estas informaciones serán cruzadas, lo que vine a sr uno de los pilares de la auditoría. Muchas veces el auditor logra recopilar la información por otros medios, y que estos preimpresos podían haber proporcionado, cuando se da este caso, se puede omitir esta primera fase de la auditoría. Instituto Nacional de Estadística e Informática 37

¿Qué es la Auditoría Informática? Entrevistas: Existen tres formas para que el auditor logre relacionarse con el personal auditado. 1. La solicitud de la información requerida, esta debe ser concreta y debe ser de la materia de responsabilidad del auditado. En la entrevista no se sigue un plan predeterminado ni un método estricto de sometimiento a un cuestionario. La entrevista es un medio por el que el auditor usará metodologías las que han sido establecidas previamente con la finalidad de encontrar información concreta.

2. 3.

38

Instituto Nacional de Estadística e Informática

¿Qué es la Auditoría Informática? La importancia que la entrevista tiene en la auditoría se debe a que, la información que recoge es mayor se encuentra mejor elaborada, y es más concreta que las que pueden proporcionar los medios técnicos, o los cuestionarios. La entrevista personal entre el auditor y el personal auditado, es basada en una serie de preguntas específicas en las que el auditado deberá responder directamente. El sistema de interrogación se establece previamente y el auditor tendrá mucho cuidado, esta entrevista se debe dar de una forma muy cordial y bajo los parámetros de lo correcto, esto se hace con la finalidad de que sea lo menos tensa posible, y que el auditado conteste de la forma más natural, con mucha sencillez. Sólo que esta sencillez con la que se elaboran las preguntas deberán tener un fondo muy profundo, el cual es distinto en cada caso. El auditor cuando es ducho en la materia y tiene mucha experiencia, realiza un trabajo de reelaboración de sus cuestionarios de acuerdo a la situación y al escenario auditado. Este es un personaje que sabe que es lo que busca, debido a que tiene bien en claro lo que necesita, y por que lo necesita. Su trabajo es el pilar fundamental para el análisis, cruce y elaboración posterior del informe final, pero esto no indica que el auditado tenga que ser sometido a un interrogatorio automatizado lo cual no ofrece ningún camino. Por el contrario el auditor realizara la entrevista de tal forma que el auditado pueda responder a las preguntas formuladas de manera normal, lo que servirá para llegar ala cumplimiento de los cuestionarios de sus checklists. El uso del Checklist goza de opiniones compartidas, debido a que descalifica en cierta forma al auditor informático, por que al hacer uso de este tipo de cuestionarios el auditor incurre en Instituto Nacional de Estadística e Informática 39

¿Qué es la Auditoría Informática? la falta de profesionalismo. Por eso es mejor que se de un procesamiento de la información a fin de llegar a respuestas que tengan coherencia y así poder definir correctamente los puntos más débiles y los más fuertes. El profesionalismo del auditor se refleja en la elaboración de preguntas muy bien analizadas, las mismas que se hacen de forma no muy rigurosa. Estos cuestionarios son denominados Checklist. Estos cuestionarios deben ser contestados oralmente, ya que superan en riqueza a cualquier otra forma de obtención de información. De acuerdo a la claridad de y a la metodología empleada por el auditor, es que el auditado podrá responder, de diferentes puntos de vista. El personal auditado generalmente se encuentra familiarizado con el perfil técnico y lo percibe fácilmente, así como los conocimientos del auditor. De acuerdo a esta percepción denota el respeto y el prestigio que debe poseer el auditor. Por ello es muy importante tener elaboradas las listas de preguntas, pero aún es mucho más importante la forma y el orden en que estas se formulan, ya que no servirían de mucho si es que no se desarrollarían oportuna y adecuadamente. Algo que es muy importante también es el hecho de no olvidar que la actividad auditora se ejerce sobre bases de prestigio autoridad y ética. El Checklist debe ser aplicado de tal manera que el personal auditado pueda contestar sencillamente. Se deberá interrumpir lo menos posible a éste, sólo en los casos en que las respuestas se desvíen del objetivo principal. Incluso se puede presentar el caso en el que el auditado sea invitado a exponer un tema concreto, pero en cualquiera de las situaciones no se podrá presionar absolutamente al mismo. Puede ser que alguna pregunta deba repetirse, pero en este caso deberá ser formulada en forma diferente, o su equivalencia. Con la ayuda de este método los puntos contradictorios serán notorios de forma más rápida. Cuando se dan casos en los que existe contradicción, entonces se hará una reelaboración de preguntas para complementar a las formuladas previamente y así poder 40 Instituto Nacional de Estadística e Informática

¿Qué es la Auditoría Informática? conseguir consistencia. El auditor no debe representar demasiado formalismo ya que deberá actuar naturalmente al momento de formular sus preguntas y de acuerdo al desarrollo de la entrevista tomará las notas que considere importantes en presencia del auditado, pero nunca marcará con aspas ni escribirá cuestionarios en su presencia. Estos Checklist responden a dos tipos de razonamiento para su calificación o evaluación: 1. Checklist de rango: contendrá preguntas que se harán dentro de los parámetros establecidos, por ejemplo, de 1 a 5, siendo 1 la respuesta más negativa y 5 la más positiva. 2. Checklist Binario: preguntas que son formuladas con respuesta única y excluyente, Si o No; verdadero o falso.

Instituto Nacional de Estadística e Informática

41

¿Qué es la Auditoría Informática? Trazas y/o Huellas Las funciones que deben realizar los programas, tanto de los sistemas como de los usuarios deberán ser las previstas y esto debe ser verificado por el auditor informático. Es entonces que utiliza herramientas de software potentes y modulares, los que sirven de rastreadores, para dar un seguimiento a los datos a través de los programas. Las Trazas se utilizan para comprobar que las validaciones de datos previstas sean ejecutadas. El sistema no debe ser modificado absolutamente por causa de estas. Si por causa de las herramientas del auditor se da un aumento de carga se podrá optar por darle uso en los momentos más adecuados. La comprobación de los valores asignados por técnica de sistemas, se realizan por medio de productos usado por los auditores y esta comprobación se da a cada uno de los parámetros variables de las librerías más importantes del mismo, los parámetros variables deben estar sujetos a un intervalo delimitado por el fabricante. Las trazas son muy útiles, pero aún así debe repetirse lo que ha sido dicho de la Auditoría Informática de Sistemas, que el auditor utiliza la información proporcionada por el sistema. De igual forma, el sistema ayudará a detectar automáticamente sobre la detección de errores de máquina central, periféricos, etc. Las trazas son utilizadas con frecuencia por la auditoría financiero-contable convencional. Estos se usan para verificar que los cálculos se dan en forma correcta, con respecto a nóminas, primas, etc. 42 Instituto Nacional de Estadística e Informática

¿Qué es la Auditoría Informática? Software de Interrogación Los paquetes de auditoría son elementos que el auditor a utilizado hasta hace pocos años, estos son paquetes de software, los cuales son capaces de generar programas para aquellos auditores que no carecen de cualidades, desde una visión informática. Luego de un tiempo estos productos se desarrollaron, logrando realizar muestreos estadísticos, los que permitieron realizar proyecciones de acuerdo a consecuencias e hipótesis de situaciones reales de una instalación. Los paquetes de software para Auditoría Informática de hoy están orientados, a lenguajes de interrogación de ficheros y bases de datos de la empresa auditada. Los auditores internos no disponen de este software, por que cuentan sólo con software que la instalación les proporciona. Las empresas desarrolladoras de software se han visto a fabricar interfaces de transporte de datos entre computadoras personales y Mainframe, esto debido a la expansión de las redes locales y de su filosofía Cliente–Servidor, así, el auditor rescata la información más importante para su trabajo. Conectados al Host, los terminales almacenan datos que han sido proporcionados por el mismo, estos datos son tratados posteriormente de un modo PC. El auditor esta obligado a recopilar información de los usuarios finales, esto se puede hacer con mucha facilidad, de acuerdo a los productos descritos. El trabajo del auditor informático en el campo se deberá hacer con productos del cliente. Para la realización del trabajo de Auditoría Informática es importante una metodología:

Instituto Nacional de Estadística e Informática

43

¿Qué es la Auditoría Informática? METODOLOGÍA DE TRABAJO El Auditor Informático utiliza un método de trabajo el cual se divide en fases o etapas: ♦ ♦ ♦ ♦ ♦ ♦ ♦ ♦ Determinar los Alcances y Objetivos. Análisis del ambiente a Auditar y del entorno Auditable. Determinación de recursos de la Auditoría Informática. Establecer cuales son los recursos mínimos a emplear en la Auditoría. Elaboración y planteamiento del plan de trabajo y de los programas. Actividades a realizar en la Auditoría. Elaboración del informe Final. Elaboración de la Carta de Introducción correspondiente al Informe final.

DETERMINACION DE ALCANCES Y OBJETIVOS. Debe delimitarse cual va a ser el alcance que tenga la auditoría. Las funciones que se van a cumplir deben plantearse mediante un acuerdo muy preciso y este se dará entre auditores y clientes, igualmente sobre las materias y entidades a auditar. Esto es importante, pues implica un ahorro de tiempo y otorga beneficios a ambas partes, ya que de acuerdo a este punto se podrán determinar cuales son las materias, funciones o quizás organizaciones que serán auditadas. Estos alcances y limitaciones serán expresadas en el principio del informe final. Los objetivos que tiene la auditoría deben ser conocidos hasta el último detalle por las personas que harán la auditoría, así como también, los objetivos a los que su tarea quiere llegar. 44 Instituto Nacional de Estadística e Informática

¿Qué es la Auditoría Informática? La necesidad del cliente deberá ser satisfecha con el cumplimiento de sus pretensiones, de la manera que las metas trazadas sean cubiertas. Los objetivos determinados deberán añadirse a los Objetivos Generales de la Auditoría Informática, los que son: Los controles Generales de la Gestión Informática y la Operatividad de los Sistemas.

ANALISIS DEL AMBIENTE A AUDITAR Y DEL ENTORNO AUDITABLE. Para llevar a cabo esta actividad debe realizarse un análisis de exhaustivo de las funciones que cumple la informática, tanto como sus actividades generales. Para llevar a esto a cabo el auditor debe tener pleno conocimiento de: Organización: Conocer a las personas responsables, quien es el que ordena, quien diseña y quien ejecuta es importante para el auditor y todo su equipo. Deben tomarse en cuenta los siguiente puntos: Organigrama. Departamentos. Relaciones de jerarquía y funcionales organismos y la organización. Flujos de Información. Cantidad de Personal por puesto de trabajo. Número de puestos de trabajo

entre

Ambiente de trabajo Es de suma importancia que el equipo auditor conozca el ambiente sobre el cual va a trabajar y en el que se va a desenvolver.

Instituto Nacional de Estadística e Informática

45

¿Qué es la Auditoría Informática? Esto permitirá que: - Haya un conocimiento pleno de la situación geográfica de los sistemas, ya que podrá determinarse la ubicación de los Centros de Procesamiento de Datos de la organización. - Se conocerá la Arquitectura y Configuración de hardware y Software. - Inventario de Hardware y Software, es importante saber donde figuran todos los elementos físicos y lógicos de la instalación. En este inventario deben estar todos los productos lógicos del sistema, desde el software básico hasta programas de uso y adquiridos o desarrollados internamente. - Comunicación y Redes de Comunicación, las características de las líneas y de acceso a la red pública de comunicaciones deben estar a disposición del auditor. De igual forma podrán tener información de las redes locales de la empresa. Aplicaciones Bases de datos y ficheros Al final del estudio realizado por los auditores, este se cerrará y terminará con una idea global sobre los procesos informáticos realizados en la empresa auditada. Previamente deberán tener conocimiento de: 1. El volumen, antigüedad y complejidad de las aplicaciones. - Metodología del Diseño. - Documentación. - Cantidad y complejidad de Bases de Datos y Ficheros. Instituto Nacional de Estadística e Informática

46

¿Qué es la Auditoría Informática?

DETERMINACION DE RECURSOS DE LA AUDITORÍA INFORMÁTICA Una vez concluido el estudio inicial se procede a determinar la cantidad de recursos humanos y materiales que se utilizarán durante el desarrollo de la auditoría. Recursos materiales: Los recursos materiales son proporcionados por el cliente mayormente. El sistema auditado será evaluado por las herramientas de software propias del equipo, por este motivo habrá una coordinación entre el equipo auditor y el cliente. Estos recursos pueden ser de dos tipos: Recursos de software: Los mismos que pueden estar comprendidos de programas que son herramientas de auditoría, estos tienen gran potencia y flexibilidad. Luego están los monitores: son usados de acuerdo al desarrollo obtenido por la técnica del auditado, la calidad y la cantidad de los datos. Recursos de hardware: Estos recursos serán proporcionados por el cliente. Las computadoras del auditado serán evaluadas de forma obligatoria por el auditor. Para que esto se lleve a cabo, se deberá coordinar con el cliente para evitar cualquier contratiempo. Se evaluará tiempo de máquina, espacio en disco, impresoras ocupadas, etc. Recursos Humanos La materia Auditable será quien determine la cantidad de recursos, y también el personal que será asignado para su desarrollo considerando el perfil personal y profesional de cada uno. Una auditoría general se ejerce generalmente por profesionales universitarios, los cuales han Instituto Nacional de Estadística e Informática 47

¿Qué es la Auditoría Informática? obtenido en la universidad el criterio necesario para poder disernir cada situación presentada en estos casos, o también por personal con experiencia multidisciplinaria comprobada.

ELABORACIÓN Y PLANTEAMIENTO DEL PLAN DE TRABAJO Y DE LOS PROGRAMAS El plan de trabajo es una actividad que se realiza cuando ya se tienen asignados los recursos, el responsable de la auditoría y sus colaboradores son quienes tienen a cargo esta labor. Una vez terminado este comenzará a llevarse a cabo la programación del mismo. Los criterios a tomarse en consideración deben ser elaboración con sumo cuidado, pudiendo ser los siguientes: 1. La elaboración es más compleja o más costosa si se da el caso de que la revisión se realice por áreas generales o específicas. 2. Si es que la auditoría abarca toda el área informática o sólo en forma parcial, el número de auditores necesarios es determinado por el volumen a auditar, determina también las especialidades necesarias del personal. 3. Deben ser especificadas la ayudas de parte del auditado que el auditor necesitará y recibirá. 4. Las materias a auditar deben tener una escala de prioridad y esta estará dada en el plan, de acuerdo a las necesidades y prioridades del cliente. 5. Los calendarios no son de consideración dentro del plan, debido a que solo son manejados recursos genéricos y no específicos. 6. La disponibilidad de los recursos posteriormente, es establecida durante la revisión. 7. Los recursos y esfuerzos globales que serán necesarios se establecerán en el plan.

48

Instituto Nacional de Estadística e Informática

¿Qué es la Auditoría Informática? Cada miembro del grupo recibirá instrucciones y tareas a realizar, estas tareas son designadas de acuerdo al plan estructural. La programación de actividades es lo que sigue a continuación, el plan debe ser de fácil maniobrabilidad con la finalidad de aceptar modificaciones a lo largo del proyecto. 8.

ACTIVIDADES A REALIZAR EN LA AUDITORÍA Por temas generales o áreas específicas La Auditoría Informática general es realizada por áreas generales o por áreas específicas. El empleo de mayores recursos y más tiempo total se darían si es que se examina por grandes temas. Si una auditoría es realizada por áreas específicas, se acaparan las peculiaridades que afectan a al misma a la vez, de esta forma el resultado el resultado es obtenido de manera más rápida pero con menor calidad. Técnicas de Trabajo - Estudio exhaustivo de la información recopilada del personal auditado. - Análisis de información propia. - Cruce de ambas informaciones. - Entrevistas. - Muestreos. - Simulación. Herramientas a utilizar Cuestionario inicial general. Simuladores (Generadores de Datos). Cuestionario Checklist. Matrices de riesgo. Estándares. Paquetes de auditoría (Generadores de Programas). Simuladores (Generadores de Datos). Monitores. Instituto Nacional de Estadística e Informática 49

-

¿Qué es la Auditoría Informática?

ELABORACIÓN DEL INFORME FINAL. El documento final, el cual refleja el trabajo realizado, los procedimientos llevados a cabo y las conclusiones finales y sus respectivas recomendaciones, se materializa en el informe final. De acuerdo a la elaboración final del informe se determina la calidad del trabajo realizado. Antes de la elaboración de este informe ya se han realizado varios borradores en los cuales las opiniones del auditor y del auditado son contrastadas, para así disipar cualquier duda que pueda existir o descubrir algún fallo de apreciación por parte del auditor. El informe se realizará comenzando con la fecha de inicio de la auditoría y la fecha de redacción del mismo. Aquí son incluidos los nombres del personal perteneciente al equipo auditor, y los nombres de las personas auditadas, con indicación de jefatura, responsabilidad y puesto de trabajo que ostente. Se determinan los objetivos y alcances de la auditoría, enumerando los temas considerados. Y se enumeran de manera exhaustiva los temas objeto de la Auditoría, antes de entrar profundamente en cada uno de ellos. Para la exposición de los temas evaluados se seguirá un orden, el cual es: - La situación actual, esta actividad es realizada cuando se trata de una revisión periódica, aquí no solo se analiza el estado actual sino también el progreso que haya tenido en el tiempo. Se dará a conocer el estado actual y luego se expondrá la situación real. Instituto Nacional de Estadística e Informática 51

-

-

-

¿Qué es la Auditoría Informática? Las tendencias que existen, de acuerdo a los parámetros establecidos, se hará una proyección de la evolución futura. Se expondrán los puntos débiles y las amenazas. Se darán las recomendaciones y los planes de acción, aquí se expondrá el verdadero objetivo de la auditoría informática, junto con la exposición de los puntos débiles. Por último se redactará la carta de presentación o introducción

Sobre la exposición del informe final se puede decir que: El informe debe incluir hechos netamente importantes, ya que los hechos irrelevantes no hacen más que distraer la atención del lector. Los hechos que se describen en el informe deben ser sustentados por el mismo. Es decir que, estos hechos deben estar documentalmente probados y soportados mediante una verificación objetiva. Y esta verificación debe seguir criterios que serán: - Podrán ser sometidos a cambios. - El cambio otorgará ventajas que superarán los inconvenientes derivados de mantener la situación. - No habrá alternativas viables que superen al cambio propuesto. - Las recomendaciones del auditor serán utilizadas para mantener o mejorar las normas y estándares existentes en la instalación.

-

Los hechos que aparecen en un informe de auditoría significan que pueden ser una debilidad la cual debe ser corregida. 52 Instituto Nacional de Estadística e Informática

¿Qué es la Auditoría Informática? Flujo del hecho o debilidad: Cuando se da una ocurrencia la cual reporta un hecho o una debilidad, entonces se da un flujo que es como sigue:

Cuando se encuentra un hecho: - Todo hecho tiene importancia para el auditor y el cliente. - Tiene que tener un fundamento para ser convincente y debe ser exacto. - Los hechos no deben repetirse. Qué consecuencias puede traer este hecho: - Estas consecuencias deben ser redactadas, de tal forma que puedan deducirse del hecho. Consecuencias ocasionadas por el hecho: - Las consecuencias directas que el hecho pueda ocasionar serán redactadas, debido a que las influencias directas pueden darse sobre aspectos informáticos u otros ámbitos de la organización. - Las conclusiones se dan sólo en el caso de que los casos expuestos sean de condición extensa, o en todo caso si es que tienen un grado de complejidad grande. El Auditor Informático y sus recomendaciones: Las recomendaciones deberán ser simples y entendibles, con sólo leerlas. Tendrán una sustentación bien fundamentada. Deberá ser claro y exacto en el tiempo, así, su implementación podrá ser verificada. Las recomendaciones serán expresadas en forma directa a personas que puedan hacer la implementación respectiva.

-

Instituto Nacional de Estadística e Informática

53

¿Qué es la Auditoría Informática?

ELABORACIÓN DE LA CARTA DE INTRODUCCIÓN CORRESPONDIENTE AL INFORME FINAL Esta carta es muy importante debido a que es un resumen bastante compacto de la Auditoría Realizada. Esta carta va dirigida a la persona que se encuentra como responsable de la empresa, o en todo caso a la persona que pidió la auditoría. El informe final podrá tener tantas copias como sea solicitado el cliente, pero sólo se presentará una carta de introducción o presentación. La carta de introducción constará de: - Deberá expresar de manera explícita la cantidad de áreas analizadas. - Se deben incluir fechas, objetivos, alcances y naturaleza. - Deberá tener un máximo de 4 folios. - Dará a conocer una conclusión general, explicando cuales son las áreas más débiles - Las Debilidades serán expuestas llevando un orden el cual se regirá de acuerdo a la importancia o gravedad. - Nunca deben escribirse recomendaciones.

54

Instituto Nacional de Estadística e Informática

¿Qué es la Auditoría Informática?

CONCLUSIONES La Auditoría Informática es importante, en toda empresa ya sea pública o privada y basta que posean Sistemas de Información que tengan un grado de complejidad considerable, deben ser sometidas a un riguroso control, y a una evaluación constante de eficacia y eficiencia. Prácticamente un porcentaje considerable de las empresas de hoy tienen su información estructurada en Sistemas informáticos, ese es el motivo para que estas entidades se preocupen por su correcto funcionamiento. La informatización de las empresas de hoy, es obligada, debido a que la eficiencia de estas depende de sus sistemas de Información. La vulnerabilidad de los sistemas hará que las empresas nunca salgan adelante por más que cuenten con un personal altamente calificado La Auditoría deberá realizarse con gente muy capaz, seria, con minuciosidad y responsabilidad. Ya que una Auditoría mal hecha, puede traer consecuencias económicas graves para la empresa que ha sido evaluada.

Instituto Nacional de Estadística e Informática

55

Sign up to vote on this title
UsefulNot useful