Professional Documents
Culture Documents
1. Introducción
Aunque habitualmente hablamos de Auditoría Informática, sería preferible
hablar de Auditoría gn Informática, como dicen muchos de nuestros colegas de
Hispanoamérica. Al mismo tiempo hemos de ir adaptando la denominación a la
realidad: Auditoría de Sistemas de Información; a algunos les faltará espacio en
las tarjetas si quieren precisar más y dicen Auditor en Sistemas de Información
(SI) y en Tecnología(s) de la Información TI), pero ¿cuántos sistemas de
información empresariales hoy día no están basados en TI?
Miguel A. Ramos, Doctor en Informática (tesis sobre A.I.), CISA (Certified Information
Systems Auditor por ISACF), del Comité Directivo de OAI - ISACA; profesor de Al. en la
Universidad Carlos III de Madrid. Coautor de libros técnicos. Socio Director de IEE Informáticos
Europeos Expertos. E-mail: mramos •ee.es.
Hace algunos años se hablaba en inglés de EDP Auditor. auditor en proceso
electrónico de datos, pero también hablábamos de mecanización antes de eso. No
se trata ahora de una modernización de términos sino de una nueva orientación
de este tipo de auditoría, que puede abarcar globalmente los sistemas de
información: la planificación, el grado de alineamiento con las estrategias de las
entidades, cÓmo los SI y el aprovechamiento de las TI aportan ventajas
competitivas a la entidad, la gestión de los recursos, y la medida de la rentabilidad
Informática y Derecho
657
de todo ello, que es quizá el único punto que personalmente temo cuando se nos
sugiere por parte de los clientes a la hora de establecer objetivos de la auditoría:
algunas entidades tienen detallados sus costes (contabilidad analítica), pero
¿cómo cuantificar los auditores en algunas semanas las ventajas y los beneficios
si la propia entidad no ha podido hacerlo en toda su existencia?
2. Justificación
Otros supuesto tan peligroso o más sería tratar de impartir justicia sin leyes.
Por tanto, los auditores estamos habituados a tener que auditar sistemas de
información en entidades sin políticas, con un marco legal incompleto, y usando
estándares internacionales, que a menudo los auditados ponen en tela de juicio
porque no están obligados a cumplirlos.
658
ficheros, tienen plan de continuidad a diferentes niveles, realizan auditorías de
los
S.l...?
En definitiva, como decía un cliente: "No pasan más cosas porque Dios es
bueno", y no conocemos la mayor parte de las que pasan, porque ya se ocupan
las entidades de que no se difundan.
Controles directivos, que son los que establecen las bases, como las propias
políticas, o la creación de funciones: de administraciÓn de seguridad o auditoría
de S.l. interna.
Controles preventivos: antes del hecho, como la identificación de visitas o
las contraseñas.
Informática y Derecho
659
Controles de recuperación, que facilitan la vuelta a la normalidad después de
accidentes o Interrupciones, como puede ser un plan de continuidad adecuado.
660
sustentada en normativa, o habiendo partido ésta de los propios técnicos, sin
aprobaciones de otro nivel.
Más dificil que entre control y auditoría puede resultar matizar las diferencias
entre auditoría e inspección, y no bastaría con decir que Inspección es el concepto
clásico y auditoría es un concepto anglosajón y de orientación moderna, aunque
el término auditoría provenga del latín y los antiguos ya llevaran a cabo
auditorías, al parecer principalmente escuchando las declaraciones de los
auditados.
Informática y Derecho
661
confunden con la auditoría de cuentas con ayuda del
ordenador, si bien es claro que el objeto a examinar
en ese caso son los estados contables, balances y otros
documentos y aun ficheros de ordenador (incluso con
ayuda de paquetes) pero no deja de ser el ordenador el
medio o la herramienta, no el objeto.
dichaspolíticas, estándaresyProcedimientos,
los objetivosfijados, losplanes,
662
losPresupuestos, los contratosy las normas
legales aplicables,
5. El auditor en S.l.
El perfil que se requiere para llevar a cabo auditorías de sistemas de
información no está regulado, pero es evidente que es necesaria una formación y
sobre todo una experiencia acordes con la función, e incluso con las áreas a
auditar: seguridad, desarrollo de aplicaciones, gestión... además de ser
imprescindibles en el peEfil otras características o circunstancias como
independencia respecto a los auditados, madurez, capacidad de análisis y síntesis,
e Interés no meramente económico.
Informática y Derecho
663
del organigrama, fuera en todo caso del área de S.l., circunstancia que no se
cumple en gran número de entidades en España.
6. Auditoría de la Seguridad
664
Y la protección no ha de basarse sólo en dispositivos y medios fisicos, sino
en formación e información adecuada al personal, empezando por la
mentalización a los directivos para que, en "cascada", afecte a todos los niveles
de la pirámide organizativa.
Informática y Derecho
665
En un proceso de auditoría, por tanto, se evaluarán estos aspectos, y otros
como si la seguridad es realmente una preocupación corporativa: que exista
presupuesto para ello no es suficiente, si las personas a diferentes niveles están
mentalizadas; que exista una cultura de la seguridad, si hay un comité que fije o
apmebe los objetivos correspondientes y en qué medida se alcanzan, qué modelo
de seguridad se quiere implantar o se ha implantado, qué políticas y
procedimientos existen: su idoneidad y grado de cumplimiento, así como la
forma en que se realiza el desarrollo: en un entorno seguro y con inclusión de
controles en las aplicaciones, si el proceso se lleva a cabo igualmente en un
entorno seguro: separación de programas y separación en cuanto a datos, si los
seguros cubren los riesgos, pero sin que sea ésta la única medida de protección,
y si está prevista la continuidad de las operaciones en el caso de Incidencias.
Lo mejor sería poder eliminar los riesgos en todos los casos, pero
normalmente lo más que conseguimos es disminuir o la probabilidad de que algo
se produzca o bien su Impacto: con sistemas de detección, de extinción, mediante
revisiones, o bien copiando ficheros críticos, exigiendo una contraseña, u otros
controles según los casos.
666
Los manuales hablan de transferir los riesgos, por ejemplo contratando un
seguro, pero debemos recordar que si se nos pierden los datos la entidad
aseguradora nos dará el importe estipulado -si no puede agarrarse a alguna
cláusula en letra pequeña- pero seguiremos sin recuperar los datos.
Volviendo a los aspectos físicos, que son una de las barreras más visibles, hay
puntos a considerar en la auditoría, desde el emplazamiento del centro de
procesos o de los servidores y terminales, el control de accesos, el uso de llaves,
protecciones frente al fuego, agua, vandalismo, robo, y hasta la continuidad de la
energía; respecto a la continuidad en general es fundamental disponer de copias
actualizadas en un lugar adecuado.
•La contraseña debe ser fácil de recordar por el verdadero usuario, para evitar
que la tenga que escribir, y difícil de imaginar por otros.
Informática y Derecho
667
•En la mayoría de casos y entornos (no en todos) es preferible que la asigne
el propio usuario, si bien siguiendo criterios adecuados.
•En todo caso es necesar10 investigar los intentos de acceso fallidos para
verificar si se trata de errores del usuar10 0 intentos de suplantación.
•Las contraseñas han de tener una vigencia limitada, por ejemplo treinta días;
incluso las puede haber de un sólo uso.
Criterios de asignación:
'En todo caso debe fijarse una longitud mínima según la criticidad de lo que
se quiere proteger: el código que usamos para los cajeros de entidades financieras
tiene 10.000 posibilidades (104), pero si ampliamos la longitud a seis, y
utilizamos además de cifras las letras (unas 26 si el sistema no admite diferenciar
mayúsculas y minúsculas) y algunos símbolos como *, $... (pensemos que hasta
cinco símbolos) tenemos 416 posibilidades.
668
La realidad demuestra que a menudo se asignan palabras que están en un
procesador de textos, con lo que alguien que conozca algunos de sus caracteres
puede llegar a averiguar los restantes.
•Se puede elegir una letra (por ejemplo la primera) de cada palabra de una
frase: refrán, título de una película...
O bien tomar una palabra de un libro (incluso siempre del mismo) y del que
anotamos página, línea y número de palabra, en vez de anotar la contraseña.
•Es evidente que ha de conocerla sólo el usuario y hay que evitar contraseñas
de grupo o departamentales, para poder saber quién hizo qué (además de cuándo
y desde dónde) y poder exigir responsabilidades.
Informática y Derecho
669
Los métodos de los romanos: sustitución de caracteres de un alfabeto (en todo
el mensaje la A por la L, la M por la S...) o transposición (por ejemplo la primera
letra pasa al lugar de la quinta, la cuarta al segundo lugar del texto...) resultarían
hoy pueriles, sobre todo usando los propios ordenadores para el criptoanálisis.
Los métodos modernos son mucho más complejos y sus algoritmos más
sofisticados, aunque en muchos casos basados en la sustitución y transposición,
pero a nivel de "bits" y con todos los caracteres ASCII o EBCDIC.
El más extendido en aplicaciones comerciales, aunque muy discutido en los
últimos años, es el DES ("Data Encryption Standard") que IBM desarrolló con el
nombre interno de "Lucifer". Es de clave privada y simétrico, es decir la clave
para descifrar es la misma que para cifrar.
Entre los sistemas asimétricos de clave pública destaca RSA (de sus autores
"Rivest, Shamir, Adleman"), basado en las propiedades de los números primos
relativos y los residuos cuadráticos.
Deben limitarse los intentos de acceso para evitar que accedan suplantadores
por intentos sucesivos, y en algunos casos es preferible establecer una llamada
de retorno: el sistema identifica al usuario que quiere acceder y le obliga a
"colgar" para ser el propio sistema el que llama a la dirección registrada como
válida.
En el caso de las redes locales, son aplicables muchos de los controles de las
grandes redes, además de establecer controles específicos de prevención y
detección de virus y proteger la configuración de manera que los usuarios sólo
puedan realizar las funciones autorizadas, en cuanto a cambios, carga de
programas, transferencia de ficheros, y otras, para evitar fugas de datos,
introducción de virus y carga o copias "pirata" de programas.
670
controles van más dirigidos a tratar de garantizar una (o dos) de estas
características.
Informática y Derecho
671
Otro caso grave es la ausencia de disponibilidad absoluta, por haberse
producido algún desastre. En ese caso, a medida que pasa el tiempo el impacto
será mayor, hasta llegar a suponer la falta de continuidad de la entidad, como ha
pasado en muchos de los casos producidos (más de un 800/0 según las
estadísticas).
Por tanto, los datos son uno de los activos que más y mejor debemos proteger,
hasta el punto de que en muchas multinacionales la función que conocemos como
administración de seguridad se llama data security: es necesaria la designación
de propietarios, clasificación de los datos, restricción de su uso para pruebas,
inclusión de muescas para poder detectar usos no autorizados, así como
aprovechar las posibilidades del Sistema de Gestión de Bases de Datos que se
esté utilizando.
Uno de los primeros pasos que deben dar las entidades es la clasificación de
la Información: definición de unos cuantos niveles y asignación de categorías,
como pueden ser: Pública (no clasificada), Confidencial o Restringida, Secreta,
e incluso de Alto Secreto ("TOP SECRET"), además de pendiente de clasificar.
De este modo se podrá definir qué pueden conocer los empleados de tal
departamento, o restringir la variación de determinados datos a tal función.
672
Cuando se trata de bases de datos con diferentes niveles de confidencialidad
e integridad se pueden usar bases de datos multinivel, que permiten etiquetar los
elementos de datos, y que usuarios o grupos de usuarios con distintos niveles de
acceso tengan vistas diferentes de la misma base de datos.
Como sobre todo en las entidades grandes y medias los sistemas se basan en
redes de redes, con conexiones internas y externas, es necesario proteger y
controlar los sistemas frente a posibles transferencias de ficheros, ya que los datos
que pueden estar perfectamente protegidos en equipos centrales, una vez que son
transferidos a redes con menor protección pueden a su vez transferirse a equipos
de uso personal e Incluso portátiles.
Informática y Derecho
673
con la misma etiqueta de seguridad que hayan podido tener lmcialmente según su
clasificación.
y Derecho
674
ll!formática
los clientes, y también pensando en los empleados y en los proveedores.
7. Auditoría de la Gestión
Es una de las áreas más novedosas para los auditores, hasta el punto de que a
veces en los cursos nos preguntan, incluso profesionales con experiencia, si
realmente tendrían que abordar también estas áreas.
Organigrama adecuado.
Contratos.
•La llamada informática de usuario final, así como la existencia del gran
almacén de datos (Data Warehouse) y su aprovechamiento, llegando a la minería
de datos o Data Mining.
Informática y Derecho
675
8. Auditoría del Desarrollo de Aplicaciones
El diseño y las pruebas tienen mucho que ver con la calidad, relacionada en
muchos aspectos con la seguridad; así, deben probarse los módulos, rutinas y
programas, realizar pruebas en cadena, de volumen o de "estrés", de aceptación
(por parte de los usuarios, por la unidad de producción o explotación, y por el
área de mantenimiento de aplicaciones), además de considerar la posibilidad de
lanzar versiones alfa y beta, y realizar paralelos.
9. Auditoría de la Producción
676
simulación en paralelo con datos reales y programas de auditor, o la revisión de
programas.
ll. El informe
El informe debe ser escrito en todos los casos, y debe ir firmado.
En cada punto que se incluya debe explicarse, siempre que sea posible, por
qué es un Incumplimiento o una debilidad, y alguna recomendación, a veces
abarcando varios puntos.
La entidad decide qué acciones tomar, y en el caso de los internos suelen hacer
también un seguimiento de las implantaciones.
12. Conclusión
Informática y Derecho
677
La forma de realizar el trabajo va variando y se está llegando a aplicar el
control por excepción y la teleauditoría.
678