Auditoría Informática

MIGUEL ANGEL RAMOS GONZÁLEZ*

Doctor en Informática.
Socio-Director de Informáticos Europeos Extertos (IEE)

Sed quis custodiet ipsos custodes (Juvenal)

1. Introducción
Aunque habitualmente hablamos de Auditoría Informática, sería preferible
hablar de Auditoría gn Informática, como dicen muchos de nuestros colegas de
Hispanoamérica. Al mismo tiempo hemos de ir adaptando la denominación a la
realidad: Auditoría de Sistemas de Información; a algunos les faltará espacio en
las tarjetas si quieren precisar más y dicen Auditor en Sistemas de Información
(SI) y en Tecnología(s) de la Información TI), pero ¿cuántos sistemas de
información empresariales hoy día no están basados en TI?

Miguel A. Ramos, Doctor en Informática (tesis sobre A.I.), CISA (Certified Information
Systems Auditor por ISACF), del Comité Directivo de OAI - ISACA; profesor de Al. en la
Universidad Carlos III de Madrid. Coautor de libros técnicos. Socio Director de IEE Informáticos
Europeos Expertos. E-mail: mramos •ee.es.
Hace algunos años se hablaba en inglés de EDP Auditor. auditor en proceso
electrónico de datos, pero también hablábamos de mecanización antes de eso. No
se trata ahora de una modernización de términos sino de una nueva orientación
de este tipo de auditoría, que puede abarcar globalmente los sistemas de
información: la planificación, el grado de alineamiento con las estrategias de las
entidades, cÓmo los SI y el aprovechamiento de las TI aportan ventajas
competitivas a la entidad, la gestión de los recursos, y la medida de la rentabilidad

Informática y Derecho

657
de todo ello, que es quizá el único punto que personalmente temo cuando se nos
sugiere por parte de los clientes a la hora de establecer objetivos de la auditoría:
algunas entidades tienen detallados sus costes (contabilidad analítica), pero
¿cómo cuantificar los auditores en algunas semanas las ventajas y los beneficios
si la propia entidad no ha podido hacerlo en toda su existencia?

2. Justificación

La Auditoría en Sistemas de Información como función interna está

plenamente justificada en las entidades de cierto volumen o criticidad de sus
operaciones, o simplemente más avanzadas en cuanto a planteamientos, y en esos
mismos casos y en otros puede estar igualmente justificada la Auditoría en
Sistemas de Información externa: ambas pueden complementarse, lejos de ser
excluyentes.

Tanto la normativa como la auditoría son necesarias: una auditoría Sin

estándares y normas sería subjetiva y hasta peligrosa (aunque en SI es una
situación habitual, que no normal); la existencia de normativa auditoría podría
equivaler a la no existencia de la Guardia Civil de Tráfico, lo que incrementaría
los accidentes, e iría convirtiendo la circulación en caótica y peligrosa.

Otros supuesto tan peligroso o más sería tratar de impartir justicia sin leyes.

Por tanto, los auditores estamos habituados a tener que auditar sistemas de
información en entidades sin políticas, con un marco legal incompleto, y usando
estándares internacionales, que a menudo los auditados ponen en tela de juicio
porque no están obligados a cumplirlos.

En el panorama tecnológico cambiante que nos ha tocado vivir los riesgos

varían a gran velocidad según aparecen nuevas modalidades de proceso, pero
también surgen nuevos controles, técnicas y herramientas, si bien es aún largo el
camino que queda en la protección.

A modo de reflexión ¿cuántas entidades disponen de políticas y

procedlnuentos adecuados, así como de mecanismos para revisar su
cumplimiento? ¿cuántas de clasificación de la información? ¿de separación de
entornos en cuanto a programas y datos? ¿cuántas han asignado "propietarios" de

658
ficheros, tienen plan de continuidad a diferentes niveles, realizan auditorías de
los
S.l...?

Vendrían bien algunas estadísticas, que por ahora no se tienen.

En definitiva, como decía un cliente: "No pasan más cosas porque Dios es
bueno", y no conocemos la mayor parte de las que pasan, porque ya se ocupan
las entidades de que no se difundan.

3. Control, Auditoría, e Inspección

Podemos considerar, en este contexto, que un control aislado es una acción o

actividad, o un conjunto de ellas, realizadas por uno o varios elementos:
humanos, dispositivos... para prevenir, detectar o corregir errores o
irregularidades que afecten al funcionamiento de algo.

Cuantos mejores controles tengamos -no es por tanto cuestión de

númeromayor fiabilidad alcanzaremos, si bien debemos considerar también
factores como coste y productividad.

Los grandes gmpos de controles son los siguientes, además de poderlos

dividir en manuales y automáticos, o en generales y de aplicación:

Controles directivos, que son los que establecen las bases, como las propias
políticas, o la creación de funciones: de administraciÓn de seguridad o auditoría
de S.l. interna.
Controles preventivos: antes del hecho, como la identificación de visitas o
las contraseñas.

Controles de detección, como determinadas revisiones de accesos

producidos, o la detección de incendios.

Controles correctivos, para rectificar errores o acciones Intencionadas, como

la recuperación de un archivo dañado desde una copia.

Informática y Derecho

659
 Controles de recuperación, que facilitan la vuelta a la normalidad después de
accidentes o Interrupciones, como puede ser un plan de continuidad adecuado.

Debemos hablar también de Objetivos de Control, como declaraciones sobre

el resultado final deseado o propósito a ser alcanzado mediante los
procedimientos de control, como los recogidos en las publicaciones COBIT
(Control Objectivesfor Information and Related Technologies) de ISACA (Information
Sosten Audit and ContmlAssociation / Foundation).

Cada entidad ha de definir sus propios objetivos de control, y crear y

mantener un Sistema de Control Interno (funciones, procesos, actividades,
dispositivos...) que puedan garantizar que se alcanzan y se cumplen los objetivos
de control.

La auditoría puede considerarse el "control del control", como una línea de

defensa más.

Además de quienes ejercen funciones de control o de auditoría de S.l.

podemos encontrar otros órganos o gmpos relacionados como: Auditores
financieros u operativos, Inspección de Hacienda, Inspección del Banco de
España (para entidades financieras), Inspección de la Agencia de Protección de
Datos (para los de carácter personal), auditores informáticos venidos de otros
países en el caso de multinacionales, auditores de calidad, o administradores de
la seguridad.

Los auditores somos los "ojos y oídos" de la Dirección, que a menudo no

puede, o no debe, o no sabe, cómo realizar las verificaciones o evaluaciones.

En los informes se recomendará la implantaciÓn o refuerzo de controles, y

en ocasiones incluso que se considere la supresión de controles, si son
redundantes o ya no son necesarios.

Se debe valorar qué cuesta implantar -y mantener- un control, frente al coste de

no Implantarlo.

El sistema de control interno se basa en las políticas, y en parte se puede

implantar con apoyo de herramientas, si bien encontramos a menudo que lo que
existe es más bien la implantación basada en el criterio de los técnicos, pero no

660
sustentada en normativa, o habiendo partido ésta de los propios técnicos, sin
aprobaciones de otro nivel.

El control interno no está aún generalizado en España fuera de los procesos

que implican pagos, pero existen otros riesgos tan importantes o más que las
pérdidas monetarias directas, relacionados con la gestión adecuada de los
recursos informáticos o con la protección de la información, que en este último
caso podrían suponer responsabilidades y pérdidas muy importantes para la
entidad.

Si existe un sistema de control interno adecuado los procesos de auditoría,

especialmente si son periódicos, son revisiones que requieren menos esfuerzo,
con informes más breves; si el sistema de control interno es débil, la auditoría
llevará más tiempo, su coste será mayor, y las garantías de que se pongan en
marcha las recomendaciones son mucho menores; en ocasiones la situación dista
tanto de lo aceptable como la del paciente que se somete a un chequeo después
de varios años Sin control.

Más dificil que entre control y auditoría puede resultar matizar las diferencias
entre auditoría e inspección, y no bastaría con decir que Inspección es el concepto
clásico y auditoría es un concepto anglosajón y de orientación moderna, aunque
el término auditoría provenga del latín y los antiguos ya llevaran a cabo
auditorías, al parecer principalmente escuchando las declaraciones de los
auditados.

Hoy día es más común hablar de auditoría en las entidades privadas, y de

inspección en las Administraciones Públicas, no habiendo calado aún el enfoque
de auditoría, con alguna excepción como el grupo existente en el Ministerio de
Economía y Hacienda, integrado por Inspectores de la Hacienda Pública.

También podemos preguntarnos las afinidades entre consultoría y auditoría de

s.l.

4. Áreas que puede abarcar la Auditoría

En realidad el concepto que tienen muchos respecto
a la auditoría de S.l. no es exacto, y a menudo la

Informática y Derecho

661
confunden con la auditoría de cuentas con ayuda del
ordenador, si bien es claro que el objeto a examinar
en ese caso son los estados contables, balances y otros
documentos y aun ficheros de ordenador (incluso con
ayuda de paquetes) pero no deja de ser el ordenador el
medio o la herramienta, no el objeto.

Simplificando podríamos decir que la auditoría de

S.l. es la revisión de éstos y de su entorno, y ello
no Implica que haya que usar el ordenador: puede
tratarse por ejemplo de una auditoría de funciones, de
desarrollo de aplicaciones, de gestión de proyectos,
etc.

Aunque a veces se asocia auditoría de S.l. con

auditoría de la seguridad, y ésta es la función inicial
de muchas áreas de auditoría de S.l. interna, la
auditoría puede abarcar muchas otras áreas cómo hemos
señalado, y de hecho es dificil determinar qué áreas
no podría abarcar, sobre todo si se entra en la
auditoría de la gestión de los propios S.l.

Una vez centrado el tema, a modo de descripción más

que de definición formal se propone:

La auditoría de sistemas de información puede comprender:

la misión, análisis y evaluación independiente y objetiva, por parte de Personas

independientesy técnicamente competentes de:

el entomo informático de una entidad, abarcando todas o algunas

de sus áreas, como (sin que sea con carácter excluyente):

equipos, sistemas operativosyPaquetes, aplicacionesy elproceso

de su desamollo, organizaciónyfunciones, las comunicaaones,
lapropia gestión de los recursos informáticos, la calidad
depmcesosypmductos las políticas, estándaresy Procedimientos en
vigor en la entidad, su idoneidad así como el cumplimiento de:

dichaspolíticas, estándaresyProcedimientos,
los objetivosfijados, losplanes,

662
 losPresupuestos, los contratosy las normas
legales aplicables,

elgrado de satisfacción de usuariosy directivos, los controles

existentes, un análisis de losposibles riesgos relacionados con la
Informática.

Como consecuencia de la revisión y examen ha de emitirse un informe escrito

que resuma la situación desde un punto de vista independiente y objetivo y, en su
caso, dicho informe ha de incluir deficiencias e indicación de mejoras.

Una de las utilidades indirectas de la auditoría de sistemas de información es

el apoyo a la auditoría de cuentas, ya que hoy día la mayoría de los entornos
cuentan con equipos informáticos para su gestión.

Es evidente que en general no puede considerarse totalmente fiable una

auditoría de cuentas de un entorno informatizado que no vaya acompañada de
una auditoría informática, que asegure que todo el proceso de los datos así como
los propios programas están razonablemente exentos de error y de fraude. Para el
auditor sin conocimientos técnicos es como encontrarse con una "caja negra"

5. El auditor en S.l.
El perfil que se requiere para llevar a cabo auditorías de sistemas de
información no está regulado, pero es evidente que es necesaria una formación y
sobre todo una experiencia acordes con la función, e incluso con las áreas a
auditar: seguridad, desarrollo de aplicaciones, gestión... además de ser
imprescindibles en el peEfil otras características o circunstancias como
independencia respecto a los auditados, madurez, capacidad de análisis y síntesis,
e Interés no meramente económico.

En el seno de la citada ISACA existe un certificado relacionado: CISA

(Certif¿ed Information Systems Auditor).

Otro punto a considerar al crear la función Interna es si se forma a técnicos en

auditoría general o se forma a auditores en otras áreas en auditoría en S.l. La
independencia se consigue en parte ubicando la función en el lugar adecuado

Informática y Derecho

663
 del organigrama, fuera en todo caso del área de S.l., circunstancia que no se
cumple en gran número de entidades en España.

6. Auditoría de la Seguridad

Como decíamos, en algunos casos se llega a confundir auditoría con

seguridad, e incluso hemos encontrado a personas que ostentaban ambas
funciones a la vez, lo que es ilógico e incompatible.

La seguridad es una de las áreas objeto de la auditoría de S.l. pero en absoluto

la única ni en todos los casos la más importante: podrían estar los datos y los
sistemas muy seguros, y sin embargo por ejemplo estar sin cubrir las necesidades
de la entidad, porque las aplicaciones y las inversiones en SI y TI se hubieran
realizado sin alineamiento con las estrategias de negocio o de servicio de la
entidad.

Desde la perspectiva de la auditoría de la seguridad es necesario revisar si se

han considerado las amenazas, o bien evaluarlas si es el objeto, y de todo tipo:
errores y negligencias en general, desastres naturales, fallos de instalaciones, o
bien fraudes o delitos, y que pueden traducirse en daños a personas, datos,
programas, redes, instalaciones, u otros, y llegarse a traducir en un peor servicio,
imagen degradada, e incluso pérdida irreversible de datos.

Debemos pensar que las medidas deben considerarse como INVERSIONES

en seguridad, aunque en algunos casos se nos diría que no es fácil reflejarlas
como activos contables y que cual es su rentabilidad; podemos estar de acuerdo,
pero ¿cuál es la rentabilidad de blindar la puerta de acceso a nuestro domicilio, o
la de instalar un antirrobo sofisticado en nuestro coche? Esa rentabilidad la
podemos determinar si los dispositivos o controles han semido para evitar la
agresión, y a veces habrá constituido una medida disuasoria y no llegaremos a
enterarnos de su efecto positivo.

En todo caso la seguridad tiene un Impacto favorable en la imagen de las

entidades, aunque ello sólo no suela justificar sus costes, y tanto para clientes y
posibles clientes como para los empleados. Unos y otros pueden sentirse más
protegidos, así como considerar más protegidos sus activos.

664
 Y la protección no ha de basarse sólo en dispositivos y medios fisicos, sino
en formación e información adecuada al personal, empezando por la
mentalización a los directivos para que, en "cascada", afecte a todos los niveles
de la pirámide organizativa.

Algunos autores se refieren a los accidentes no humanos como actos de Dios;

cuando ha habido intervención humana en muchos casos ha participado alguien
de la propia entidad afectada, al menos facilitando información sobre controles
existentes y sus debilidades. Cuando los sistemas informáticos son el fin más que
el medio se suele distinguir entre el cracker: alguien que quiere entrar en los
sistemas para hacer daño, y el hacker: quien Intenta acceder a los sistemas más
para demostrar (a veces sobre todo para demostrarse a sí nusmo/a) de qué es
capaz, y que puede superar las barreras de protección que se hayan establecido,
más que por hacer daño, aunque finalmente todos lo hagan de una forma más o
menos directa.

Frente a ello en la auditoría se recomiendan controles, que debieran poder

fundamentarse en la seguridad jurídica, si bien todavía hay muchos aspectos que
nuestras leyes no recogen: no se exige hacer copias de seguridad, por ejemplo,
aunque son evidentes los riesgos de no hacerlo, y de forma especial cuando las
amenazas se han traducido en incidencias.

Debieran también apoyarse los controles, en segundo término, en lo que

podemos denominar seguridad organizativo - administrativa, consistente en
políticas, normas y procedimientos, separación de funciones, funciones
específicas como administración de seguridad o la propia de auditoría Interna,
designación de propietarios, clasificación de la información, y otras.

En relación con la separación de tareas: es peligroso que una misma persona

realice una transacción, la autorice, y revise después los resultados (un diario de
operaciones, por ejemplo), porque podría planificar un fraude o encubrir
cualquier anomalía, y sobre todo equivocarse y no detectarse; por ello deben
Intervenir funciones / personas diferentes y existir controles suficientes.
Después ya podemos llegar a otros controles más extendidos de seguridad
física y lógica.

Informática y Derecho

665
 En un proceso de auditoría, por tanto, se evaluarán estos aspectos, y otros
como si la seguridad es realmente una preocupación corporativa: que exista
presupuesto para ello no es suficiente, si las personas a diferentes niveles están
mentalizadas; que exista una cultura de la seguridad, si hay un comité que fije o
apmebe los objetivos correspondientes y en qué medida se alcanzan, qué modelo
de seguridad se quiere implantar o se ha implantado, qué políticas y
procedimientos existen: su idoneidad y grado de cumplimiento, así como la
forma en que se realiza el desarrollo: en un entorno seguro y con inclusión de
controles en las aplicaciones, si el proceso se lleva a cabo igualmente en un
entorno seguro: separación de programas y separación en cuanto a datos, si los
seguros cubren los riesgos, pero sin que sea ésta la única medida de protección,
y si está prevista la continuidad de las operaciones en el caso de Incidencias.

En ocasiones la entidad está en medio de un proceso de implantación de la

seguridad, y la evaluación normalmente abarcará qué proyectos hay en curso, y
un contraste de los objetivos y los medios usados o previstos.

Aunque no es posible en esta ocasión profundizar en todos los puntos sí

queremos incluir algunos comentarios sobre algunos de ellos: en cuanto a
evaluación de riesgos en general, se trata de evaluar la probabilidad de que algo
ocurra y el impacto o pérdida que puede suponer; para ello disponemos de listas,
que podemos incluir en hojas de cálculo, o bien usamos paquetes, y tal vez en el
futuro sistemas expertos. El problema sigue siendo la adaptación de los puntos a
cada caso: tales como actividad, dimensión, tipo de datos, y plataformas, y
asignar el peso que puede tener cada uno de los puntos.

En el informe se explican los diferentes puntos, e incluso se clasifican por

importancia, y la entidad decide qué acciones tomar y con qué prioridad, a veces
en función de sus disponibilidades de recursos, o bien según qué planes tenga
que puedan afectar, como puede ser la sustituciÓn de equipos o de aplicaciones.

Lo mejor sería poder eliminar los riesgos en todos los casos, pero
normalmente lo más que conseguimos es disminuir o la probabilidad de que algo
se produzca o bien su Impacto: con sistemas de detección, de extinción, mediante
revisiones, o bien copiando ficheros críticos, exigiendo una contraseña, u otros
controles según los casos.

666
 Los manuales hablan de transferir los riesgos, por ejemplo contratando un
seguro, pero debemos recordar que si se nos pierden los datos la entidad
aseguradora nos dará el importe estipulado -si no puede agarrarse a alguna
cláusula en letra pequeña- pero seguiremos sin recuperar los datos.

Finalmente otra posibilidad es asumir los riesgos, pero debe hacerse a un

nivel adecuado en la entidad, y considerando si puede ser mayor el coste de la
Inseguridad que el de la seguridad, lo que a veces sólo se sabe cuando ha ocurrido
algo. ¿Cuál es el máximo admisible de riesgo que puede permitirse una entidad?
Depende de lo crítica que sea para ella la informaciÓn y disponer de ella, e
incluso puede depender del momento: es un tema tan grave que no puede
generalizarse la respuesta ni decidirla un administrador de seguridad.

Volviendo a los aspectos físicos, que son una de las barreras más visibles, hay
puntos a considerar en la auditoría, desde el emplazamiento del centro de
procesos o de los servidores y terminales, el control de accesos, el uso de llaves,
protecciones frente al fuego, agua, vandalismo, robo, y hasta la continuidad de la
energía; respecto a la continuidad en general es fundamental disponer de copias
actualizadas en un lugar adecuado.

Además de la identificación fisica, y como paso siguiente, existe la

identificación y autenticación que denomlnamos lógica, generalmente mediante
contraseña, si bien si se sigue produciendo un abaratamiento progresivo se puede
empezar a utilizar la biométrica.
Podemos decir que una contraseña es un conjunto de caracteres que sólo debe
conocer el propio usuario, y que sirve para dar acceso a recursos tales como todo
un sistema, ficheros o bases de datos concretos, programas, transacciones, o
incluso el acceso fisico.

Puntos a considerar en relación con las contraseñas:

•La contraseña debe ser fácil de recordar por el verdadero usuario, para evitar
que la tenga que escribir, y difícil de imaginar por otros.

•Si fuera necesario anotar la contraseña debe hacerse en lugares protegidos y

preferiblemente disimulada entre otras anotaciones.

Informática y Derecho

667
 •En la mayoría de casos y entornos (no en todos) es preferible que la asigne
el propio usuario, si bien siguiendo criterios adecuados.

•Para evitar situaciones de bloqueo el administrador ha de poder crear, con el

debido control, usuarios con un perfil deternunadõ en caso de emergencia, o bien
existir éstos, y sus datos estar debidamente protegidos, incluida la propia
contraseña.

•Se debe limitar el número de intentos cuando el usuario marca la contraseña,

previendo suplantaciones.

•En todo caso es necesar10 investigar los intentos de acceso fallidos para
verificar si se trata de errores del usuar10 0 intentos de suplantación.

•Las contraseñas han de tener una vigencia limitada, por ejemplo treinta días;
incluso las puede haber de un sólo uso.

'En algunos sistemas se trata de hacer al usuario preguntas que otros no

deberían conocer.

Quede haber también otros modelos pregunta / respuesta, basados en una

función matemática que se ha comunicado al usuario.

Existen algunos sistemas o aplicaciones que incluyen usuarios y contraseñas

"de fábrica", incluso con perfil de administradores, que deben variarse o
protegerse, sobre todo cuando aparecen en los propios manuales.

•No deben aparecer en claro en las pantallas, ni en listados ni ficheros, en los

que deben estar cifradas.

Criterios de asignación:

'En todo caso debe fijarse una longitud mínima según la criticidad de lo que
se quiere proteger: el código que usamos para los cajeros de entidades financieras
tiene 10.000 posibilidades (104), pero si ampliamos la longitud a seis, y
utilizamos además de cifras las letras (unas 26 si el sistema no admite diferenciar
mayúsculas y minúsculas) y algunos símbolos como *, $... (pensemos que hasta
cinco símbolos) tenemos 416 posibilidades.

668
 La realidad demuestra que a menudo se asignan palabras que están en un
procesador de textos, con lo que alguien que conozca algunos de sus caracteres
puede llegar a averiguar los restantes.

Otra restricción aconsejable es no admitir las "x" últimas asignadas, para

evitar que el usuario asigne de forma alternativa dos o tres contraseñas, lo que
disminuye la seguridad.

•Se puede elegir una letra (por ejemplo la primera) de cada palabra de una
frase: refrán, título de una película...

O bien tomar una palabra de un libro (incluso siempre del mismo) y del que
anotamos página, línea y número de palabra, en vez de anotar la contraseña.

•Es evidente que ha de conocerla sólo el usuario y hay que evitar contraseñas
de grupo o departamentales, para poder saber quién hizo qué (además de cuándo
y desde dónde) y poder exigir responsabilidades.

Y una posibilidad ciertamente rebuscada pero que se da en forma de "caballo

de Troya", y especialmente peligrosa en un "PC" que emule un terminal: que
alguien haya introducido un programa que simule el contenido de la pantalla de
identificación al sistema, con los mismos mensajes, grabe la contraseña, haga
creer al usuario que ha habido algún tipo de error y le haga repetir el proceso ya
dentro del procedimiento normal, con lo que habrá recogido la contraseña
(incluso de un administrador), sin que nadie haya sospechado.

Cuando las contraseñas formen parte de mensajes de comunicaciones pueden

ir camufladas: partidas, en posición variable, y lo mejor de todo: cifradas
mediante algoritmos criptográficos.

El cifrado es una de las medidas más eficaces si se usa bien y se eligen

adecuadamente los sistemas, la longitud de las claves, y su distribución; puede
usarse no sólo en las comunicaciones smo también para proteger los soportes
magnéticos que haya que trasladar -incluso por seguridad- y especialmente si lo
hacemos por canales menos fiables: para evitar la copia no autorizada o
Interceptación del soporte.

Informática y Derecho

669
 Los métodos de los romanos: sustitución de caracteres de un alfabeto (en todo
el mensaje la A por la L, la M por la S...) o transposición (por ejemplo la primera
letra pasa al lugar de la quinta, la cuarta al segundo lugar del texto...) resultarían
hoy pueriles, sobre todo usando los propios ordenadores para el criptoanálisis.

Los métodos modernos son mucho más complejos y sus algoritmos más
sofisticados, aunque en muchos casos basados en la sustitución y transposición,
pero a nivel de "bits" y con todos los caracteres ASCII o EBCDIC.
El más extendido en aplicaciones comerciales, aunque muy discutido en los
últimos años, es el DES ("Data Encryption Standard") que IBM desarrolló con el
nombre interno de "Lucifer". Es de clave privada y simétrico, es decir la clave
para descifrar es la misma que para cifrar.

Entre los sistemas asimétricos de clave pública destaca RSA (de sus autores
"Rivest, Shamir, Adleman"), basado en las propiedades de los números primos
relativos y los residuos cuadráticos.

Puede cifrarse por "hardware" y por "software"

Las interceptaciones en las comunicaciones ("pinchados") pueden ser

pasivas: sólo lectura, o activas: variación de contenido.

Deben limitarse los intentos de acceso para evitar que accedan suplantadores
por intentos sucesivos, y en algunos casos es preferible establecer una llamada
de retorno: el sistema identifica al usuario que quiere acceder y le obliga a
"colgar" para ser el propio sistema el que llama a la dirección registrada como
válida.

En el caso de las redes locales, son aplicables muchos de los controles de las
grandes redes, además de establecer controles específicos de prevención y
detección de virus y proteger la configuración de manera que los usuarios sólo
puedan realizar las funciones autorizadas, en cuanto a cambios, carga de
programas, transferencia de ficheros, y otras, para evitar fugas de datos,
introducción de virus y carga o copias "pirata" de programas.

Al hablar de seguridad siempre se habla de sus tres dimensiones:

confidencialidad, integridad y disponibilidad de la información, y algunos

670
controles van más dirigidos a tratar de garantizar una (o dos) de estas
características.

- La confidencialidad: se cumple cuando sólo las personas autorizadas (en

un sentido amplio podríamos referirnos también a sistemas) pueden conocer los
datos o la información correspondiente.

Podemos preguntarnos ¿qué ocurriría si un soporte magnético con los datos

de los empleados o clientes o pacientes de una entidad fuera cedido a terceros?
¿cuál podría ser su uso final? ¿habría una cadena de cesiones o ventas
Incontroladas de esos datos?

La LORTAD (Ley Orgánica de Regulación del Tratamiento Automatizado de

Datos de carácter personal) ha influido positivamente en concienciarnos respecto
a la confidencialidad.

- La integridad: consiste en que sólo las personas autorizadas puedan variar

(modificar o borrar) los datos. Además deben quedar pistas para control posterior
y para auditoría.

Pensemos que alguien variara datos de forma que perdiéramos la

información de determinadas deudas a cobrar (o que sin perderla tuviéramos
que recurrir a la información en papel), o que modificara de forma aleatoria la
última parte de los domicilios de algunos clientes.

Algunas de estas acciones se podrían tardar en detectar, y tal vez las

diferentes copias de seguridad hechas a lo largo del tiempo estarían "viciadas"
(corruptas se dice a veces), lo que haría dificil la reconstrucción.

- La disponibilidad: se alcanza si las personas autorizadas pueden acceder

a tiempo a la información a la que estén autorizadas.

El disponer de la información después del momento necesario puede

equivaler a la falta de disponibilidad. Otro tema es disponer de la información a
tiempo pero que ésta no sea correcta, e incluso que no se sepa, lo que puede
originar la toma de decisiones erróneas.

Informática y Derecho

671
 Otro caso grave es la ausencia de disponibilidad absoluta, por haberse
producido algún desastre. En ese caso, a medida que pasa el tiempo el impacto
será mayor, hasta llegar a suponer la falta de continuidad de la entidad, como ha
pasado en muchos de los casos producidos (más de un 800/0 según las
estadísticas).

Por tanto, los datos son uno de los activos que más y mejor debemos proteger,
hasta el punto de que en muchas multinacionales la función que conocemos como
administración de seguridad se llama data security: es necesaria la designación
de propietarios, clasificación de los datos, restricción de su uso para pruebas,
inclusión de muescas para poder detectar usos no autorizados, así como
aprovechar las posibilidades del Sistema de Gestión de Bases de Datos que se
esté utilizando.

Uno de los primeros pasos que deben dar las entidades es la clasificación de
la Información: definición de unos cuantos niveles y asignación de categorías,
como pueden ser: Pública (no clasificada), Confidencial o Restringida, Secreta,
e incluso de Alto Secreto ("TOP SECRET"), además de pendiente de clasificar.

De este modo se podrá definir qué pueden conocer los empleados de tal
departamento, o restringir la variación de determinados datos a tal función.

Decíamos que la LORTAD ha supuesto un impulso a la protección de datos

en España, sobre todo en algunos sectores, a pesar de que aún está pendiente el
Reglamento de Seguridad.

Deben establecerse controles en la entrada, proceso y salida de los datos, e

incluso después respecto al tiempo que hay que conservarlos y si es necesario
finalmente destmirlos, y tanto en soporte magnético, como papel u otros.

En los casos de transacciones más críticas se puede exigir la revisión por un

supervisor independiente antes del proceso.

En cuanto a las bases de datos existen unos criterios generales, además de

recomendaciones específicas según sean bases de datos documentales, orientadas
a objetos, distribuidas, con datos críticos, muy volátiles...

672
 Cuando se trata de bases de datos con diferentes niveles de confidencialidad
e integridad se pueden usar bases de datos multinivel, que permiten etiquetar los
elementos de datos, y que usuarios o grupos de usuarios con distintos niveles de
acceso tengan vistas diferentes de la misma base de datos.

Como sobre todo en las entidades grandes y medias los sistemas se basan en
redes de redes, con conexiones internas y externas, es necesario proteger y
controlar los sistemas frente a posibles transferencias de ficheros, ya que los datos
que pueden estar perfectamente protegidos en equipos centrales, una vez que son
transferidos a redes con menor protección pueden a su vez transferirse a equipos
de uso personal e Incluso portátiles.

En relación con ello se va Imponiendo la identificación y autenticación

únicas (single sign-on), y el intento de que los datos viajen por diferentes
plataformas

Informática y Derecho

673
con la misma etiqueta de seguridad que hayan podido tener lmcialmente según su
clasificación.

Otro aspecto es la protección de los programas, al menos desde dos

perspectivas: de los programas que sean propiedad de la entidad, realizados por
el personal propio o contratados a terceros, y el uso adecuado de aquellos
programas de los que se tenga licencia de uso, pero este tema se tratará en otra
ponencia expresamente y por un verdadero especialista.

Es necesario hablar de virus, que hace años era un problema que se

relacionaba con el uso de programas no legales, y cuya incidencia ha disminuido
aunque nunca hay que bajar la guardia: la disminución en buena medida se debe
al uso progresivo de programas legales, aunque aún estemos lejos de los niveles
de otros países, a las medidas preventivas generales, y al uso de herramientas de
prevención y detección, lo que supone en las redes un gran esfuerzo de
administración y actualización, además del coste que suponen los propios
paquetes, hasta el punto de que en muchos casos se protege sólo el servidor, y a
nuestro juicio se debe completar la situación con la existencia de normas
adecuadas y la posibilidad de responsabilizar al usuario.

Existe un riesgo constante porque de forma continua aparecen nuevas

modalidades de virus (a menudo en países distantes) que no son detectadas por
los programas antivims hasta que las nuevas versiones los contemplan. Y un
riesgo adicional es que los virus pudieran llegar a impactar los grandes sistemas,
sobre todo a través de las redes, pero esto es realmente dificil -no nos atrevemos
a decir que imposible- por las características y complejidad de los grandes
equipos y de sus sistemas operativos.

Un último aspecto a considerar en la auditoría de la seguridad, ya citado, es

la continuidad: que en el caso de incidencias de diferente impacto las operaciones
de la entidad puedan reanudarse -incluso no interrumpirse- en un plazo inferior al
fijado, según la criticidad de las aplicaciones. En relación con ello es necesario
revisar en la auditoría si se han determinado los registros vitales -y la información
es uno de ellos- y las aplicaciones que la procesan, y los sistemas de proceso y
redes son necesarios también. A la vez se suele revisar el denominado plan de
evacuación, que afecta más directamente a las personas, y que puede existir con
independencia del anterior, y con carácter general en la entidad o edificio.

Los activos se deben proteger pensando en los intereses de los acciomstas, de

y Derecho

674
 ll!formática
los clientes, y también pensando en los empleados y en los proveedores.

7. Auditoría de la Gestión

Es una de las áreas más novedosas para los auditores, hasta el punto de que a
veces en los cursos nos preguntan, incluso profesionales con experiencia, si
realmente tendrían que abordar también estas áreas.

Entre los objetivos pueden estar:

•Alineamiento y sincronización de las inversiones y uso de los sistemas de

información con las estrategias generales de "negocio" o de servicio.

•Aportación de los S.l. y del aprovechamiento de las tecnologías de la

información para conseguir ventajas competitivas.

Cobertura de necesidades de cada área usuaria y nivel de servicio, frente al

riesgo de que se vaya a la tecnología por la tecnología.

Organigrama adecuado.

Contratos.

Calidad: de procesos y de productos.

•La llamada informática de usuario final, así como la existencia del gran
almacén de datos (Data Warehouse) y su aprovechamiento, llegando a la minería
de datos o Data Mining.

•Políticas, estándares y procedimientos relacionados con la gestión.

Existencia y aportación de Comités.

Gestión económica: costes, posible repercusión, rentabilidad.

Es necesario revisar lo que podemos llamar arquitecturas: de datos, de

aplicaciones, de equipos, y topología de comunicaciones.

Informática y Derecho

675
 8. Auditoría del Desarrollo de Aplicaciones

Algunos aspectos a revisar pueden ser: metodología seguida, normativa,

grado de participación de los usuarios, entornos de desarrollo, lenguajes,
herramientas, pruebas, calidad, productividad, costes, e incluso comparación con
otros o con niveles medios o destacados (benchmarking); y no sólo en el caso de
desarrollos propios, sino desarrollos contratados o con equipos mixtos, e Incluso
los términos del contrato, o en el caso del uso de paquetes de aplicación.

El diseño y las pruebas tienen mucho que ver con la calidad, relacionada en
muchos aspectos con la seguridad; así, deben probarse los módulos, rutinas y
programas, realizar pruebas en cadena, de volumen o de "estrés", de aceptación
(por parte de los usuarios, por la unidad de producción o explotación, y por el
área de mantenimiento de aplicaciones), además de considerar la posibilidad de
lanzar versiones alfa y beta, y realizar paralelos.

El uso o no de datos reales vendrá determinado por la clasificación de la

Información, y en el caso de usar datos reales debería mmetizarse" su contenido.

El pase al entorno de explotación real debe estar controlado, no descartándose

la revisión de programas por parte de técnicos independientes del proyecto, para
determinar, además de la calidad, la ausencia de "Caballos de Troya", bombas
lógicas y similares.

9. Auditoría de la Producción

Algunos aspectos a revisar son: el nivel de servicio frente a las necesidades

de los usuarios, la capacidad de proceso, la planificación y control de la
explotación, la posible repercusión de costes, la gestión de problemas y cambios,
y la atención a usuarios.

10. Técnicas y métodos

En cada proceso de auditoría se fijan los objetivos, ámbito y profundidad, lo

que sirve para la planificación, y para la consideración de las fuentes, según los
objetivos. El factor sorpresa puede llegar a ser necesario en las revisiones, según
lo que se quiera verificar.

Como métodos y técnicas podemos considerar los cuestionarios, las

entrevistas, la observación, los muestreos, las CAAT (Computer Aided Auditing
Techniques), las utilidades y programas, los paquetes específicos, las pruebas, la

676
 simulación en paralelo con datos reales y programas de auditor, o la revisión de
programas.

ll. El informe
El informe debe ser escrito en todos los casos, y debe ir firmado.

En él deben constar los antecedentes, el objetivo del proceso de auditoría, los

agradecmientos (si proceden), las posibles limitaciones, y un resumen para la
Dirección, en términos no técnicos.

En cada punto que se incluya debe explicarse, siempre que sea posible, por
qué es un Incumplimiento o una debilidad, y alguna recomendación, a veces
abarcando varios puntos.

El informe hade discutirse con los auditados antes de emitir el definitivo.

En algunos casos, bien en el propio Informe o en otro documento, se recogen

las respuestas de los auditados.

La entidad decide qué acciones tomar, y en el caso de los internos suelen hacer
también un seguimiento de las implantaciones.

Los auditados siempre buscan un Informe lo más benigno posible, mientras

que los auditores nos proponemos llegar a un Informe veraz y útil; estos diferentes
puntos de vista a veces crean conflictos en la discusión del informe.

12. Conclusión

La auditoría en S.l. no está suficientemente Implantada en la mayoría de las

entidades españolas, si bien supondría una mayor garantía de que las cosas se
hacen bien y como la entidad quiere: en general hay coincidencia entre ambos
puntos. Puede ser también una profesión con futuro cuando la auditoría despegue.

Como función aporta al auditor un conocimiento privilegiado del área de S.l.,

con una perspectiva muy amplia.

El auditor, como cualquiera que esté relacionado con las tecnologías de la

información, ha de mantener sus conocimientos al día.

Informática y Derecho

677
 La forma de realizar el trabajo va variando y se está llegando a aplicar el
control por excepción y la teleauditoría.

En cuanto a nuevas áreas, surgen las relaciones con el comercio electrónico

y el uso de SET (Secure Electmnic Transaction), e incluso en cuanto a las páginas
WEB, y por algunos casos que se han producido, la revisión de quien autoriza,
varía y controla los contenidos; cada vez es más necesaria la separación de
dominios: en las entidades por seguridad y productividad, y en los hogares,
aunque esto se sale de la auditoría y queda en el control, para evitar que los
menores accedan a contenidos con violencia o pomografia.

Volviendo a las entidades, se están dando muchos casos de uso indebido de

acceso a redes: en varias empresas de Estados Unidos muy conocidas se
registraron más de cuatro mil accesos en 1996 sólo a la revista Penthouse.
Por último, dos aspectos que hay que tener muy en cuenta: la revisión de los
sistemas en cuanto a su adaptación al euro, y la previsión del tratamiento
adecuado al año 2000, que podría impedirnos entrar en el nuevo milenio con
"buen pie"; ya se están produciendo errores: uno de los más leves el de un paciente
de un centro sanitario de Madiid para el que el ordenador emitió un volante de
pediatría jel paciente tiene 101 años! pero este problema se ha dado a menudo en
diferentes sectores y mucho antes de que afecte el cambio de siglo y de milenio:
debemos llegar al 2000 entusiastas, preparados y prevenidos.

678