AUDITORA

Conclusin:
La Auditora de Sistemas de Informacin, hoy en da es de vital importancia
para las empresas modernas con visin de futuro, sobre todo inmersas en el
mundo globalizado, porque si no se prevee los mecanismos de control,
seguridad y respaldo de la informacin dentro de una institucin se ver
sumida a riesgos lgicos, fsicos y humanos, que conlleven a fraudes no
solamente econmicos sino de informacin, es decir, prdidas para la
empresa.
La auditoria de sistemas de informacin deber comprender no slo la
evaluacin de los equipos de cmputo de un sistema o procedimiento
especfico, sino que ademas habr de evaluar los sistemas de informacin
en general desde sus entradas, procedimientos, controles,
En la mayora de empresas existe una constante preocupacin por la
presencia ocasional de fraudes, sin embargo, muchos de estos podran
prevenirse.
En algunos pases de Amrica Latina, donde normalmente los salarios son
bajos, las crisis recurrrentes y las necesidades de los trabajadores no se ven
del todo satisfechas; y si a esto agregamos fallas en el control interno y la
falta de vigilancia adecuada en las operaciones, entonces las posibilidades
de sufrir un fraude son grandes.
Evitar fraudes es responsabilidad de todos los empleados, por ello es
importante crear una cultura empresarial encaminada a minimizar el riesgo
de fraude.
Espero seguir comunicndonos e intercambiar opiniones y experiencias.
Carlos Montoya

Etapas principales de la Auditoria

Exploracin
La exploracin es la etapa en la cual se realiza el estudio o examen previo al inicio de la
Auditoria con el propsito de conocer en detalle las caractersticas de la entidad a
auditar para tener los elementos necesarios que permitan un adecuado planeamiento del
trabajo a realizar y dirigirlo hacia las cuestiones que resulten de mayor inters de
acuerdo con los objetivos previstos.
Los resultados de la exploracin permiten, adems, hacer la seleccin y las
adecuaciones a la metodologa y programas a utilizar; as como determinar la
importancia de las materias que se habrn de examinar.

Tambin posibilita valorar el grado de fiabilidad del control interno (contable y

administrativo) as como que en la etapa de planeamiento se elabore un plan de trabajo
ms eficiente y racional para cada auditor, lo que asegura que la Auditora habr de
realizarse con la debida calidad, economa, eficiencia y eficacia; propiciando, en buena
medida, el xito de su ejecucin.
En la entidad se deben efectuar entrevistas con los principales dirigentes con el
propsito de explicarles el objetivo de la Auditora, y conocer o actualizar en detalle los
datos en cuanto a estructura, cantidad de dependencia, desenvolvimiento de la actividad
que desarrolla, flujo de la produccin o de los servicios que presta y, otros antecedentes
imprescindibles para un adecuado planeamiento del trabajo a ejecutar.
Planeamiento
El trabajo fundamental en esta etapa es el definir la estrategia que se debe seguir en la
Auditora a acometer.
Lo anterior conlleva planear los temas que se deben ejecutar, de manera que aseguren la
realizacin de una Auditora de alta calidad y que se logre con la economa, eficiencia,
eficacia y prontitud debidas.
Partiendo de los objetivos y alcance previstos para la Auditora y considerando toda la
informacin obtenida y conocimientos adquiridos sobre la entidad en la etapa de
exploracin, el jefe de grupo procede a planear las tareas a desarrollar y
comprobaciones necesarias para alcanzar los objetivos de la Auditora.
Igualmente, debe determinar la importancia relativa de los temas que se van a auditar y
reevaluar la necesidad de personal de acuerdo con los elementos de que dispone.
Despus de que se ha determinado el tiempo a emplear en la ejecucin de cada
comprobacin o verificacin, se procede a elaborar el plan global o general de la
Auditora, el que se debe recoger en un documento que contenga como mnimo:

Definicin de los temas y las tareas a ejecutar.

Nombre del o los especialistas que intervendrn en cada una de ellas.

Fecha prevista de inicio y terminacin de cada tarea. Se considera desde la

exploracin hasta la conclusin del trabajo.

Igualmente se confecciona el plan de trabajo individual de cada especialista,

considerando como mnimo:

Nombre del especialista.

Definicin de los temas y cada una de las tareas a ejecutar.

Fecha de inicio y terminacin de cada tarea.

Cualquier ampliacin del trmino previsto debe estar autorizada por el supervisor u
otro nivel superior; dejando constancia en el expediente de Auditora.

Segn criterio del jefe de grupo, tanto el plan general de la Auditora, como el
individual de cada especialista, pueden incluirse en un solo documento en atencin al
nmero de tareas a ejecutar, cantidad de especialistas subordinados, etc.
Supervisin
El propsito esencial de la supervisin es asegurar el cumplimiento de los objetivos de
la Auditora y la calidad razonable del trabajo. Una supervisin y un control adecuados
de la Auditora son necesarios en todos los casos y en todas las etapas del trabajo, desde
la exploracin hasta la emisin del informe y su anlisis con los factores de la entidad
auditada.
Asimismo, debe garantizar el cumplimiento de las Normas de Auditora y que el
informe final refleje correctamente los resultados de las comprobaciones, verificaciones
e investigaciones realizadas.
Una supervisin adecuada debe asegurar que:
Todos los miembros del grupo de Auditora han comprendido, de forma clara y
satisfactoria, el plan de Auditora, y que no tienen impedimentos personales que limiten
su participacin en el trabajo.
Se sigue el plan de Auditora elaborado al efecto y se aplican los procedimientos
previstos, considerando las modificaciones autorizadas.
Los papeles de trabajo contengan evidencias que sustenten correctamente los
sealamientos en el informe final.
En el informe final de la Auditora se expongan las conclusiones, detalles y
recomendaciones que se consideren pertinentes de acuerdo con los resultados de las
revisiones efectuadas.
La supervisin tiene normalmente dos niveles de ejecucin: el que corresponde al que
se realiza sistemticamente por el jefe de grupo y el que acomete el funcionario del
Ministerio designado como supervisor
Ejecucin
El propsito fundamental de esta etapa es recopilar las pruebas que sustenten las
opiniones del auditor en cuanto al trabajo realizado, es la fase, por decir de alguna
manera, del trabajo de campo, esta depende grandemente del grado de profundidad con
que se hayan realizado las dos etapas anteriores, en esta se elaboran los Papeles de
Trabajo y las hojas de nota, instrumentos que respaldan excepcionalmente la opinin
del auditor actuante.
Informe
En esta etapa el Auditor se dedica a formalizar en un documento los resultados a los
cuales llegaron los auditores en la Auditora ejecutada y dems verificaciones
vinculadas con el trabajo realizado.

Comunicar los resultados al mximo nivel de direccin de la entidad auditada y otras

instancias administrativas, as como a las autoridades que correspondan, cuando esto
proceda.
El informe parte de los resmenes de los temas y de las Actas de Notificacin de los
Resultados de Auditora (parciales) que se vayan elaborando y analizando con los
auditados, respectivamente, en el transcurso de la Auditora.
La elaboracin del informe final de Auditora es una de las fases ms importante y
compleja de la Auditora, por lo que requiere de extremo cuidado en su confeccin.
El informe de Auditora debe tener un formato uniforme y estar dividido por secciones
para facilitar al lector una rpida ubicacin del contenido de cada una de ellas.
El informe de Auditora debe cumplir con los principios siguientes:

Que se emita por el jefe de grupo de los auditores actuantes.

Por escrito.

Oportuno.

Que sea completo, exacto, objetivo y convincente, as como claro, conciso y

fcil de entender.

Que todo lo que se consigna est reflejado en los papeles de trabajo y que
responden a hallazgos relevantes con evidencias suficientes y competentes.

Que refleje una actitud independiente.

Que muestre la calificacin segn la evaluacin de los resultados de la

Auditora.

Distribucin rpida y adecuada.

Seguimiento
En esta etapa se siguen, como dice la palabra, los resultados de una Auditora,
generalmente una Auditoria evaluada de Deficiente o mal, as que pasado un tiempo
aproximado de seis meses o un ao se vuelve a realizar otra Auditora de tipo recurrente
para comprobar el verdadero cumplimiento de las deficiencias detectadas en la
Auditoria.
Para terminar dejo un pequeo archivo que contiene un ejemplo de auditoria.

3 Respuestas para Etapas de una Auditoria de

Sistemas
1. Monica Dice:
Mayo 11th, 2008 at 8:07 pm

El tema es ytil, pero en mi caso necesitaba el modelo de un Informe de Auditoria

de Sistemas, sirve el detallar los pasos pero para quienes no hemos visto un
informe hubiera sido bueno haber tenido acceso a un modelo de uno.
2. Jose Antonio Orta Ledo Dice:
Octubre 12th, 2009 at 8:35 am

Estimados colegas; soy Auditor con 33 aos de experiencia 16 de ellos en Cuba

y 17 en Venezuela; ltimamente he visto la tendencia que existe a cambiar el
nombre de los pasos de la Auditoria; Ejemplo: antes Resultados; ahora,
Hallazgos; antes Alcance y Naturaleza del Trabajo; ahora, Etapa Exploratoria.
Considero que deben existir normas internacionales que establezcan la
uniformidad; algo as como existe en los deportes y la propia contabilidad.
Gracias y espero su respuesta.
3. Ivn Dice:
Noviembre 5th, 2009 at 9:05 am

Buen da, estoy desorientado!!, es que me dejaron un trabajo final y es sobre la

Auditora Web, como se realiza esa auditora, por que solo veo auditora de
sistemas, y si fueran tan amable con un ejemplo prctico aplicado a una
empresa. Por favor ayudenme.. Gracias.
Psd. Ah les dejo mi correo ivan.universidad@gmail.com

La Auditoria informatica dentro de las etapas de

Anlisis de Sistemas Administrativos
Enviado por quinn
1. Introduccin
2. Auditora
3. Auditora Interna y Auditora Externa
4. Alcance de la Auditora Informtica
5. Caractersticas de la Auditora Informtica
6. Tipos y clases de Auditoras
7. Objetivo fundamental de la auditora informtica
8. Revisin de Controles de la Gestin Informtica
9. Auditora Informtica de Explotacin
10. Auditora Informtica de Comunicaciones y Redes
11. Metodologa de Trabajo de Auditora
Informtica
12. Perfiles Profesionales de los auditores informticos
13. Modelo conceptual de la exposicin del informe final
14. Definicin de la metodologa CRMR
15. Informacin necesaria para la evaluacin del CRMR
16. Empresas que realizan auditoras externas
17. Conclusin
1. Introduccin

A finales del siglo XX, los Sistemas Informticos se han constituido en las herramientas
ms poderosas para materializar uno de los conceptos ms vitales y necesarios para
cualquier organizacin empresarial, los Sistemas de Informacin de la empresa.
La Informtica hoy, est subsumida en la gestin integral de la empresa, y por eso las
normas y estndares propiamente informticos deben estar, por lo tanto, sometidos a
los generales de la misma. En consecuencia, las organizaciones informticas forman
parte de lo que se ha denominado el "management" o gestin de la empresa. Cabe
aclarar que la Informtica no gestiona propiamente la empresa, ayuda a la toma de
decisiones, pero no decide por s misma. Por ende, debido a su importancia en el
funcionamiento de una empresa, existe la Auditora Informtica.
El trmino de Auditora se ha empleado incorrectamente con frecuencia ya que se ha
considerado como una evaluacin cuyo nico fin es detectar errores y sealar fallas. A
causa de esto, se ha tomado la frase "Tiene Auditora" como sinnimo de que, en dicha
entidad, antes de realizarse la auditora, ya se haban detectado fallas.
El concepto de auditora es mucho ms que esto.
La palabra auditora proviene del latn auditorius, y de esta proviene la palabra auditor,
que se refiere a todo aquel que tiene la virtud de or.
Por otra parte, el diccionario Espaol Sopena lo define como: Revisor de Cuentas
colegiado. En un principio esta definicin carece de la explicacin del objetivo
fundamental que persigue todo auditor: evaluar la eficiencia y eficacia.
Si consultamos el Boletn de Normas de auditora del Instituto mexicano de contadores
nos dice: " La auditora no es una actividad meramente mecnica que implique la
aplicacin de ciertos procedimientos cuyos resultados, una vez llevado a cabo son de
carcter indudable."
De todo esto sacamos como deduccin que la auditora es un examen crtico pero no
mecnico, que no implica la preexistencia de fallas en la entidad auditada y que
persigue el fin de evaluar y mejorar la eficacia y eficiencia de una seccin o de un
organismo.
El auditor informtico ha de velar por la correcta utilizacin de los amplios recursos
que la empresa pone en juego para disponer de un eficiente y eficaz Sistema de
Informacin. Claro est, que para la realizacin de una auditora informtica eficaz, se
debe entender a la empresa en su ms amplio sentido, ya que una Universidad, un
Ministerio o un Hospital son tan empresas como una Sociedad Annima o empresa
Pblica. Todos utilizan la informtica para gestionar sus "negocios" de forma rpida y
eficiente con el fin de obtener beneficios econmicos y reduccin de costes.
Por eso, al igual que los dems rganos de la empresa (Balances y Cuentas de
Resultados, Tarifas, Sueldos, etc.), los Sistemas Informticos estn sometidos al control
correspondiente, o al menos debera estarlo. La importancia de llevar un control de esta
herramienta se puede deducir de varios aspectos. He aqu algunos:

Las computadoras y los Centros de Proceso de Datos se convirtieron en blancos

apetecibles no solo para el espionaje, sino para la delincuencia y el terrorismo. En
este caso interviene la Auditora Informtica de Seguridad.
Las computadoras creadas para procesar y difundir resultados o informacin
elaborada pueden producir resultados o informacin errnea si dichos datos son, a
su vez, errneos. Este concepto obvio es a veces olvidado por las mismas empresas
que terminan perdiendo de vista la naturaleza y calidad de los datos de entrada a sus

Sistemas Informticos, con la posibilidad de que se provoque un efecto cascada y

afecte a Aplicaciones independientes. En este caso interviene la Auditora
Informtica de Datos.
Un Sistema Informtico mal diseado puede convertirse en una herramienta
harto peligrosa para la empresa: como las maquinas obedecen ciegamente a las
rdenes recibidas y la modelizacin de la empresa est determinada por las
computadoras que materializan los Sistemas de Informacin, la gestin y la
organizacin de la empresa no puede depender de un Software y Hardware mal
diseados. Estos son solo algunos de los varios inconvenientes que puede presentar
un Sistema Informtico, por eso, la necesidad de la Auditora de Sistemas.

2. Auditora
La auditora nace como un rgano de control de algunas institucionesestatales y
privadas. Su funcin inicial es estrictamente econmico-financiero, y los casos
inmediatos se encuentran en las peritaciones judiciales y las contrataciones de
contables expertos por parte de Bancos Oficiales.
La funcin auditora debe ser absolutamente independiente; no tiene carcter ejecutivo,
ni son vinculantes sus conclusiones. Queda a cargo de la empresa tomar las decisiones
pertinentes. La auditora contiene elementos de anlisis, de verificacin y de exposicin
de debilidades y disfunciones. Aunque pueden aparecer sugerencias y planes de accin
para eliminar las disfunciones y debilidades antedichas; estas sugerencias plasmadas
en el Informe final reciben el nombre de Recomendaciones.
Las funciones de anlisis y revisin que el auditor informtico realiza, puede chocar con
la psicologa del auditado, ya que es un informtico y tiene la necesidad de realizar sus
tareas con racionalidad y eficiencia. La reticencia del auditado es comprensible y, en
ocasiones, fundada. El nivel tcnico del auditor es a veces insuficiente, dada la gran
complejidad de los Sistemas, unidos a los plazos demasiado breves de los que suelen
disponer para realizar su tarea.
Adems del chequeo de los Sistemas, el auditor somete al auditado a una serie de
cuestionario. Dichos cuestionarios, llamados Check List, son guardados celosamente
por las empresas auditoras, ya que son activos importantes de su actividad. Las Check
List tienen que ser comprendidas por el auditor al pie de la letra, ya que si son mal
aplicadas y mal recitadas se pueden llegar a obtener resultados distintos a los esperados
por la empresa auditora. La Check List puede llegar a explicar cmo ocurren los hechos
pero no por qu ocurren. El cuestionario debe estar subordinado a la regla, a la norma,
al mtodo. Slo una metodologa precisa puede desentraar las causas por las cuales se
realizan actividades tericamente inadecuadas o se omiten otras correctas.
El auditor slo puede emitir un juicio global o parcial basado en hechos y situaciones
incontrovertibles, careciendo de poder para modificar la situacin analizada por l
mismo.
3. Auditora Interna y Auditora Externa
La auditora interna es la realizada con recursos materiales y personas que pertenecen a
la empresa auditada. Los empleados que realizan esta tarea son remunerados
econmicamente. La auditora interna existe por expresa decisin de la Empresa, o sea,
que puede optar por su disolucin en cualquier momento.

Por otro lado, la auditora externa es realizada por personas afines a la empresa
auditada; es siempre remunerada. Se presupone una mayor objetividad que en la
Auditora Interna, debido al mayor distanciamiento entre auditores y auditados.
La auditora informtica interna cuenta con algunas ventajas adicionales muy
importantes respecto de la auditora externa, las cuales no son tan perceptibles como
en las auditoras convencionales. La auditora interna tiene la ventaja de que puede
actuar peridicamente realizando Revisiones globales, como parte de su Plan Anual y
de su actividad normal. Los auditados conocen estos planes y se habitan a las
Auditoras, especialmente cuando las consecuencias de las Recomendaciones habidas
benefician su trabajo.
En una empresa, los responsables de Informtica escuchan, orientan e informan sobre
las posibilidades tcnicas y los costes de tal Sistema. Con voz, pero a menudo sin voto,
Informtica trata de satisfacer lo ms adecuadamente posible aquellas necesidades. La
empresa necesita controlar su Informtica y sta necesita que su propia gestin est
sometida a los mismos Procedimientos y estndares que el resto de aquella. La
conjuncin de ambas necesidades cristaliza en la figura del auditor interno informtico.
En cuanto a empresas se refiere, solamente las ms grandes pueden poseer una
Auditora propia y permanente, mientras que el resto acuden a las auditoras externas.
Puede ser que algn profesional informtico sea trasladado desde su puesto de trabajo
a la Auditora Interna de la empresa cuando sta existe. Finalmente, la propia
Informtica requiere de su propio grupo de Control Interno, con implantacin fsica en
su estructura, puesto que si se ubicase dentro de la estructura Informtica ya no sera
independiente. Hoy, ya existen varias organizaciones Informticas dentro de la misma
empresa, y con diverso grado de autonoma, que son coordinadas por rganos
corporativos de Sistemas de Informacin de las Empresas.
Una Empresa o Institucin que posee auditora interna puede y debe en ocasiones
contratar servicios de auditora externa. Las razones para hacerlo suelen ser:

Necesidad de auditar una materiade gran especializacin, para la cual los

servicios propios no estn suficientemente capacitados.
Contrastar algn Informe interno con el que resulte del externo, en aquellos
supuestos de emisin interna de graves recomendaciones que chocan con la opinin
generalizada de la propia empresa.
Servir como mecanismo protector de posibles auditoras informticas externas
decretadas por la misma empresa.
Aunque la auditora interna sea independiente del Departamento de Sistemas,
sigue siendo la misma empresa, por lo tanto, es necesario que se le realicen
auditoras externas como para tener una visin desde afuera de la empresa.

La auditora informtica, tanto externa como interna, debe ser una actividad exenta de
cualquier contenido o matiz "poltico" ajeno a la propia estrategia y poltica general de
la empresa. La funcin auditora puede actuar de oficio, por iniciativa del propio rgano,
o a instancias de parte, esto es, por encargo de la direccin o cliente.
4. Alcance de la Auditora Informtica
El alcance ha de definir con precisin el entorno y los lmites en que va a desarrollarse
la auditora informtica, se complementa con los objetivos de sta. El alcance ha de
figurar expresamente en el Informe Final, de modo que quede perfectamente
determinado no solamente hasta que puntos se ha llegado, sino cuales materias
fronterizas han sido omitidas. Ejemplo: Se sometern los registros grabados a un

control de integridad exhaustivo*? Se comprobar que los controles de validacin de

errores son adecuados y suficientes*? La indefinicin de los alcances de la auditora
compromete el xito de la misma.
*Control de integridad de registros:
Hay Aplicaciones que comparten registros, son registros comunes. Si una Aplicacin no
tiene integrado un registro comn, cuando lo necesite utilizar no lo va encontrar y, por
lo tanto, la aplicacin no funcionara como debera.
*Control de validacin de errores:
Se corrobora que el sistema que se aplica para detectar y corregir errores sea eficiente.
5. Caractersticas de la Auditora Informtica
La informacin de la empresa y para la empresa, siempre importante, se ha convertido
en un Activo Real de la misma, como sus Stocks o materias primas si las hay. Por ende,
han de realizarse inversiones informticas, materia de la que se ocupa la Auditora de
Inversin Informtica.
Del mismo modo, los Sistemas Informticos han de protegerse de modo global y
particular: a ello se debe la existencia de la Auditora de Seguridad Informtica en
general, o a la auditora de Seguridad de alguna de sus reas, como pudieran ser
Desarrollo o Tcnica de Sistemas.
Cuando se producen cambios estructurales en la Informtica, se reorganiza de alguna
forma su funcin: se est en el campo de la Auditora de Organizacin Informtica.
Estos tres tipos de auditoras engloban a las actividades auditoras que se realizan en
una auditora parcial. De otra manera: cuando se realiza una auditoria del rea de
Desarrollo de Proyectos de la Informtica de una empresa, es porque en ese Desarrollo
existen, adems de ineficiencias, debilidades de organizacin, o de inversiones, o de
seguridad, o alguna mezcla de ellas.
Sntomas de Necesidad de una Auditora Informtica:
Las empresas acuden a las auditoras externas cuando existen sntomas bien
perceptibles de debilidad. Estos sntomas pueden agruparse en clases:

Sntomas de descoordinacin y desorganizacin:

- No coinciden los objetivos de la Informtica de la Compaa y de la propia
Compaa.
- Los estndares de productividad se desvan sensiblemente de los promedios
conseguidos habitualmente.
[Puede ocurrir con algn cambio masivo de personal, o en una reestructuracin
fallida de alguna rea o en la modificacin de alguna Norma importante]

Sntomas de mala imagen e insatisfaccin de los usuarios:

- No se atienden las peticiones de cambios de los usuarios. Ejemplos: cambios
de Software en los terminales de usuario, refrescamiento de paneles, variacin
de los ficheros que deben ponerse diariamente a su disposicin, etc.

- No se reparan las averas de Hardware ni se resuelven incidencias en plazos

razonables. El usuario percibe que est abandonado y desatendido
permanentemente.
- No se cumplen en todos los casos los plazos de entrega de resultados
peridicos. Pequeas desviaciones pueden causar importantes desajustes en la
actividad del usuario, en especial en los resultados de Aplicaciones crticas y
sensibles.

Sntomas de debilidades econmico-financiero:

- Incremento desmesurado de costes.
- Necesidad de justificacin de Inversiones Informticas (la empresa no est
absolutamente convencida de tal necesidad y decide contrastar opiniones).
- Desviaciones Presupuestarias significativas.
- Costes y plazos de nuevos proyectos (deben auditarse simultneamente a
Desarrollo de Proyectos y al rgano que realiz la peticin).

Sntomas de Inseguridad: Evaluacin de nivel de riesgos

- Seguridad Lgica
- Seguridad Fsica
- Confidencialidad
[Los datos son propiedad inicialmente de la organizacin que los genera. Los
datos de personal son especialmente confidenciales]
- Continuidad del Servicio. Es un concepto an ms importante que la
Seguridad. Establece las estrategias de continuidad entre fallos mediante Planes
de Contingencia* Totales y Locales.
- Centro de Proceso de Datos fuera de control. Si tal situacin llegara a
percibirse, sera prcticamente intil la auditora. Esa es la razn por la cual, en
este caso, el sntoma debe ser sustituido por el mnimo indicio.

*Planes de Contingencia:
Por ejemplo, la empresa sufre un corte total de energa o explota, Cmo sigo operando
en otro lugar? Lo que generalmente se pide es que se hagan Backups de la informacin
diariamente y que aparte, sea doble, para tener un Backup en la empresa y otro afuera
de sta. Una empresa puede tener unas oficinas paralelas que posean servicios bsicos
(luz, telfono, agua) distintos de los de la empresa principal, es decir, si a la empresa
principal le provea telfono Telecom, a las oficinas paralelas, Telefnica. En este caso,
si se produce la inoperancia de Sistemas en la empresa principal, se utilizara el Backup
para seguir operando en las oficinas paralelas. Los Backups se pueden acumular
durante dos meses, o el tiempo que estipule la empresa, y despus se van reciclando.
6. Tipos y clases de Auditoras
El departamento de Informtica posee una actividad proyectada al exterior, al usuario,
aunque el "exterior" siga siendo la misma empresa. He aqu, la Auditora Informtica
de Usuario. Se hace esta distincin para contraponerla a la informtica interna, en
donde se hace la informtica cotidiana y real. En consecuencia, existe una Auditora
Informtica de Actividades Internas.

El control del funcionamiento del departamento de informtica con el exterior, con el

usuario se realiza por medio de la Direccin. Su figura es importante, en tanto en
cuanto es capaz de interpretar las necesidades de la Compaa. Una informtica
eficiente y eficaz requiere el apoyo continuado de su Direccin frente al "exterior".
Revisar estas interrelaciones constituye el objeto de la Auditora Informtica de
Direccin. Estas tres auditoras, mas la auditora de Seguridad, son las cuatro Areas
Generales de la Auditora Informtica ms importantes.
Dentro de las reas generales, se establecen las siguientes divisiones de Auditora
Informtica: de Explotacin, de Sistemas, de Comunicaciones y de Desarrollo de
Proyectos. Estas son las Areas Especificas de la Auditora Informtica ms importantes.
Areas Especficas

Areas Generales
Interna

Direccin

Usuario

Seguridad

Explotacin
Desarrollo
Sistemas
Comunicaciones
Seguridad
Cada Area Especifica puede ser auditada desde los siguientes criterios generales:

Desde su propio funcionamiento interno.

Desde el apoyo que recibe de la Direccin y, en sentido ascendente, del grado de
cumplimiento de las directrices de sta.
Desde la perspectiva de los usuarios, destinatarios reales de la informtica.
Desde el punto de vista de la seguridad que ofrece la Informtica en general o la
rama auditada.

Estas combinaciones pueden ser ampliadas y reducidas segn las caractersticas de la

empresa auditada.
7. Objetivo fundamental de la auditora informtica
Operatividad
La operatividad es una funcin de mnimos consistente en que la organizacin y las
maquinas funcionen, siquiera mnimamente. No es admisible detener la maquinaria
informtica para descubrir sus fallos y comenzar de nuevo. La auditora debe iniciar su
actividad cuando los Sistemas estn operativos, es el principal objetivo el de mantener
tal situacin. Tal objetivo debe conseguirse tanto a nivel global como parcial.
La operatividad de los Sistemas ha de constituir entonces la principal preocupacin del
auditor informtico. Para conseguirla hay que acudir a la realizacin de Controles
Tcnicos Generales de Operatividad y Controles Tcnicos Especficos de Operatividad,
previos a cualquier actividad de aquel.

Los Controles Tcnicos Generales son los que se realizan para verificar la
compatibilidad de funcionamiento simultaneo del Sistema Operativo y el Software
de base con todos los subsistemas existentes, as como la compatibilidad del
Hardware y del Software instalados. Estos controles son importantes en las
instalaciones que cuentan con varios competidores, debido a que la profusin de
entornos de trabajo muy diferenciados obliga a la contratacin de diversos
productos de Software bsico, con el consiguiente riesgo de abonar ms de una vez
el mismo producto o desaprovechar parte del Software abonado. Puede ocurrir
tambin con los productos de Software bsico desarrollados por el personal de
Sistemas Interno, sobre todo cuando los diversos equipos estn ubicados en Centros
de Proceso de Datos geogrficamente alejados. Lo negativo de esta situacin es que
puede producir la inoperatividad del conjunto. Cada Centro de Proceso de Datos tal
vez sea operativo trabajando independientemente, pero no ser posible la
interconexin e intercomunicacin de todos los Centros de Proceso de Datos si no
existen productos comunes y compatibles.
Los Controles Tcnicos Especficos, de modo menos acusado, son igualmente
necesarios para lograr la Operatividad de los Sistemas. Un ejemplo de lo que se
puede encontrar mal son parmetros de asignacin automtica de espacio en disco*
que dificulten o impidan su utilizacin posterior por una Seccin distinta de la que
lo gener. Tambin, los periodos de retencin de ficheros comunes a varias
Aplicaciones pueden estar definidos con distintos plazos en cada una de ellas, de
modo que la prdida de informacin es un hecho que podr producirse con
facilidad, quedando inoperativa la explotacin de alguna de las Aplicaciones
mencionadas.

*Parmetros de asignacin automtica de espacio en disco:

Todas las Aplicaciones que se desarrollan son super-parametrizadas , es decir, que
tienen un montn de parmetros que permiten configurar cual va a ser el
comportamientodel Sistema. Una Aplicacin va a usar para tal y tal cosa cierta cantidad
de espacio en disco. Si uno no analiz cual es la operatoria y el tiempo que le va a llevar
ocupar el espacio asignado, y se pone un valor muy chico, puede ocurrir que un da la
Aplicacin reviente, se caiga. Si esto sucede en medio de la operatoria y la Aplicacin se
cae, el volver a levantarla, con la nueva asignacin de espacio, si hay que hacer
reconversiones o lo que sea, puede llegar a demandar muchsimo tiempo, lo que
significa un riesgo enorme.
8. Revisin de Controles de la Gestin Informtica
Una vez conseguida la Operatividad de los Sistemas, el segundo objetivo de la auditora
es la verificacin de la observancia de las normas tericamente existentes en el
departamento de Informtica y su coherencia con las del resto de la empresa. Para ello,
habrn de revisarse sucesivamente y en este orden:
1.

Las Normas Generales de la Instalacin Informtica. Se realizar una revisin

inicial sin estudiar a fondo las contradicciones que pudieran existir, pero
registrando las reas que carezcan de normativa, y sobre todo verificando que esta
Normativa General Informtica no est en contradiccin con alguna Norma
General no informtica de la empresa.
2.
Los Procedimientos Generales Informticos. Se verificar su existencia, al
menos en los sectores ms importantes. Por ejemplo, la recepcin definitiva de las
mquinas debera estar firmada por los responsables de Explotacin. Tampoco el

alta de una nueva Aplicacin podra producirse si no existieran los

Procedimientos de Backup y Recuperacin correspondientes.
3.
Los Procedimientos Especficos Informticos. Igualmente, se revisara su
existencia en las reas fundamentales. As, Explotacin no debera explotar una
Aplicacin sin haber exigido a Desarrollo la pertinente documentacin. Del
mismo modo, deber comprobarse que los Procedimientos Especficos no se
opongan a los Procedimientos Generales. En todos los casos anteriores, a su vez,
deber verificarse que no existe contradiccin alguna con la Normativa y los
Procedimientos Generales de la propia empresa, a los que la Informtica debe
estar sometida.
9. Auditora Informtica de Explotacin
La Explotacin Informtica se ocupa de producir resultados informticos de todo tipo:
listados impresos, ficheros soportados magnticamente para otros informticos,
ordenes automatizadas para lanzar o modificar procesos industriales, etc. La
explotacin informtica se puede considerar como una fabrica con ciertas
peculiaridades que la distinguen de las reales. Para realizar la Explotacin Informtica
se dispone de una materia prima, los Datos, que es necesario transformar, y que se
someten previamente a controles de integridad y calidad. La transformacin se realiza
por medio del Proceso informtico, el cual est gobernado por programas. Obtenido el
producto final, los resultados son sometidos a varios controles de calidad y, finalmente,
son distribuidos al cliente, al usuario.
Auditar Explotacin consiste en auditar las secciones que la componen y sus
interrelaciones. La Explotacin Informtica se divide en tres grandes reas:
Planificacin, Produccin y Soporte Tcnico, en la que cada cual tiene varios grupos.
Control de Entrada de Datos:
Se analizar la captura de la informacin en soporte compatible con los Sistemas, el
cumplimiento de plazos y calendarios de tratamientos y entrega de datos; la correcta
transmisin de datos entre entornos diferentes. Se verificar que los controles de
integridad y calidad de datos se realizan de acuerdo a Norma.
Planificacin y Recepcin de Aplicaciones:
Se auditarn las normas de entrega de Aplicaciones por parte de Desarrollo, verificando
su cumplimiento y su calidad de interlocutor nico. Debern realizarse muestreos
selectivos de la Documentacin de las Aplicaciones explotadas. Se inquirir sobre la
anticipacin de contactos con Desarrollo para la planificacin a medio y largo plazo.
Centro de Control y Seguimiento de Trabajos:
Se analizar cmo se prepara, se lanza y se sigue la produccin diaria. Bsicamente, la
explotacin Informtica ejecuta procesos por cadenas o lotes sucesivos (Batch*), o en
tiempo real (Tiempo Real*). Mientras que las Aplicaciones de Teleproceso estn
permanentemente activas y la funcin de Explotacin se limita a vigilar y recuperar
incidencias, el trabajo Batch absorbe una buena parte de los efectivos de Explotacin.
En muchos Centros de Proceso de Datos, ste rgano recibe el nombre de Centro de
Control de Batch. Este grupo determina el xito de la explotacin, en cuanto que es uno
de los factores ms importantes en el mantenimiento de la produccin.
*Batch y Tiempo Real:

Las Aplicaciones que son Batch son Aplicaciones que cargan mucha informacin
durante el da y durante la noche se corre un proceso enorme que lo que hace es
relacionar toda la informacin, calcular cosas y obtener como salida, por ejemplo,
reportes. O sea, recolecta informacin durante el da, pero todava no procesa nada. Es
solamente un tema de "Data Entry" que recolecta informacin, corre el proceso Batch
(por lotes), y calcula todo lo necesario para arrancar al da siguiente.
Las Aplicaciones que son Tiempo Real u Online, son las que, luego de haber ingresado
la informacin correspondiente, inmediatamente procesan y devuelven un resultado.
Son Sistemas que tienen que responder en Tiempo Real.
Operacin. Salas de Ordenadores:
Se intentarn analizar las relaciones personales y la coherencia de cargos y salarios, as
como la equidad en la asignacin de turnos de trabajo. Se verificar la existencia de un
responsable de Sala en cada turno de trabajo. Se analizar el grado de automatizacin
de comandos, se verificara la existencia y grado de uso de los Manualesde Operacin.
Se analizar no solo la existencia de planes de formacin, sino el cumplimiento de los
mismos y el tiempo transcurrido para cada Operador desde el ltimo Curso recibido. Se
estudiarn los montajes diarios y por horas de cintas o cartuchos, as como los tiempos
transcurridos entre la peticin de montaje por parte del Sistema hasta el montaje real.
Se verificarn las lneas de papel impresas diarias y por horas, as como la
manipulacin de papel que comportan.
Centro de Control de Red y Centro de Diagnosis (Help Desk):
El Centro de Control de Red suele ubicarse en el rea de produccin de Explotacin.
Sus funciones se refieren exclusivamente al mbito de las Comunicaciones, estando
muy relacionado con la organizacin de Software de Comunicaciones de Tcnicas de
Sistemas. Debe analizarse la fluidez de esa relacin y el grado de coordinacin entre
ambos. Se verificar la existencia de un punto focal nico, desde el cual sean
perceptibles todos las lneas asociadas al Sistema. El Centro de Diagnosis (Help Desk)
es el ente en donde se atienden las llamadas de los usuarios-clientes que han sufrido
averas o incidencias, tanto de Software como de Hardware. El Centro de Diagnosis est
especialmente indicado para informticos grandes y con usuarios dispersos en un
amplio territorio. Es uno de los elementos que ms contribuyen a configurar la imagen
de la Informtica de la empresa. Debe ser auditada desde esta perspectiva, desde la
sensibilidad del usuario sobre el servicio que se le dispone. No basta con comprobar la
eficiencia tcnica del Centro, es necesario analizarlo simultneamente en el mbito de
Usuario.
Auditora Informtica de Desarrollo de Proyectos o Aplicaciones:
La funcin de Desarrollo es una evolucin del llamado Anlisis y Programacin de
Sistemas y Aplicaciones. A su vez, engloba muchas reas, tantas como sectores
informatizables tiene la empresa. Muy escuetamente, una Aplicacin recorre las
siguientes fases:

Prerequisitos del Usuario (nico o plural) y del entorno

Anlisis funcional
Diseo
Anlisis orgnico (Preprogramacin y Programacin)
Pruebas
Entrega a Explotacin y alta para el Proceso.

Estas fases deben estar sometidas a un exigente control interno, caso contrario, adems
del disparo de los costes, podr producirse la insatisfaccin del usuario. Finalmente, la
auditora deber comprobar la seguridad de los programas en el sentido de garantizar
que los ejecutados por la maquina sean exactamente los previstos y no otros.
Una auditora de Aplicaciones pasa indefectiblemente por la observacin y el anlisis de
cuatro consideraciones:
1.

Revisin de las metodologas utilizadas: Se analizaran stas, de modo que se

asegure la modularidad de las posibles futuras ampliaciones de la Aplicacin y el
fcil mantenimiento de las mismas.
2.
Control Interno de las Aplicaciones: se debern revisar las mismas fases que
presuntamente han debido seguir el rea correspondiente de Desarrollo:

Estudio de Vialidad de la Aplicacin. [importante para Aplicaciones largas,

complejas y caras]
Definicin Lgica de la Aplicacin. [se analizar que se han observado los
postulados lgicos de actuacin, en funcin de la metodologa elegida y la finalidad
que persigue el proyecto]
Desarrollo Tcnico de la Aplicacin. [Se verificar que ste es ordenado y
correcto. Las herramientas tcnicas utilizadas en los diversos programas debern ser
compatibles]
Diseo de Programas. [debern poseer la mxima sencillez, modularidad y
economa de recursos]
Mtodos de Pruebas. [ Se realizarn de acuerdo a las Normas de la Instalacin.
Se utilizarn juegos de ensayo de datos, sin que sea permisible el uso de datos
reales]
Documentacin. [cumplir la Normativa establecida en la Instalacin, tanto la
de Desarrollo como la de entrega de Aplicaciones a Explotacin]
Equipo de Programacin. [Deben fijarse las tareas de anlisis puro, de
programacin y las intermedias. En Aplicaciones complejas se produciran
variaciones en la composicin del grupo, pero estos debern estar previstos]
1.

Satisfaccin de usuarios: Una Aplicacin tcnicamente eficiente y bien

desarrollada, deber considerarse fracasada si no sirve a los intereses del usuario
que la solicit. La aquiescencia del usuario proporciona grandes ventajas
posteriores, ya que evitar reprogramaciones y disminuir el mantenimiento de la
Aplicacin.
2.
Control de Procesos y Ejecuciones de Programas Crticos: El auditor no debe
descartar la posibilidad de que se est ejecutando un mdulo que no se
corresponde con el programa fuente que desarroll, codific y prob el rea de
Desarrollo de Aplicaciones. Se ha de comprobar la correspondencia biunvoca y
exclusiva entre el programa codificado y su compilacin. Si los programas fuente y
los programa mdulo no coincidieran podrase provocar, desde errores de bulto
que produciran graves y altos costes de mantenimiento, hasta fraudes, pasando
por acciones de sabotaje, espionaje industrial-informativo, etc. Por ende, hay
normas muy rgidas en cuanto a las Libreras de programas; aquellos programas
fuente que hayan sido dados por bueno por Desarrollo, son entregados a
Explotacin con el fin de que ste:
1.

Copie el programa fuente en la Librera de Fuentes de Explotacin, a la

que nadie ms tiene acceso

2.

Compile y monte ese programa, depositndolo en la Librera de Mdulos

de Explotacin, a la que nadie ms tiene acceso.
3.
Copie los programas fuente que les sean solicitados para modificarlos,
arreglarlos, etc. en el lugar que se le indique. Cualquier cambio exigir pasar
nuevamente por el punto 1.
Como este sistema para auditar y dar el alta a una nueva Aplicacin es bastante ardua y
compleja, hoy (algunas empresas lo usarn, otras no) se utiliza un sistema llamado
U.A.T (User Acceptance Test). Este consiste en que el futuro usuario de esta Aplicacin
use la Aplicacin como si la estuviera usando en Produccin para que detecte o se
denoten por s solos los errores de la misma. Estos defectos que se encuentran se van
corrigiendo a medida que se va haciendo el U.A.T. Una vez que se consigue el U.A.T., el
usuario tiene que dar el Sign Off ("Esto est bien"). Todo este testeo, auditora lo tiene
que controlar, tiene que evaluar que el testeo sea correcto, que exista un plan de testeo,
que est involucrado tanto el cliente como el desarrollador y que estos defectos se
corrijan. Auditora tiene que corroborar que el U.A.T. prueba todo y que el Sign Off del
usuario sea un Sign Off por todo.
Es aconsejable que las Empresas cuenten con un Departamento QA (Quality Assurance
Aseguramiento de la Calidad) que tendra la funcin de controlar que el producto que
llegue al usuario sea el correcto en cuanto a funcionamiento y prestaciones, antes del
U.A.T.
Auditora Informtica de Sistemas:
Se ocupa de analizar la actividad que se conoce como Tcnica de Sistemas en todas sus
facetas. Hoy, la importancia creciente de las telecomunicaciones ha propiciado que las
Comunicaciones, Lneas y Redes de las instalaciones informticas, se auditen por
separado, aunque formen parte del entorno general de Sistemas.
Sistemas Operativos:
Engloba los Subsistemas de Teleproceso, Entrada/Salida, etc. Debe verificarse en
primer lugar que los Sistemas estn actualizados con las ltimas versiones del
fabricante, indagando las causas de las omisiones si las hubiera. El anlisis de las
versiones de los Sistemas Operativos permite descubrir las posibles incompatibilidades
entre otros productos de Software Bsico adquiridos por la instalacin y determinadas
versiones de aquellas. Deben revisarse los parmetros variables de las Libreras ms
importantes de los Sistemas, por si difieren de los valores habituales aconsejados por el
constructor.
Software Bsico:
Es fundamental para el auditor conocer los productos de software bsico que han sido
facturados aparte de la propia computadora. Esto, por razones econmicas y por
razones de comprobacin de que la computadora podra funcionar sin el producto
adquirido por el cliente. En cuanto al Software desarrollado por el personal informtico
de la empresa, el auditor debe verificar que ste no agreda ni condiciona al Sistema.
Igualmente, debe considerar el esfuerzo realizado en trminos de costes, por si hubiera
alternativas ms econmicas.
Software de Teleproceso (Tiempo Real):
No se incluye en Software Bsico por su especialidad e importancia. Las
consideraciones anteriores son vlidas para ste tambin.

Tunning:
Es el conjunto de tcnicas de observacin y de medidas encaminadas a la evaluacin del
comportamiento de los Subsistemas y del Sistema en su conjunto. Las acciones de
tunning deben diferenciarse de los controles habituales que realiza el personal de
Tcnica de Sistemas. El tunning posee una naturaleza ms revisora, establecindose
previamente planes y programas de actuacin segn los sntomas observados. Se
pueden realizar:
o
o

Cuando existe sospecha de deterioro del

comportamiento parcial o general del Sistema
De modo sistemtico y peridico, por ejemplo cada
6 meses. En este caso sus acciones son repetitivas y
estn planificados y organizados de antemano.

El auditor deber conocer el nmero de Tunning realizados en el ltimo ao, as como

sus resultados. Deber analizar los modelos de carga utilizados y los niveles e ndices de
confianza de las observaciones.
Optimizacin de los Sistemas y Subsistemas:
Tcnica de Sistemas debe realizar acciones permanentes de optimizacin como
consecuencia de la realizacin de tunnings preprogramados o especficos. El auditor
verificar que las acciones de optimizacin* fueron efectivas y no comprometieron la
Operatividad de los Sistemas ni el plan crtico de produccin diaria de Explotacin.
*Optimizacin:
Por ejemplo: cuando se instala una Aplicacin, normalmente est vaca, no tiene nada
cargado adentro. Lo que puede suceder es que, a medida que se va cargando, la
Aplicacin se va poniendo cada vez ms lenta; porque todas las referencias a tablas es
cada vez ms grande, la informacin que est moviendo es cada vez mayor, entonces la
Aplicacin se tiende a poner lenta. Lo que se tiene que hacer es un anlisis de
performance, para luego optimizarla, mejorar el rendimiento de dicha Aplicacin.
Administracin de Base de Datos:
El diseo de las Bases de Datos, sean relaciones o jerrquicas, se ha convertido en una
actividad muy compleja y sofisticada, por lo general desarrollada en el mbito de
Tcnica de Sistemas, y de acuerdo con las reas de Desarrollo y usuarios de la empresa.
Al conocer el diseo y arquitectura de stas por parte de Sistemas, se les encomienda
tambin su administracin. Los auditores de Sistemas han observado algunas
disfunciones derivadas de la relativamente escasa experiencia que Tcnica de Sistemas
tiene sobre la problemtica general de los usuarios de Bases de Datos.
La administracin tendra que estar a cargo de Explotacin. El auditor de Base de Datos
debera asegurarse que Explotacin conoce suficientemente las que son accedidas por
los Procedimientos que ella ejecuta. Analizar los Sistemas de salvaguarda existentes,
que competen igualmente a Explotacin. Revisar finalmente la integridad y
consistencia de los datos, as como la ausencia de redundancias entre ellos.
Investigacin y Desarrollo:
Como empresas que utilizan y necesitan de informticas desarrolladas, saben que sus
propios efectivos estn desarrollando Aplicaciones y utilidades que, concebidas
inicialmente para su uso interno, pueden ser susceptibles de adquisicin por otras
empresas, haciendo competencia a las Compaas del ramo. La auditora informtica

deber cuidar de que la actividad de Investigacin y Desarrollo no interfiera ni dificulte

las tareas fundamentales internas.
<La propia existencia de aplicativos para la obtencin de estadsticasdesarrollados por
los tcnicos de Sistemas de la empresa auditada, y su calidad, proporcionan al auditor
experto una visin bastante exacta de la eficiencia y estado de desarrollo de los
Sistemas>
10. Auditora Informtica de Comunicaciones y Redes
Para el informtico y para el auditor informtico, el entramado conceptual que
constituyen las Redes Nodales, Lneas, Concentradores, Multiplexores, Redes Locales,
etc. no son sino el soporte fsico-lgico del Tiempo Real. El auditor tropieza con la
dificultad tcnica del entorno, pues ha de analizar situaciones y hechos alejados entre
s, y est condicionado a la participacin del monopolio telefnico que presta el soporte.
Como en otros casos, la auditora de este sector requiere un equipo de especialistas,
expertos simultneamente en Comunicaciones y en Redes Locales (no hay que
olvidarse que en entornos geogrficos reducidos, algunas empresas optan por el uso
interno de Redes Locales, diseadas y cableadas con recursos propios).
El auditor de Comunicaciones deber inquirir sobre los ndices de utilizacin de las
lneas contratadas con informacin abundante sobre tiempos de desuso. Deber
proveerse de la topologa de la Red de Comunicaciones, actualizada, ya que la
desactualizacin de esta documentacin significara una grave debilidad. La
inexistencia de datos sobre cuantas lneas existen, cmo son y donde estn instaladas,
supondra que se bordea la Inoperatividad Informtica. Sin embargo, las debilidades
ms frecuentes o importantes se encuentran en las disfunciones organizativas. La
contratacin e instalacin de lneas va asociada a la instalacin de los Puestos de
Trabajo correspondientes (Pantallas, Servidores de Redes Locales, Computadoras con
tarjetas de Comunicaciones, impresoras, etc.). Todas estas actividades deben estar muy
coordinadas y de ser posible, dependientes de una sola organizacin.
Auditora de la Seguridad informtica:
La computadora es un instrumento que estructura gran cantidad de informacin, la
cual puede ser confidencial para individuos, empresas o instituciones, y puede ser mal
utilizada o divulgada a personas que hagan mal uso de esta. Tambin puede ocurrir
robos, fraudes o sabotajes que provoquen la destruccin total o parcial de la actividad
computacional. Esta informacin puede ser de suma importancia, y el no tenerla en el
momento preciso puede provocar retrasos sumamente costosos.
En la actualidad y principalmente en las computadoras personales, se ha dado otro
factor que hay que considerar: el llamado "virus" de las computadoras, el cual, aunque
tiene diferentes intenciones, se encuentra principalmente para paquetes que son
copiados sin autorizacin ("piratas") y borra toda la informacin que se tiene en un
disco. Al auditar los sistemas se debe tener cuidado que no se tengan copias "piratas" o
bien que, al conectarnos en red con otras computadoras, no exista la posibilidad de
transmisin del virus. El uso inadecuado de la computadora comienza desde la
utilizacin de tiempo de mquina para usos ajenos de la organizacin, la copia de
programas para fines de comercializacin sin reportar los derechos de autor hasta el
acceso por va telefnica a bases de datos a fin de modificar la informacin con
propsitos fraudulentos.
La seguridad en la informtica abarca los conceptos de seguridad fsica y seguridad
lgica. La seguridad fsica se refiere a la proteccin del Hardware y de los soportes de

datos, as como a la de los edificios e instalaciones que los albergan. Contempla las
situaciones de incendios, sabotajes, robos, catstrofes naturales, etc.
La seguridad lgica se refiere a la seguridad de uso del software, a la proteccin de los
datos, procesos y programas, as como la del ordenado y autorizado acceso de los
usuarios a la informacin.
Un mtodo eficaz para proteger sistemas de computacin es el software de control de
acceso. Dicho simplemente, los paquetes de control de acceso protegen contra el acceso
no autorizado, pues piden del usuario una contrasea antes de permitirle el acceso a
informacin confidencial. Dichos paquetes han sido populares desde hace muchos aos
en el mundo de las computadoras grandes, y los principales proveedores ponen a
disposicin de clientes algunos de estos paquetes.
Ejemplo: Existe una Aplicacin de Seguridad que se llama SEOS, para Unix, que lo que
hace es auditar el nivel de Seguridad en todos los servidores, como ser: accesos a
archivos, accesos a directorios, que usuario lo hizo, si tena o no tena permiso, si no
tena permiso porque fall, entrada de usuarios a cada uno de los servidores, fecha y
hora, accesos con password equivocada, cambios de password, etc. La Aplicacin lo
puede graficar, tirar en nmeros, puede hacer reportes, etc.
La seguridad informtica se la puede dividir como Area General y como Area Especifica
(seguridad de Explotacin, seguridad de las Aplicaciones, etc.). As, se podrn efectuar
auditoras de la Seguridad Global de una Instalacin Informtica Seguridad Generaly auditoras de la Seguridad de un rea informtica determinada Seguridad
Especifica -.
Con el incremento de agresiones a instalaciones informticas en los ltimos aos, se
han ido originando acciones para mejorar la Seguridad Informtica a nivel fsico. Los
accesos y conexiones indebidos a travs de las Redes de Comunicaciones, han acelerado
el desarrollo de productos de Seguridad lgica y la utilizacin de sofisticados medios
criptograficos.
El sistema integral de seguridad debe comprender:

Elementos administrativos
Definicin de una poltica de seguridad
Organizacin y divisin de responsabilidades
Seguridad fsica y contra catstrofes (incendio, terremotos, etc.)
Prcticas de seguridad del personal
Elementos tcnicos y procedimientos
Sistemas de seguridad (de equipos y de sistemas, incluyendo todos los
elementos, tanto redes como terminales.
Aplicacin de los sistemas de seguridad, incluyendo datos y archivos
El papel de los auditores, tanto internos como externos
Planeacin de programas de desastre y su prueba.

La decisin de abordar una Auditora Informtica de Seguridad Global en una empresa,

se fundamenta en el estudio cuidadoso de los riesgos potenciales a los que est
sometida. Se elaboran "matrices de riesgo", en donde se consideran los factores de las
"Amenazas" a las que est sometida una instalacin y los "Impactos" que aquellas
puedan causar cuando se presentan. Las matrices de riesgo se representan en cuadros
de doble entrada <<Amenaza-Impacto>>, en donde se evalan las probabilidades de
ocurrencia de los elementos de la matriz.

Ejemplo:
Impacto

Destruccin

Amenaza
Error

Incendio

Sabotaje

1: Improbable
..

2: Probable
3: Certeza
-: Despreciable

de Hardware
Borrado de
Informacin
El cuadro muestra que si por error codificamos un parmetro que ordene el borrado de
un fichero, ste se borrar con certeza.
El caso de los Bancos en la Repblica Argentina:
En la Argentina, el Banco Central (BCRA) les realiza una Auditora de Seguridad de
Sistemas a todos los Bancos, minoritarios y mayoristas. El Banco que es auditado le
prepara a los auditores del BCRA un "demo" para que estos vean cual es el flujo de
informacin dentro del Banco y que Aplicaciones estn involucradas con sta. Si los
auditores detectan algn problema o alguna cosa que segn sus normas no est bien, y
en base a eso, emiten un informe que va, tanto a la empresa, como al mercado. Este,
principalmente, es uno de los puntos bsicos donde se analiza el riesgo de un banco,
ms all de cmo se maneja. Cada Banco tiene cierto riesgo dentro del mercado; por un
lado, est dado por como se mueve ste dentro del mercado (inversiones, rditos, etc.) y
por otro lado, el como funcionan sus Sistemas. Por esto, todos los Bancos tienen
auditora interna y auditora externa; y se los audita muy frecuentemente.
Herramientas y Tcnicas para la Auditora Informtica:
Cuestionarios:
Las auditoras informticas se materializan recabando informacin y documentacin de
todo tipo. Los informes finales de los auditores dependen de sus capacidades para
analizar las situaciones de debilidad o fortaleza de los diferentes entornos. El trabajo de
campo del auditor consiste en lograr toda la informacin necesaria para la emisin de
un juicio global objetivo, siempre amparado en hechos demostrables, llamados tambin
evidencias.
Para esto, suele ser lo habitual comenzar solicitando la cumplimentacin de
cuestionarios preimpresos que se envan a las personas concretas que el auditor cree
adecuadas, sin que sea obligatorio que dichas personas sean las responsables oficiales
de las diversas reas a auditar.
Estos cuestionarios no pueden ni deben ser repetidos para instalaciones distintas, sino
diferentes y muy especficos para cada situacin, y muy cuidados en su fondo y su
forma.
Sobre esta base, se estudia y analiza la documentacin recibida, de modo que tal
anlisis determine a su vez la informacin que deber elaborar el propio auditor. El
cruzamiento de ambos tipos de informacin es una de las bases fundamentales de la
auditora.

Cabe aclarar, que esta primera fase puede omitirse cuando los auditores hayan
adquirido por otro medios la informacin que aquellos preimpresos hubieran
proporcionado.
Entrevistas:
El auditor comienza a continuacin las relaciones personales con el auditado. Lo hace
de tres formas:
1.

Mediante la peticin de documentacin concreta sobre alguna materia de su

responsabilidad.
2.
Mediante "entrevistas" en las que no se sigue un plan predeterminado ni un
mtodo estricto de sometimiento a un cuestionario.
3.
Por medio de entrevistas en las que el auditor sigue un mtodo preestablecido
de antemano y busca unas finalidades concretas.
La entrevista es una de las actividades personales ms importante del auditor; en ellas,
ste recoge ms informacin, y mejor matizada, que la proporcionada por medios
propios puramente tcnicos o por las respuestas escritas a cuestionarios.
Aparte de algunas cuestiones menos importantes, la entrevista entre auditor y auditado
se basa fundamentalmente en el concepto de interrogatorio; es lo que hace un auditor,
interroga y se interroga a s mismo. El auditor informtico experto entrevista al
auditado siguiendo un cuidadoso sistema previamente establecido, consistente en que
bajo la forma de una conversacin correcta y lo menos tensa posible, el auditado
conteste sencillamente y con pulcritud a una serie de preguntas variadas, tambin
sencillas. Sin embargo, esta sencillez es solo aparente. Tras ella debe existir una
preparacin muy elaborada y sistematizada, y que es diferente para cada caso particular
Checklist:
El auditor profesional y experto es aqul que reelabora muchas veces sus cuestionarios
en funcin de los escenarios auditados. Tiene claro lo que necesita saber, y por qu. Sus
cuestionarios son vitales para el trabajo de anlisis, cruzamiento y sntesis posterior, lo
cual no quiere decir que haya de someter al auditado a unas preguntas estereotipadas
que no conducen a nada. Muy por el contrario, el auditor conversar y har preguntas
"normales", que en realidad servirn para la cumplimentacin sistemtica de sus
Cuestionarios, de sus Checklists.
Hay opiniones que descalifican el uso de las Checklists, ya que consideran que leerle
una pila de preguntas recitadas de memoria o ledas en voz alta descalifica al auditor
informtico. Pero esto no es usar Checklists, es una evidente falta de profesionalismo.
El profesionalismo pasa por un procesamiento interno de informacin a fin de obtener
respuestas coherentes que permitan una correcta descripcin de puntos dbiles y
fuertes. El profesionalismo pasa por poseer preguntas muy estudiadas que han de
formularse flexiblemente.
El conjunto de estas preguntas recibe el nombre de Checklist. Salvo excepciones, las
Checklists deben ser contestadas oralmente, ya que superan en riqueza y generalizacin
a cualquier otra forma.
Segn la claridad de las preguntas y el talante del auditor, el auditado responder desde
posiciones muy distintas y con disposicin muy variable. El auditado, habitualmente
informtico de profesin, percibe con cierta facilidad el perfil tcnico y los
conocimientos del auditor, precisamente a travs de las preguntas que ste le formula.

Esta percepcin configura el principio de autoridad y prestigio que el auditor debe

poseer.
Por ello, aun siendo importante tener elaboradas listas de preguntas muy
sistematizadas, coherentes y clasificadas por materias, todava lo es ms el modo y el
orden de su formulacin. Las empresas externas de Auditora Informtica guardan sus
Checklists, pero de poco sirven si el auditor no las utiliza adecuada y oportunamente.
No debe olvidarse que la funcin auditora se ejerce sobre bases de autoridad, prestigio
y tica.
El auditor deber aplicar el Checklist de modo que el auditado responda clara y
escuetamente. Se deber interrumpir lo menos posible a ste, y solamente en los casos
en que las respuestas se aparten sustancialmente de la pregunta. En algunas ocasiones,
se har necesario invitar a aqul a que exponga con mayor amplitud un tema concreto,
y en cualquier caso, se deber evitar absolutamente la presin sobre el mismo.
Algunas de las preguntas de las Checklists utilizadas para cada sector, deben ser
repetidas. En efecto, bajo apariencia distinta, el auditor formular preguntas
equivalentes a las mismas o a distintas personas, en las mismas fechas, o en fechas
diferentes. De este modo, se podrn descubrir con mayor facilidad los puntos
contradictorios; el auditor deber analizar los matices de las respuestas y reelaborar
preguntas complementarias cuando hayan existido contradicciones, hasta conseguir la
homogeneidad. El entrevistado no debe percibir un excesivo formalismo en las
preguntas. El auditor, por su parte, tomar las notas imprescindibles en presencia del
auditado, y nunca escribir cruces ni marcar cuestionarios en su presencia.
Los cuestionarios o Checklists responden fundamentalmente a dos tipos de "filosofa"
de calificacin o evaluacin:
a.

Checklist de rango
Contiene preguntas que el auditor debe puntuar dentro de un rango
preestablecido (por ejemplo, de 1 a 5, siendo 1 la respuesta ms negativa y el 5 el
valor ms positivo)
Ejemplo de Checklist de rango:
Se supone que se est realizando una auditora sobre la seguridad fsica de una
instalacin y, dentro de ella, se analiza el control de los accesos de personas y
cosas al Centro de Clculo. Podran formularse las preguntas que figuran a
continuacin, en donde las respuestas tiene los siguientes significados:
1 : Muy deficiente.
2 : Deficiente.
3 : Mejorable.
4 : Aceptable.
5 : Correcto.
Se figuran posibles respuestas de los auditados. Las preguntas deben sucederse
sin que parezcan encorsetadas ni clasificadas previamente. Basta con que el
auditor lleve un pequeo guin. La cumplimentacin del Checklist no debe
realizarse en presencia del auditado.
-Existe personal especfico de vigilancia externa al edificio?

-No, solamente un guarda por la noche que atiende adems otra instalacin
adyacente.
<Puntuacin: 1>
-Para la vigilancia interna del edificio, Hay al menos un vigilante por turno en los
aledaos del Centro de Clculo?
-Si, pero sube a las otras 4 plantas cuando se le necesita.
<Puntuacin: 2>
-Hay salida de emergencia adems de la habilitada para la entrada y salida de
mquinas?
-Si, pero existen cajas apiladas en dicha puerta. Algunas veces las quitan.
<Puntuacin: 2>
-El personal de Comunicaciones, Puede entrar directamente en la Sala de
Computadoras?
-No, solo tiene tarjeta el Jefe de Comunicaciones. No se la da a su gente salvo
causa muy justificada, y avisando casi siempre al Jefe de Explotacin.
<Puntuacin: 4>
El resultado sera el promedio de las puntuaciones: (1 + 2 + 2 + 4) /4 = 2,25
Deficiente.
b.

Checklist Binaria

Es la constituida por preguntas con respuesta nica y excluyente: Si o No.

Aritmticamente, equivalen a 1(uno) o 0(cero), respectivamente.
Ejemplo de Checklist Binaria:
Se supone que se est realizando una Revisin de los mtodos de pruebas de programas
en el mbito de Desarrollo de Proyectos.
-Existe Normativa de que el usuario final compruebe los resultados finales de los
programas?
<Puntuacin: 1>
-Conoce el personal de Desarrollo la existencia de la anterior normativa?
<Puntuacin: 1>
-Se aplica dicha norma en todos los casos?
<Puntuacin: 0>
-Existe una norma por la cual las pruebas han de realizarse con juegos de ensayo o
copia de Bases de Datos reales?
<Puntuacin: 0>
Obsrvese como en este caso estn contestadas las siguientes preguntas:
-Se conoce la norma anterior?
<Puntuacin: 0>

-Se aplica en todos los casos?

<Puntuacin: 0>
Los Checklists de rango son adecuados si el equipo auditor no es muy grande y
mantiene criterios uniformes y equivalentes en las valoraciones. Permiten una mayor
precisin en la evaluacin que en los checklist binarios. Sin embargo, la bondad del
mtodo depende excesivamente de la formacin y competencia del equipo auditor.
Los Checklists Binarios siguen una elaboracin inicial mucho ms ardua y compleja.
Deben ser de gran precisin, como corresponde a la suma precisin de la respuesta.
Una vez construidas, tienen la ventaja de exigir menos uniformidad del equipo auditor
y el inconveniente genrico del <si o no> frente a la mayor riqueza del intervalo.
No existen Checklists estndar para todas y cada una de las instalaciones informticas a
auditar. Cada una de ellas posee peculiaridades que hacen necesarios los retoques de
adaptacin correspondientes en las preguntas a realizar.
Trazas y/o Huellas:
Con frecuencia, el auditor informtico debe verificar que los programas, tanto de los
Sistemas como de usuario, realizan exactamente las funciones previstas, y no otras.
Para ello se apoya en productos Software muy potentes y modulares que, entre otras
funciones, rastrean los caminos que siguen los datos a travs del programa.
Muy especialmente, estas "Trazas" se utilizan para comprobar la ejecucin de las
validaciones de datos previstas. Las mencionadas trazas no deben modificar en
absoluto el Sistema. Si la herramienta auditora produce incrementos apreciables de
carga, se convendr de antemano las fechas y horas ms adecuadas para su empleo.
Por lo que se refiere al anlisis del Sistema, los auditores informticos emplean
productos que comprueban los valores asignados por Tcnica de Sistemas a cada uno
de los parmetros variables de las Libreras ms importantes del mismo. Estos
parmetros variables deben estar dentro de un intervalo marcado por el fabricante. A
modo de ejemplo, algunas instalaciones descompensan el nmero de iniciadores de
trabajos de determinados entornos o toman criterios especialmente restrictivos o
permisivos en la asignacin de unidades de servicio segn cuales tipos carga. Estas
actuaciones, en principio tiles, pueden resultar contraproducentes si se traspasan los
lmites.
No obstante la utilidad de las Trazas, ha de repetirse lo expuesto en la descripcin de la
auditora informtica de Sistemas: el auditor informtico emplea preferentemente la
amplia informacin que proporciona el propio Sistema: As, los ficheros de
<Accounting> o de <contabilidad>, en donde se encuentra la produccin completa de
aqul, y los <Log*> de dicho Sistema, en donde se recogen las modificaciones de datos
y se pormenoriza la actividad general.
Del mismo modo, el Sistema genera automticamente exacta informacin sobre el
tratamiento de errores de maquina central, perifricos, etc.
[La auditora financiero-contable convencional emplea trazas con mucha frecuencia.
Son programas encaminados a verificar lo correcto de los clculos de nminas, primas,
etc.].
*Log:
El log vendra a ser un historial que informa que fue cambiando y cmo fue cambiando
(informacin). Las bases de datos, por ejemplo, utilizan el log para asegurar lo que se

llaman las transacciones. Las transacciones son unidades atmicas de cambios dentro
de una base de datos; toda esa serie de cambios se encuadra dentro de una transaccin,
y todo lo que va haciendo la Aplicacin (grabar, modificar, borrar) dentro de esa
transaccin, queda grabado en el log. La transaccin tiene un principio y un fin, cuando
la transaccin llega a su fin, se vuelca todo a la base de datos. Si en el medio de la
transaccin se cort por x razn, lo que se hace es volver para atrs. El log te permite
analizar cronolgicamente que es lo que sucedi con la informacin que est en el
Sistema o que existe dentro de la base de datos.
Software de Interrogacin:
Hasta hace ya algunos aos se han utilizado productos software llamados
genricamente <paquetes de auditora>, capaces de generar programas para auditores
escasamente cualificados desde el punto de vista informtico.
Ms tarde, dichos productos evolucionaron hacia la obtencin de muestreos
estadsticos que permitieran la obtencin de consecuencias e hiptesis de la situacin
real de una instalacin.
En la actualidad, los productos Software especiales para la auditora informtica se
orientan principalmente hacia lenguajes que permiten la interrogacin de ficheros y
bases de datos de la empresa auditada. Estos productos son utilizados solamente por
los auditores externos, por cuanto los internos disponen del software nativo propio de
la instalacin.
Del mismo modo, la proliferacin de las redes locales y de la filosofa "ClienteServidor", han llevado a las firmas de software a desarrollar interfaces de transporte de
datos entre computadoras personales y mainframe, de modo que el auditor informtico
copia en su propia PC la informacin ms relevante para su trabajo.
Cabe recordar, que en la actualidad casi todos los usuarios finales poseen datos e
informacin parcial generada por la organizacin informtica de la Compaa.
Efectivamente, conectados como terminales al "Host", almacenan los datos
proporcionados por este, que son tratados posteriormente en modo PC. El auditor se ve
obligado (naturalmente, dependiendo del alcance de la auditora) a recabar
informacin de los mencionados usuarios finales, lo cual puede realizar con suma
facilidad con los polivalentes productos descritos. Con todo, las opiniones ms
autorizadas indican que el trabajo de campo del auditor informtico debe realizarse
principalmente con los productos del cliente.
Finalmente, ha de indicarse la conveniencia de que el auditor confeccione
personalmente determinadas partes del Informe. Para ello, resulta casi imprescindible
una cierta soltura en el manejo de Procesadores de Texto, paquetes de Grficos, Hojas
de Clculo, etc.
Metodologa de Trabajo de Auditora Informtica
El mtodo de trabajo del auditor pasa por las siguientes etapas:

Alcance y Objetivos de la Auditora Informtica.

Estudio inicial del entorno auditable.
Determinacin de los recursos necesarios para realizar la auditora.
Elaboracin del plan y de los Programas de Trabajo.
Actividades propiamente dichas de la auditora.
Confeccin y redaccin del Informe Final.

Redaccin de la Carta de Introduccin o Carta de Presentacin del Informe

final.

Alcance y Objetivos de la Auditora Informtica

El alcance de la auditora expresa los lmites de la misma. Debe existir un acuerdo muy
preciso entre auditores y clientes sobre las funciones, las materias y las organizaciones
a auditar.
A los efectos de acotar el trabajo, resulta muy beneficioso para ambas partes expresar
las excepciones de alcance de la auditora, es decir cuales materias, funciones u
organizaciones no van a ser auditadas.
Tanto los alcances como las excepciones deben figurar al comienzo del Informe Final.
Las personas que realizan la auditora han de conocer con la mayor exactitud posible
los objetivos a los que su tarea debe llegar. Deben comprender los deseos y
pretensiones del cliente, de forma que las metas fijadas puedan ser cumplidas.
Una vez definidos los objetivos (objetivos especficos), stos se aadirn a los objetivos
generales y comunes de a toda auditora Informtica: La operatividad de los Sistemas y
los Controles Generales de Gestin Informtica.
Estudio Inicial del entorno auditable
Para realizar dicho estudio ha de examinarse las funciones y actividades generales de la
informtica.
Para su realizacin el auditor debe conocer lo siguiente:
Organizacin
Para el equipo auditor, el conocimiento de quin ordena, quin disea y quin
ejecuta es fundamental. Para realizar esto en auditor deber fijarse en:
1) Organigrama:
El organigrama expresa la estructura oficial de la organizacin a auditar.
Si se descubriera que existe un organigrama fctico diferente al oficial, se
pondr de manifiesto tal circunstancia.
2) Departamentos:
Se entiende como departamento a los rganos que siguen inmediatamente a la
Direccin. El equipo auditor describir brevemente las funciones de cada uno de
ellos.
3) Relaciones Jerrquicas y funcionales entre rganos de la Organizacin:
El equipo auditor verificar si se cumplen las relaciones funcionales y
Jerrquicas previstas por el organigrama, o por el contrario detectar, por
ejemplo, si algn empleado tiene dos jefes.
Las de Jerarqua implican la correspondiente subordinacin. Las funcionales
por el contrario, indican relaciones no estrictamente subordinables.
4) Flujos de Informacin:

Adems de las corrientes verticales intradepartamentales, la estructura

organizativa cualquiera que sea, produce corrientes de informacin horizontales
y oblicuas extradepartamentales.
Los flujos de informacin entre los grupos de una organizacin son necesarios
para su eficiente gestin, siempre y cuando tales corrientes no distorsionen el
propio organigrama.
En ocasiones, las organizaciones crean espontneamente canales alternativos de
informacin, sin los cuales las funciones no podran ejercerse con eficacia; estos
canales alternativos se producen porque hay pequeos o grandes fallos en la
estructura y en el organigrama que los representa.
Otras veces, la aparicin de flujos de informacin no previstos obedece a
afinidades personales o simple comodidad. Estos flujos de informacin son
indeseables y producen graves perturbaciones en la organizacin.
5.

Nmero de Puestos de trabajo

El equipo auditor comprobar que los nombres de los Puesto de los Puestos de
Trabajo de la organizacin corresponden a las funciones reales distintas.
Es frecuente que bajo nombres diferentes se realicen funciones idnticas, lo cual
indica la existencia de funciones operativas redundantes.
Esta situacin pone de manifiesto deficiencias estructurales; los auditores darn a
conocer tal circunstancia y expresarn el nmero de puestos de trabajo
verdaderamente diferentes.

6.

Nmero de personas por Puesto de Trabajo

Es un parmetro que los auditores informticos deben considerar. La
inadecuacin del personal determina que el nmero de personas que realizan
las mismas funciones rara vez coincida con la estructura oficial de la
organizacin.

Entorno Operacional
El equipo de auditora informtica debe poseer una adecuada referencia del entorno en
el que va a desenvolverse.
Este conocimiento previo se logra determinando, fundamentalmente, los siguientes
extremos:
a.

Situacin geogrfica de los Sistemas:

Se determinar la ubicacin geogrfica de los distintos Centros de Proceso de
Datos en la empresa. A continuacin, se verificar la existencia de responsables en
cada unos de ellos, as como el uso de los mismos estndares de trabajo.

b.

Arquitectura y configuracin de Hardware y Software:

Cuando existen varios equipos, es fundamental la configuracin elegida para cada
uno de ellos, ya que los mismos deben constituir un sistema compatible e
intercomunicado. La configuracin de los sistemas esta muy ligada a las polticas
de seguridad lgica de las compaas.

Los auditores, en su estudio inicial, deben tener en su poder la distribucin e

interconexin de los equipos.
c.

Inventario de Hardware y Software:

El auditor recabar informacin escrita, en donde figuren todos los elementos
fsicos y lgicos de la instalacin. En cuanto a Hardware figurarn las CPUs,
unidades de control local y remotas, perifricos de todo tipo, etc.
El inventario de software debe contener todos los productos lgicos del Sistema,
desde el software bsico hasta los programas de utilidad adquiridos o
desarrollados internamente. Suele ser habitual clasificarlos en facturables y no
facturables.

d.

Comunicacin y Redes de Comunicacin:

En el estudio inicial los auditores dispondrn del nmero, situacin y
caractersticas principales de las lneas, as como de los accesos a la red
pblica de comunicaciones.
Igualmente, poseern informacin de las Redes Locales de la Empresa.

Aplicaciones bases de datos y ficheros

El estudio inicial que han de realizar los auditores se cierra y culmina
con una idea general de los procesos informticos realizados en la
empresa auditada. Para ello debern conocer lo siguiente:
a.
b.

Volumen, antigedad y complejidad de las Aplicaciones

Metodologa del Diseo
Se clasificar globalmente la existencia total o parcial de metodologa en el
desarrollo de las aplicaciones. Si se han utilizados varias a lo largo del tiempo se
pondr de manifiesto.

c.

Documentacin
La existencia de una adecuada documentacin de las aplicaciones proporciona
beneficios tangibles e inmediatos muy importantes.
La documentacin de programas disminuye gravemente el mantenimiento de los
mismos.

d.

Cantidad y complejidad de Bases de Datos y Ficheros.

El auditor recabar informacin de tamao y caractersticas de las Bases
de Datos, clasificndolas en relacin y jerarquas. Hallar un promedio
de nmero de accesos a ellas por hora o das. Esta operacin se repetir
con los ficheros, as como la frecuencia de actualizaciones de los mismos.
Estos datos proporcionan una visin aceptable de las caractersticas de
la carga informtica.

Determinacin de los recursos necesarios para realizar la auditora

Mediante los resultados del estudio inicial realizado se procede a
determinar los recursos humanos y materiales que han de emplearse en
la auditora.

Recursos materiales
Es muy importante su determinacin, por cuanto la mayora de ellos son
proporcionados por el cliente. Las herramientas software propias del
equipo van a utilizarse igualmente en el sistema auditado, por lo que han
de convenirse en lo posible las fechas y horas de uso entre el auditor y
cliente.
Los recursos materiales del auditor son de dos tipos:
a.

Recursos materiales Software

Programas propios de la auditoria: Son muy potentes y Flexibles. Habitualmente
se aaden a las ejecuciones de los procesos del cliente para verificarlos.
Monitores: Se utilizan en funcin del grado de desarrollo observado en la
actividad de Tcnica de Sistemas del auditado y de la cantidad y calidad de los
datos ya existentes.

b.

Recursos materiales Hardware

Los recursos hardware que el auditor necesita son proporcionados por el
cliente. Los procesos de control deben efectuarse necesariamente en las
Computadoras del auditado.
Para lo cul habr de convenir, tiempo de maquina, espacio de disco,
impresoras ocupadas, etc.

Recursos Humanos
La cantidad de recursos depende del volumen auditable. Las caractersticas y perfiles
del personal seleccionado depende de la materia auditable.
Es igualmente reseable que la auditora en general suele ser ejercida por profesionales
universitarios y por otras personas de probada experiencia multidisciplinaria.
12. Perfiles Profesionales de los auditores informticos
Profesin

Actividades y conocimientos deseables

Informtico Generalista

Con experiencia amplia en ramas distintas.

Deseable que su labor se haya desarrollado en
Explotacin y en Desarrollo de Proyectos.
Conocedor de Sistemas.

Experto en Desarrollo de Proyectos Amplia experiencia como responsable de

proyectos. Experto analista. Conocedor de las
metodologas de Desarrollo ms importantes.
Tcnico de Sistemas

Experto en Sistemas Operativos y Software

Bsico. Conocedor de los productos equivalentes
en el mercado. Amplios conocimientos de
Explotacin.

Experto en Bases de Datos y

Administracin de las mismas.

Con experiencia en el mantenimiento de Bases de

Datos. Conocimiento de productos compatibles y
equivalentes. Buenos conocimientos de
explotacin

Experto en Software de
Comunicacin

Alta especializacin dentro de la tcnica de

sistemas. Conocimientos profundos de redes.
Muy experto en Subsistemas de teleproceso.

Experto en Explotacin y Gestin

de CPDS

Responsable de algn Centro de Clculo. Amplia

experiencia en Automatizacin de trabajos.
Experto en relaciones humanas. Buenos
conocimientos de los sistemas.

Tcnico de Organizacin

Experto organizador y coordinador. Especialista

en el anlisis de flujos de informacin.

Tcnico de evaluacin de Costes

Economista con conocimiento de Informtica.

Gestin de costes.

Elaboracin del Plan y de los programas de trabajo

Una vez asignados los recursos, el responsable de la auditora y sus colaboradores
establecen un plan de trabajo. Decidido ste, se procede a la programacin del mismo.
El plan se elabora teniendo en cuenta, entre otros criterios, los siguientes:
a) Si la Revisin debe realizarse por reas generales o reas especficas. En el
primer caso, la elaboracin es ms compleja y costosa.
b) Si la auditora es global, de toda la Informtica, o parcial. El volumen
determina no solamente el nmero de auditores necesarios, sino las
especialidades necesarias del personal.

En el plan no se consideran calendarios, porque se manejan recursos genricos

y no especficos.
En el Plan se establecen los recursos y esfuerzos globales que van a ser
necesarios.
En el Plan se establecen las prioridades de materias auditables, de acuerdo
siempre con las prioridades del cliente.
El Plan establece disponibilidad futura de los recursos durante la revisin.
El Plan estructura las tareas a realizar por cada integrante del grupo.
En el Plan se expresan todas las ayudas que el auditor ha de recibir del
auditado.

Una vez elaborado el Plan, se procede a la Programacin de actividades. Esta ha de ser

lo suficientemente como para permitir modificaciones a lo largo del proyecto.
Actividades propiamente dichas de la Auditora
Auditora por temas generales o por reas especficas:

La auditora Informtica general se realiza por reas generales o por reas especficas.
Si se examina por grandes temas, resulta evidente la mayor calidad y el empleo de ms
tiempo total y mayores recursos.
Cuando la auditora se realiza por reas especficas, se abarcan de una vez todas
las peculiaridades que afectan a la misma, de forma que el resultado se obtiene
ms rpidamente y con menor calidad.
Tcnicas de Trabajo:
- Anlisis de la informacin recabada del auditado.
- Anlisis de la informacin propia.
- Cruzamiento de las informaciones anteriores.
- Entrevistas.
- Simulacin.
- Muestreos.
Herramientas:
- Cuestionario general inicial.
- Cuestionario Checklist.
- Estndares.
- Monitores.
- Simuladores (Generadores de datos).
- Paquetes de auditora (Generadores de Programas).
- Matrices de riesgo.
Confeccin y redaccin del Informe Final
La funcin de la auditora se materializa exclusivamente por escrito. Por lo tanto la
elaboracin final es el exponente de su calidad.
Resulta evidente la necesidad de redactar borradores e informes parciales previos al
informe final, los que son elementos de contraste entre opinin entre auditor y
auditado y que pueden descubrir fallos de apreciacin en el auditor.
Estructura del informe final:
El informe comienza con la fecha de comienzo de la auditora y la fecha de redaccin
del mismo. Se incluyen los nombres del equipo auditor y los nombres de todas las
personas entrevistadas, con indicacin de la jefatura, responsabilidad y puesto de
trabajo que ostente.
Definicin de objetivos y alcance de la auditora.
Enumeracin de temas considerados:
Antes de tratarlos con profundidad, se enumerarn lo ms exhaustivamente posible
todos los temas objeto de la auditora.
Cuerpo expositivo:
Para cada tema, se seguir el siguiente orden a saber:

a.

b.
c.
d.
e.

Situacin actual. Cuando se trate de una revisin peridica, en la que se analiza

no solamente una situacin sino adems su evolucin en el tiempo, se expondr la
situacin prevista y la situacin real.
Tendencias. Se tratarn de hallar parmetros que permitan establecer
tendencias futuras.
Puntos dbiles y amenazas.
Recomendaciones y planes de accin. Constituyen junto con la exposicin de
puntos dbiles, el verdadero objetivo de la auditora informtica.
Redaccin posterior de la Carta de Introduccin o Presentacin.

13. Modelo conceptual de la exposicin del informe final

- El informe debe incluir solamente hechos importantes.
La inclusin de hechos poco relevantes o accesorios desva la atencin del lector.
- El Informe debe consolidar los hechos que se describen en el mismo.
El trmino de "hechos consolidados" adquiere un especial significado de verificacin
objetiva y de estar documentalmente probados y soportados. La consolidacin de los
hechos debe satisfacer, al menos los siguientes criterios:
1.
2.

El hecho debe poder ser sometido a cambios.

Las ventajas del cambio deben superar los inconvenientes derivados de
mantener la situacin.
3.
No deben existir alternativas viables que superen al cambio propuesto.
4.
La recomendacin del auditor sobre el hecho debe mantener o mejorar las
normas y estndares existentes en la instalacin.
La aparicin de un hecho en un informe de auditora implica necesariamente la
existencia de una debilidad que ha de ser corregida.
Flujo del hecho o debilidad:
1 Hecho encontrado.
- Ha de ser relevante para el auditor y pera el cliente.
- Ha de ser exacto, y adems convincente.
- No deben existir hechos repetidos.
2 Consecuencias del hecho
- Las consecuencias deben redactarse de modo que sean directamente
deducibles del hecho.
3 Repercusin del hecho
- Se redactar las influencias directas que el hecho pueda tener
sobre otros aspectos informticos u otros mbitos de la empresa.
4 Conclusin del hecho
- No deben redactarse conclusiones ms que en los casos en que
la exposicin haya sido muy extensa o compleja.
5 Recomendacin del auditor informtico
- Deber entenderse por s sola, por simple lectura.

- Deber estar suficientemente soportada en el propio texto.

- Deber ser concreta y exacta en el tiempo, para que pueda ser
verificada su implementacin.
- La recomendacin se redactar de forma que vaya dirigida
expresamente a la persona o personas que puedan
implementarla.
Carta de introduccin o presentacin del informe final:
La carta de introduccin tiene especial importancia porque en ella ha de resumirse la
auditora realizada. Se destina exclusivamente al responsable mximo de la empresa, o
a la persona concreta que encargo o contrato la auditora.
As como pueden existir tantas copias del informe Final como solicite el cliente, la
auditora no har copias de la citada carta de Introduccin.
La carta de introduccin poseer los siguientes atributos:

Tendr como mximo 4 folios.

Incluir fecha, naturaleza, objetivos y alcance.
Cuantificar la importancia de las reas analizadas.
Proporcionar una conclusin general, concretando las reas de gran debilidad.
Presentar las debilidades en orden de importancia y gravedad.
En la carta de Introduccin no se escribirn nunca recomendaciones.

CRMR (Computer resource management review)

14. Definicin de la metodologa CRMR
CRMR son las siglas de <<Computer resource management review>>; su traduccin
ms adecuada, Evaluacin de la gestin de recursos informticos. En cualquier caso,
esta terminologa quiere destacar la posibilidad de realizar una evaluacin de eficiencia
de utilizacin de los recursos por medio del management.
Una revisin de esta naturaleza no tiene en s misma el grado de profundidad de una
auditora informtica global, pero proporciona soluciones ms rpidas a problemas
concretos y notorios.
Supuestos de aplicacin:
En funcin de la definicin dada, la metodologa abreviada CRMR es aplicable ms a
deficiencias organizativas y gerenciales que a problemas de tipo tcnico, pero no cubre
cualquier rea de un Centro de Procesos de Datos.
El mtodo CRMR puede aplicarse cuando se producen algunas de las situaciones que se
citan:

Se detecta una mala respuesta a las peticiones y necesidades de los usuarios.

Los resultados del Centro de Procesos de Datos no estn a disposicin de los
usuarios en el momento oportuno.
Se genera con alguna frecuencia informacin errnea por fallos de datos o
proceso.
Existen sobrecargas frecuentes de capacidad de proceso.
Existen costes excesivos de proceso en el Centro de Proceso de Datos.

Efectivamente, son stas y no otras las situaciones que el auditor informtico encuentra
con mayor frecuencia. Aunque pueden existir factores tcnicos que causen las
debilidades descritas, hay que convenir en la mayor incidencia de fallos de gestin.
Areas de aplicacin:
Las reas en que el mtodo CRMR puede ser aplicado se corresponden con las sujetas a
las condiciones de aplicacin sealadas en punto anterior:

Gestin de Datos.
Control de Operaciones.
Control y utilizacin de recursos materiales y humanos.
Interfaces y relaciones con usuarios.
Planificacin.
Organizacin y administracin.

Ciertamente, el CRMR no es adecuado para evaluar la procedencia de adquisicin de

nuevos equipos (Capacity Planning) o para revisar muy a fondo los caminos crticos o
las holguras de un Proyecto complejo.
Objetivos:
CRMR tiene como objetivo fundamental evaluar el grado de bondad o ineficiencia de
los procedimientos y mtodos de gestin que se observan en un Centro de Proceso de
Datos. Las Recomendaciones que se emitan como resultado de la aplicacin del CRMR,
tendrn como finalidad algunas de las que se relacionan:

Identificar y fijas responsabilidades.

Mejorar la flexibilidad de realizacin de actividades.
Aumentar la productividad.
Disminuir costes
Mejorar los mtodos y procedimientos de Direccin.

Alcance
Se fijarn los lmites que abarcar el CRMR, antes de comenzar el trabajo.
Se establecen tres clases:
1.

Reducido. El resultado consiste en sealar las reas de actuacin con

potencialidad inmediata de obtencin de beneficios.
2.
Medio. En este caso, el CRMR ya establece conclusiones y Recomendaciones, tal
y como se hace en la auditora informtica ordinaria.
3.
Amplio. El CRMR incluye Planes de Accin, aportando tcnicas de
implementacin de las Recomendaciones, a la par que desarrolla las conclusiones.
15. Informacin necesaria para la evaluacin del CRMR
Se determinan en este punto los requisitos necesarios para que esta simbiosis de
auditora y consultora pueda llevarse a cabo con xito.
1.

El trabajo de campo del CRMR ha de realizarse completamente integrado en la

estructura del Centro de Proceso de Datos del cliente, y con los recursos de ste.
2.
Se deber cumplir un detallado programa de trabajo por tareas.
3.
El auditor-consultor recabar determinada informacin necesaria del cliente.
Se tratan a continuacin los tres requisitos expuestos:

1.

Integracin del auditor en el Centro de Procesos de Datos a revisar

No debe olvidarse que se estn evaluando actividades desde el punto de vista
gerencial. El contacto permanente del auditor con el trabajo ordinario del Centro
de Proceso de Datos permite a aqul determinar el tipo de esquema organizativo
que se sigue.

2.

Programa de trabajo clasificado por tareas

Todo trabajo habr de ser descompuesto en tareas. Cada una de ellas se someter a la
siguiente sistemtica:

Identificacin de la tarea.
Descripcin de la tarea.
Descripcin de la funcin de direccin cuando la tarea se realiza
incorrectamente.
Descripcin de ventajas, sugerencias y beneficios que puede originar un cambio
o modificacin de tarea
Test para la evaluacin de la prctica directiva en relacin con la tarea.
Posibilidades de agrupacin de tareas.
Ajustes en funcin de las peculiaridades de un departamento concreto.
Registro de resultados, conclusiones y Recomendaciones.
1.

Informacin necesaria para la realizacin del CRMR

El cliente es el que facilita la informacin que el auditor contrastar con su trabajo de

campo.
Se exhibe a continuacin una Checklist completa de los datos necesarios para
confeccionar el CRMR:

Datos de mantenimiento preventivo de Hardware.

Informes de anomalas de los Sistemas.
Procedimientos estndar de actualizacin.
Procedimientos de emergencia.
Monitarizacin de los Sistemas.
Informes del rendimiento de los Sistemas.
Mantenimiento de las Libreras de Programas.
Gestin de Espacio en disco.
Documentacin de entrega de Aplicaciones a Explotacin.
Documentacin de alta de cadenas en Explotacin.
Utilizacin de CPU, canales y discos.
Datos de paginacin de los Sistemas.
Volumen total y libre de almacenamiento.
Ocupacin media de disco.
Manuales de Procedimientos de Explotacin.

Esta informacin cubre ampliamente el espectro del CRMR y permite ejercer el

seguimiento de las Recomendaciones realizadas.
Caso Prctico de una Auditora de Seguridad Informtica <<Ciclo de Seguridad>>
A continuacin, un caso de auditora de rea general para proporcionar una visin ms
desarrollada y amplia de la funcin auditora.

Es una auditora de Seguridad Informtica que tiene como misin revisar tanto la
seguridad fsica del Centro de Proceso de Datos en su sentido ms amplio, como la
seguridad lgica de datos, procesos y funciones informticas ms importantes de aqul.
Ciclo de Seguridad
El objetivo de esta auditora de seguridad es revisar la situacin y las cuotas de
eficiencia de la misma en los rganos ms importantes de la estructura informtica.
Para ello, se fijan los supuestos de partida:
El rea auditada es la Seguridad. El rea a auditar se divide en: Segmentos.
Los segmentos se dividen en: Secciones.
Las secciones se dividen en: Subsecciones.
De este modo la auditora se realizara en 3 niveles.
Los segmentos a auditar, son:

Segmento 1: Seguridad de cumplimiento de normas y estndares.

Segmento 2: Seguridad de Sistema Operativo.
Segmento 3: Seguridad de Software.
Segmento 4: Seguridad de Comunicaciones.
Segmento 5: Seguridad de Base de Datos.
Segmento 6: Seguridad de Proceso.
Segmento 7: Seguridad de Aplicaciones.
Segmento 8: Seguridad Fsica.

Se darn los resultados globales de todos los segmentos y se realizar un tratamiento

exhaustivo del Segmento 8, a nivel de seccin y subseccin.
Conceptualmente la auditoria informtica en general y la de Seguridad en particular, ha
de desarrollarse en seis fases bien diferenciadas:
Fase 0. Causas de la realizacin del ciclo de seguridad.
Fase 1. Estrategia y logstica del ciclo de seguridad.
Fase 2. Ponderacin de sectores del ciclo de seguridad.
Fase 3. Operativa del ciclo de seguridad.
Fase 4. Clculos y resultados del ciclo de seguridad.
Fase 5. Confeccin del informe del ciclo de seguridad.
A su vez, las actividades auditoras se realizan en el orden siguiente:
1.
2.
3.
4.
5.
6.
7.
8.
9.
10.

Comienzo del proyecto de Auditora Informtica.

Asignacin del equipo auditor.
Asignacin del equipo interlocutor del cliente.
Cumplimentacin de formularios globales y parciales por parte del cliente.
Asignacin de pesos tcnicos por parte del equipo auditor.
Asignacin de pesos polticos por parte del cliente.
Asignacin de pesos finales a segmentos y secciones.
Preparacin y confirmacin de entrevistas.
Entrevistas, confrontaciones y anlisis y repaso de documentacin.
Calculo y ponderacin de subsecciones, secciones y segmentos.

11.
12.
13.
14.
15.

Identificacin de reas mejorables.

Eleccin de las reas de actuacin prioritaria.
Preparacin de recomendaciones y borrador de informe
Discusin de borrador con cliente.
Entrega del informe.

Fase 0. Causas de realizacin de una Auditora de Seguridad

Esta constituye la FASE 0 de la auditora y el orden 0 de actividades de la misma.
El equipo auditor debe conocer las razones por las cuales el cliente desea realizar el
Ciclo de Seguridad. Puede haber muchas causas: Reglas internas del cliente,
incrementos no previstos de costes, obligaciones legales, situacin de ineficiencia global
notoria, etc.
De esta manera el auditor conocer el entorno inicial. As, el equipo auditor elaborar el
Plan de Trabajo.
Fase 1. Estrategia y logstica del ciclo de Seguridad
Se desarrolla en las siguientes actividades:
1.
2.
3.

Designacin del equipo auditor.

Asignacin de interlocutores, validadores y decisores del cliente.
Cumplimentacin de un formulario general por parte del cliente, para la
realizacin del estudio inicial.

Con las razones por las cuales va a ser realizada la auditora (Fase 0), el equipo auditor
disea el proyecto de Ciclo de Seguridad con arreglo a una estrategia definida en
funcin del volumen y complejidad del trabajo a realizar, que constituye la Fase 1 del
punto anterior.
Para desarrollar la estrategia, el equipo auditor necesita recursos materiales y
humanos. La adecuacin de estos se realiza mediante un desarrollo logstico, en el que
los mismos deben ser determinados con exactitud. La cantidad, calidad, coordinacin y
distribucin de los mencionados recursos, determina a su vez la eficiencia y la
economa del Proyecto.
Los planes del equipo auditor se desarrolla de la siguiente manera:
1.

Eligiendo el responsable de la auditoria su propio equipo de trabajo. Este ha de

ser heterogneo en cuanto a especialidad, pero compacto.
2.
Recabando de la empresa auditada los nombres de las personas de la misma que
han de relacionarse con los auditores, para las peticiones de informacin,
coordinacin de entrevistas, etc.
3.
Mediante un estudio inicial, del cual forma parte el anlisis de un formulario
exhaustivo, tambin inicial, que los auditores entregan al cliente para su
cumplimentacin.
Segn los planes marcados, el equipo auditor, cumplidos los requisitos 1,
2 y 3, estar en disposicin de comenzar la "tarea de campo", la
operativa auditora del Ciclo de Seguridad.
Fase 2. Ponderacin de los Sectores Auditados
Engloba las siguientes actividades:

1.

Asignacin de pesos tcnicos. Se entienden por tales las ponderaciones que el

equipo auditor hace de los segmentos y secciones, en funcin de su importancia.
2.
Asignacin de pesos polticos. Son las mismas ponderaciones anteriores, pero
evaluadas por el cliente.
3.
Asignacin de pesos finales a los Segmentos y Secciones. El peso final es el
promedio del peso tcnico y del peso poltico. La Subsecciones se calculan pero no
se ponderan.
Se pondera la importancia relativa de la seguridad en los diversos
sectores de la organizacin informtica auditada.
Las asignaciones de pesos a Secciones y Segmentos del rea de seguridad
que se audita, se realizan del siguiente modo:
Pesos tcnicos
Son los coeficientes que el equipo auditor asigna a los Segmentos y a las
Secciones.
Pesos polticos
Son los coeficientes o pesos que el cliente concede a cada Segmento y a
cada Seccin del Ciclo de Seguridad.
Ciclo de Seguridad. Suma Pesos Segmentos = 100
(con independencia del nmero de segmentos
consideradas)
Segmentos

Pesos Tcnicos

Pesos Polticos

Pesos Finales

Seg1. Normas y
Estndares

12

10

Seg2. Sistema
Operativo

10

10

10

Seg3. Software Bsico

10

14

12

Seg4. Comunicaciones

12

12

12

Seg5. Bases de Datos

12

12

12

Seg6. Procesos

16

12

14

Seg7. Aplicaciones

16

16

16

Seg8. Seguridad Fsica

12

16

14

100

100

100

TOTAL
Pesos finales

Son el promedio de los pesos anteriores.

El total de los pesos de los 8 segmentos es 100. Este total de 100 puntos es el que se ha
asignado a la totalidad del rea de Seguridad, como podra haberse elegido otro
cualquiera. El total de puntos se mantiene cualquiera que hubiera sido el nmero de
segmentos. Si hubieran existido cinco segmentos, en lugar de 8, la suma de los cinco
habra de seguir siendo de 100 puntos.
Suma Peso Secciones = 20
(con independencia del nmero de Secciones
consideradas)
Secciones

Pesos Tcnicos

Pesos Polticos

Pesos Finales

Secc1. Seg. Fsica de

Datos

Secc2. Control de
Accesos

Secc3. Equipos

Secc4. Documentos

Secc5. Suministros

20

20

20

TOTAL

Puede observarse la diferente apreciacin de pesos por parte del cliente

y del equipo auditor. Mientras stos estiman que las Normas y
Estndares y los Procesos son muy importantes, el cliente no los
considera tanto, a la vez que prima, tal vez excesivamente, el Software
Bsico.
Del mismo modo, se concede a todos los segmentos el mismo valor total
que se desee, por ejemplo 20, con absoluta independencia del nmero de
Secciones que tenga cada Segmento. En este caso, se han definido y
pesado cinco Secciones del Segmento de Seguridad Fsica. Cabe aclarar,
solo se desarroll un solo Segmento a modo de ejemplo.
Fase 3. Operativa del ciclo de Seguridad
Una vez asignados los pesos finales a todos los Segmentos y Secciones,
se comienza la Fase 3, que implica las siguientes actividades:
1.
2.

Preparacin y confirmacin de entrevistas.

Entrevistas, pruebas, anlisis de la informacin, cruzamiento y repaso de la
misma.

Las entrevistas deben realizarse con exactitud. El responsable del equipo auditor
designar a un encargado, dependiendo del rea de la entrevista. Este, por supuesto,
deber conocer a fondo la misma.

La realizacin de entrevistas adecuadas constituye uno de los factores fundamentales

del xito de la auditora. La adecuacin comienza con la completa cooperacin del
entrevistado. Si esta no se produce, el responsable lo har saber al cliente.
Deben realizarse varias entrevistas del mismo tema, al menos a dos o tres niveles
jerrquicos distintos. El mismo auditor puede, y en ocasiones es conveniente,
entrevistar a la misma persona sobre distintos temas. Las entrevistas deben realizarse
de acuerdo con el plan establecido, aunque se pueden llegar a agregar algunas
adicionales y sin planificacin.
La entrevista concreta suele abarcar Subsecciones de una misma Seccin tal vez una
seccin completa. Comenzada la entrevista, el auditor o auditores formularn
preguntas al/los entrevistado/s. Debe identificarse quien ha dicho qu, si son ms de
una las personas entrevistadas.
Las Checklists son tiles y en muchos casos imprescindibles. Terminadas las
entrevistas, el auditor califica las respuestas del auditado (no debe estar presente) y
procede al levantamiento de la informacin correspondiente.
Simultneamente a las entrevistas, el equipo auditor realiza pruebas planeadas y
pruebas sorpresa para verificar y cruzar los datos solicitados y facilitados por el cliente.
Estas pruebas se realizan ejecutando trabajos propios o repitiendo los de aqul, que
indefectiblemente debern ser similares si se han reproducido las condiciones de carga
de los Sistemas auditados. Si las pruebas realizadas por el equipo auditor no fueran
consistentes con la informacin facilitada por el auditado, se deber recabar nueva
informacin y reverificar los resultados de las pruebas auditoras.
La evaluacin de las Checklists, las pruebas realizadas, la informacin facilitada por el
cliente y el anlisis de todos los datos disponibles, configuran todos los elementos
necesarios para calcular y establecer los resultados de la auditoria, que se
materializarn en el informe final.
A continuacin, un ejemplo de auditora de la Seccin de Control de Accesos del
Segmento de Seguridad Fsica:
Vamos a dividir a la Seccin de Control de Accesos en cuatro Subsecciones:
1.
2.
3.
4.

Autorizaciones
Controles Automticos
Vigilancia
Registros

En las siguientes Checklists, las respuestas se calificarn de 1 a 5, siendo1 la ms

deficiente y 5 la mxima puntuacin.
Control de Accesos: Autorizaciones
Preguntas

Respuestas

Puntos

Existe un nico responsable de

Si, el Jefe de Explotacin, pero el
implementar la poltica de
Director puede acceder a la Sala con
autorizaciones de entrada en el Centro acompaantes sin previo aviso.
de Clculo?

Existe alguna autorizacin

Una sola. El tcnico permanente de

permanente de estancia de personal

ajeno a la empresa?

la firma suministradora.

Quines saben cuales son las

personas autorizadas?

El personal de vigilancia y el Jefe de

Explotacin.

Adems de la tarjeta magntica de

identificacin, hay que pasar otra
especial?

No, solamente la primera.

Se pregunta a las visitas si piensan

visitar el Centro de Clculo?

No, vale la primera autorizacin.

Se preveen las visitas al Centro de

Clculo con 24 horas al menos?

No, basta que vayan acompaados

por el Jefe de Explotacin o Director

TOTAL AUTORIZACIONES

24/30
80%

Control de Accesos: Controles Automticos

Preguntas

Respuestas

Puntos

Cree Ud. que los Controles Automticos Si, aunque ha de reconocerse que
son adecuados?
a pie puede llegarse por la noche
hasta el edificio principal.

Quedan registradas todas las entradas No, solamente las del personal
y salidas del Centro de Clculo?
ajeno a Operacin.

Al final de cada turno, Se controla el

nmero de entradas y salidas del
personal de Operacin?

S, y los vigilantes los reverifican.

Puede salirse del Centro de Clculo sin Si, porque existe otra puerta de
tarjeta magntica?
emergencia que puede abrirse
desde adentro
TOTAL CONTROLES AUTOMATICOS

14/20
70%

Control de Accesos: Vigilancia

Preguntas
Hay vigilantes las 24 horas?

Respuestas
S.

Puntos
5

Existen circuitos cerrados de TV

exteriores?

S.

Identificadas las visitas, Se les

No.
acompaa hasta la persona que desean
ver?

Conocen los vigilantes los terminales

que deben quedar encendidos por la
noche?

No, sera muy complicado.

TOTAL VIGILANCIA

14/20
70%

Control de Accesos: Registros

Preguntas

Respuestas

Puntos

Existe una adecuada poltica de

registros?

No, reconocemos que casi nunca,

pero hasta ahora no ha habido
necesidad.

Se ha registrado alguna vez a una

persona?

Nunca.

Se abren todos los paquetes dirigidos a Casi nunca.

personas concretas y no a Informtica?

Hay un cuarto para abrir los paquetes? Si, pero no se usa siempre.

TOTAL REGISTROS

6/20
30%

Fase 4. Clculos y Resultados del Ciclo de Seguridad

1.

Clculo y ponderacin de Secciones y Segmentos. Las Subsecciones no se

ponderan, solo se calculan.
2.
Identificacin de materias mejorables.
3.
Priorizacin de mejoras.
En el punto anterior se han realizado las entrevistas y se han puntuado las respuestas
de toda la auditora de Seguridad.
El trabajo de levantamiento de informacin est concluido y contrastado con las
pruebas. A partir de ese momento, el equipo auditor tiene en su poder todos los datos
necesarios para elaborar el informe final. Solo faltara calcular el porcentaje de bondad
de cada rea; ste se obtiene calculando el sumatorio de las respuestas obtenidas,
recordando que deben afectarse a sus pesos correspondientes.

Una vez realizado los clculos, se ordenaran y clasificaran los resultados obtenidos por
materias mejorables, estableciendo prioridades de actuacin para lograrlas.
Clculo del ejemplo de las Subsecciones de la Seccin de Control de Accesos:
Autorizaciones 80%
Controles Automticos 70%
Vigilancia 70%
Registros 30%
Promedio de Control de Accesos 62,5%
Cabe recordar, que dentro del Segmento de Seguridad Fsica, la Seccin de Control de
Accesos tiene un peso final de 4.
Prosiguiendo con el ejemplo, se procedi a la evaluacin de las otras cuatro Secciones,
obtenindose los siguientes resultados:
Ciclo de Seguridad: Segmento 8, Seguridad Fsica.
Secciones

Peso

Puntos

Seccin 1. Datos

57,5%

Seccin 2. Control de Accesos

62,5%

Seccin 3. Equipos (Centro de Clculo)

70%

Seccin 4. Documentos

52,5%

Seccin 5. Suministros

47,2%

Conocidas los promedios y los pesos de las cinco Secciones, se procede a calcular y
ponderar el Segmento 8 de Seguridad Fsica:
Seg. 8 = PromedioSeccin1 * peso + PromedioSecc2 * peso + PromSecc3 * peso +
PromSecc4 * peso + PromSecc5 * peso / (peso1 + peso2 + peso3 + peso4 + peso5)

Seg. 8 = (57,5 * 6) + (62,5 * 4) + (70 * 5) + (52,5 * 3) + (47,2 * 2) / 20

Seg. 8 = 59,85%
A continuacin, la evaluacin final de los dems Segmentos del ciclo de Seguridad:
Ciclo de Seguridad. Evaluacin y pesos de Segmentos
Segmentos
Seg1. Normas y Estndares

Pesos

Evaluacin

10

61%

Seg2. Sistema Operativo

10

90%

Seg3. Software Bsico

12

72%

Seg4. Comunicaciones

12

55%

Seg5. Bases de Datos

12

77,5%

Seg6. Procesos

14

51,2%

Seg7. Aplicaciones

16

50,5%

Seg8. Seguridad Fsica

14

59,8%

Promedio Total Area de Seguridad

100

63,3%

Sistemtica seguida para el clculo y evaluacin del Ciclo de Seguridad:

a.
b.

c.
d.

e.

Valoracin de las respuestas a las preguntas especficas realizadas en las

entrevistas y a los cuestionarios formulados por escrito.
Clculo matemtico de todas las subsecciones de cada seccin, como media
aritmtica (promedio final) de las preguntas especficas. Recurdese que las
subsecciones no se ponderan.
Clculo matemtico de la Seccin, como media aritmtica (promedio final) de
sus Subsecciones. La Seccin calculada tiene su peso correspondiente.
Clculo matemtico del Segmento. Cada una de las Secciones que lo componen
se afecta por su peso correspondiente. El resultado es el valor del Segmento, el
cual, a su vez, tiene asignado su peso.
Clculo matemtico de la auditora. Se multiplica cada valor de los Segmentos
por sus pesos correspondientes, la suma total obtenida se divide por el valor fijo
asignado a priori a la suma de los pesos de los segmentos.

Finalmente, se procede a mostrar las reas auditadas con grficos de barras,

exponindose primero los Segmentos, luego las Secciones y por ltimo las
Subsecciones. En todos los casos s referenciarn respecto a tres zonas: roja, amarilla y
verde.
La zona roja corresponde a una situacin de debilidad que requiere acciones a corto
plazo. Sern las ms prioritarias, tanto en la exposicin del Informe como en la toma de
medidas para la correccin.
La zona amarilla corresponde a una situacin discreta que requiere acciones a medio
plazo, figurando a continuacin de las contenidas en la zona roja.
La zona verde requiere solamente alguna accin de mantenimiento a largo plazo.
Fase 5. Confeccin del Informe del Ciclo de Seguridad
1.
2.
3.

Preparacin de borrador de informe y Recomendaciones.

Discusin del borrador con el cliente.
Entrega del Informe y Carta de Introduccin.

Ha de resaltarse la importancia de la discusin de los borradores parciales con el

cliente. La referencia al cliente debe entenderse como a los responsables directos de los
segmentos. Es de destacar que si hubiese acuerdo, es posible que el auditado redacte un
contrainforme del punto cuestionado. Este acta se incorporar al Informe Final.
Las Recomendaciones del Informe son de tres tipos:
1.

Recomendaciones correspondientes a la zona roja. Sern muy detalladas e irn

en primer lugar, con la mxima prioridad. La redaccin de las recomendaciones se
har de modo que sea simple verificar el cumplimiento de la misma por parte del
cliente.
2.
Recomendaciones correspondientes a la zona amarilla. Son las que deben
observarse a medio plazo, e igualmente irn priorizadas.
3.
Recomendaciones correspondientes a la zona verde. Suelen referirse a medidas
de mantenimiento. Pueden ser omitidas. Puede detallarse alguna de este tipo
cuando una accin sencilla y econmica pueda originar beneficios importantes.
16. Empresas que realizan auditoras externas
Arthur Andersen:
Tiene 420 oficinas en todo el mundo, casi 40.000 profesionales, y factura alrededor de
2,8 billones de dlares anuales. Invierte 250 millones de dlares por ao en educacin
y capacitacin a medida. Menos del uno por ciento del presupuesto para entrenamiento
se gasta fuera de la organizacin, aunque la cuota de educacin que cada profesional
recibe es prcticamente equivalente a un "master" norteamericano. Se dictan los cursos
de la compaa en el multimillonario Centro para la Capacitacin Profesional que
Arthur Andersen posee cerca de Chicago, con capacidad para 1.700 estudiantes con
cama y comida. En la Argentina, como en muchos otros mercados complejos, Arthur
Andersen combina el tradicional papel de auditor con un rol ms creativo como
consejero, en el cual la firma ayuda a sus clientes a mejorar sus operaciones a travs de
la generacin de ideas nuevas y mejoras en sistemas y prcticas comerciales. Este punto
de vista en materia auditora permite que las dos unidades de la firma puedan, en
muchos casos, trabajar juntas en la elaboracin de proyectos especiales para
empresas/clientes.
Price Waterhouse:
De llegar a fusionarse con la empresa consultora Coopers & Lybrand, tendran una
fuerza de trabajo de 135.000 personas, 8.500 socios y una facturacin anual superior a
los 13.000 millones de dlares. Adems, el gigante Andersen pasara a ocupar el
segundo lugar en el rnking de los Seis Grandes Internacionales.
Ernst & Young, etc.
17. Conclusin
Principalmente, con la realizacin de este trabajo prctico, la principal conclusin a la
que hemos podido llegar, es que toda empresa, pblica o privada, que posean Sistemas
de Informacin medianamente complejos, deben de someterse a un control estricto de
evaluacin de eficacia y eficiencia. Hoy en da, el 90 por ciento de las empresas tienen
toda su informacin estructurada en Sistemas Informticos, de aqu, la vital
importancia que los sistemas de informacin funcionen correctamente. La empresa
hoy, debe/precisa informatizarse. El xito de una empresa depende de la eficiencia de
sus sistemas de informacin. Una empresa puede tener un staff de gente de primera,
pero tiene un sistema informtico propenso a errores, lento, vulnerable e inestable; si

no hay un balance entre estas dos cosas, la empresa nunca saldr a adelante. En cuanto
al trabajo de la auditora en s, podemos remarcar que se precisa de gran conocimiento
de Informtica, seriedad, capacidad, minuciosidad y responsabilidad; la auditora de
Sistemas debe hacerse por gente altamente capacitada, una auditora mal hecha puede
acarrear consecuencias drsticas para la empresa auditada, principalmente
econmicas.
Trabajo enviado por:
Eduardo Horacio Quinn
quinn[arroba]sinectis.com.ar

La Auditora informtica dentro de las etapas de

de Sistemas Administrativos

Anlisis

1. Introduccin
A finales del siglo XX, los Sistemas Informticos se han constituido en las herramientas ms
poderosas para materializar uno de los conceptos ms vitales y necesarios para cualquier
organizacin empresarial, los Sistemas de Informacin de la empresa.
La Informtica hoy, est subsumida en la gestin integral de la empresa y por eso las normas y
estndares propiamente informticos deben estar, por lo tanto, sometidos a los generales de la
misma. En consecuencia, las organizaciones informticas forman parte de lo que se ha
denominado el "management" o gestin de la empresa. Cabe aclarar que la Informtica no
gestiona propiamente la empresa, ayuda a la toma de decisiones, pero no decide por s misma.
Por ende, debido a su importancia en el funcionamiento de una empresa, existe la Auditora
Informtica.
La Auditora es un examen crtico pero no mecnico, que no implica la preexistencia de fallas
en la entidad auditada y que persigue el fin de evaluar y mejorar la eficacia y eficiencia de una
seccin o de un organismo.
El auditor informtico ha de velar por la correcta utilizacin de los amplios recursos que la
empresa pone en juego para disponer de un eficiente y eficaz Sistema de Informacin. Claro
est, que para la realizacin de una Auditora informtica eficaz, se debe entender a la empresa
en su ms amplio sentido, ya que una Universidad, un Ministerio o un Hospital son tan
empresas como una Sociedad Annima o Empresa Pblica. Todos utilizan la informtica para
gestionar sus negocios de forma rpida y eficiente con el fin de obtener beneficios
econmicos y reduccin de costes.
Por eso, al igual que los dems rganos de la empresa (Balances y Cuentas de Resultados,
Tarifas, Sueldos, etc.), los Sistemas Informticos estn sometidos al control correspondiente, o
al menos debera estarlo. La importancia de llevar un control de esta herramienta se puede
deducir de varios aspectos. He aqu algunos:

Las Computadoras y los Centros de Proceso de Datos se convirtieron en blancos

apetecibles no solo para el espionaje, sino para la delincuencia y el terrorismo. En este
caso interviene la Auditora Informtica de Seguridad.
Las computadoras creadas para procesar y difundir resultados o informacin elaborada
pueden producir resultados o informacin errnea si dichos datos son, a su vez,
errneos. Este concepto obvio es a veces olvidado por las mismas empresas que
terminan perdiendo de vista la naturaleza y calidad de los datos de entrada a sus
Sistemas Informticos, con la posibilidad de que se provoque un efecto cascada y

afecte a Aplicaciones independientes. En este caso interviene la Auditora Informtica

de Datos.

Un Sistema Informtico mal diseado puede convertirse en una herramienta harto

peligrosa para la empresa: como las maquinas obedecen ciegamente a las rdenes
recibidas y la modelizacin de la empresa est determinada por las computadoras que
materializan los Sistemas de Informacin, la gestin y la organizacin de la empresa
no puede depender de un software y un hardware mal diseados. Estos son solo
algunos de los varios inconvenientes que puede presentar un Sistema Informtico, por
eso, la necesidad de la Auditora de Sistemas.

2. Auditora interna y Auditora externa

La Auditora externa es realizada por personas afines a la empresa auditada; es siempre
remunerada. Se presupone una mayor objetividad que en la Auditora Interna, debido al mayor
distanciamiento entre auditores y auditados.
La Auditora informtica interna cuenta con algunas ventajas adicionales muy importantes
respecto de la Auditora externa, las cuales no son tan perceptibles como en las auditorias
convencionales. La Auditora interna tiene la ventaja de que puede actuar peridicamente
realizando Revisiones globales, como parte de su Plan Anual y de su actividad normal.
Los auditados conocen estos planes y se habitan a las Auditorias, especialmente cuando las
consecuencias de las Recomendaciones habidas benefician su trabajo.
En una empresa, los responsables de Informtica escuchan, orientan e informan sobre las
posibilidades tcnicas y los costes de tal Sistema. Con voz, pero a menudo sin voto,
Informtica trata de satisfacer lo ms adecuadamente posible aquellas necesidades. La
empresa necesita controlar su Informtica y sta necesita que su propia gestin est sometida
a los mismos Procedimientos y estndares que el resto de aquella. La conjuncin de ambas
necesidades cristaliza en la figura del auditor interno informtico.
En cuanto a empresas se refiere, solamente las ms grandes pueden poseer una Auditora
propia y permanente, mientras que el resto acuden a las auditorias externas. Puede ser que
algn profesional informtico sea trasladado desde su puesto de trabajo a la Auditora Interna
de la empresa cuando sta existe. Finalmente, la propia Informtica requiere de su propio
grupo de Control Interno, con implantacin fsica en su estructura, puesto que si se ubicase
dentro de la estructura Informtica ya no sera independiente. Hoy, ya existen varias
organizaciones Informticas dentro de la misma empresa, y con diverso grado de autonoma,
que son coordinadas por rganos corporativos de Sistemas de Informacin de las Empresas.
Una Empresa o Institucin que posee Auditora interna puede y debe en ocasiones contratar
servicios de Auditora externa. Las razones para hacerlo suelen ser:

Necesidad de auditar una materia de gran especializacin, para la cual los servicios
propios no estn suficientemente capacitados.
Contrastar algn Informe interno con el que resulte del externo, en aquellos supuestos
de emisin interna de graves recomendaciones que chocan con la opinin generalizada
de la propia empresa.

Servir como mecanismo protector de posibles auditoras informticas externas

decretadas por la misma empresa.

Aunque la Auditora interna sea independiente del Departamento de Sistemas, sigue

siendo la misma empresa, por lo tanto, es necesario que se le realicen auditoras
externas como para tener una visin desde afuera de la empresa.

La Auditora informtica, tanto externa como interna, debe ser una actividad exenta de
cualquier contenido o matiz "poltico" ajeno a la propia estrategia y poltica general de la
empresa. La funcin auditora puede actuar de oficio, por iniciativa del propio rgano, o a
instancias de parte, esto es, por encargo de la direccin o cliente.
3. Alcance de la Auditora Informtica
El alcance ha de definir con precisin el entorno y los lmites en que va a desarrollarse la
Auditora informtica, se complementa con los objetivos de sta. El alcance ha de figurar
expresamente en el Informe Final, de modo que quede perfectamente determinado no
solamente hasta que puntos se ha llegado, sino cuales materias fronterizas han sido omitidas.
Ejemplo: Se sometern los registros grabados a un control de integridad exhaustivo? Se
comprobar que los controles de validacin de errores son adecuados y suficientes? La
indefinicin de los alcances de la Auditora compromete el xito de la misma.
Control de integridad de registros:
Hay Aplicaciones que comparten registros, son registros comunes. Si una Aplicacin no tiene
integrado un registro comn, cuando lo necesite utilizar no lo va encontrar y, por lo tanto, la
aplicacin no funcionara como debera.
Control de validacin de errores:
Se corrobora que el sistema que se aplica para detectar y corregir errores sea eficiente.
4. Caractersticas de la Auditora Informtica
La informacin de la empresa y para la empresa, siempre importante, se ha convertido en un
Activo Real de la misma, como sus Stocks o materias primas si las hay. Por ende, han de
realizarse inversiones informticas, materia de la que se ocupa la Auditora de Inversin
informtica.
Del mismo modo, los Sistemas Informticos han de protegerse de modo global y particular: a
ello se debe la existencia de la Auditora de Seguridad Informtica en general, o a la Auditora
de Seguridad de alguna de sus reas, como pudieran ser Desarrollo o Tcnicas de Sistemas.
Cuando se producen cambios estructurales en la Informtica, se reorganiza de alguna forma su
funcin: se est en el campo de la Auditora de Organizacin Informtica.
Estos tres tipos de auditoras engloban a las actividades auditoras que se realizan en una
Auditora parcial. De otra manera: cuando se realiza una auditoria del rea de Desarrollo de
Proyectos de la Informtica de una empresa, es porque en ese Desarrollo existen, adems de
ineficiencias, debilidades de organizacin, o de inversiones, o de seguridad, o alguna mezcla
de ellas.
Sntomas de Necesidad de una Auditora Informtica:
Las empresas acuden a las auditoras externas cuando existen sntomas bien perceptibles de
debilidad. Estos sntomas pueden agruparse en clases:

Sntomas de descoordinacin y desorganizacin:

o No coinciden los objetivos de la Informtica de la Compaa y de la propia
Compaa.
o

Los estndares de productividad se desvan sensiblemente de los promedios

conseguidos habitualmente.

[Puede ocurrir con algn cambio masivo de personal, o en una reestructuracin fallida
de alguna rea o en la modificacin de alguna Norma importante]

Sntomas de mala imagen e insatisfaccin de los usuarios:

- No se atienden las peticiones de cambios de los usuarios. Ejemplos: cambios de
Software en los terminales de usuario, refrescamiento de paneles, variacin de los
ficheros que deben ponerse diariamente a su disposicin, etc.
- No se reparan las averas de Hardware ni se resuelven incidencias en plazos
razonables. El usuario percibe que est abandonado y desatendido permanentemente.
- No se cumplen en todos los casos los plazos de entrega de resultados peridicos.
Pequeas desviaciones pueden causar importantes desajustes en la actividad del
usuario, en especial en los resultados de Aplicaciones crticas y sensibles.

Sntomas de debilidades econmico-financiero:

- Incremento desmesurado de costes.
- Necesidad de justificacin de Inversiones Informticas (la empresa no est
absolutamente convencida de tal necesidad y decide contrastar opiniones).
- Desviaciones Presupuestarias significativas.
- Costes y plazos de nuevos proyectos (deben auditarse simultneamente a Desarrollo
de Proyectos y al rgano que realiz la peticin).

Sntomas de inseguridad: Evaluacin de nivel de riesgos

- Seguridad Lgica
- Seguridad Fsica
- Confidencialidad
[Los datos son propiedad inicialmente de la organizacin que los genera. Los datos de
personal son especialmente confidenciales]
- Continuidad del Servicio. Es un concepto an ms importante que la Seguridad.
Establece las estrategias de continuidad entre fallos mediante Planes de contingencia*
Totales y Locales.
- Centro de Proceso de Datos fuera de control. Si tal situacin llegara a percibirse,
sera prcticamente intil la Auditora. Esa es la razn por la cual, en este caso, el
sntoma debe ser sustituido por el mnimo indicio.

Planes de Contingencia:
Por ejemplo, la empresa sufre un corte total de energa o explota, Cmo sigo operando en
otro lugar? Lo que generalmente se pide es que se hagan Backups de la informacin
diariamente y que aparte, sea doble, para tener un Backup en la empresa y otro afuera de sta.
Una empresa puede tener unas oficinas paralelas que posean servicios bsicos ( luz, telfono y
agua ) distintos de los de la empresa principal, es decir, si a la empresa principal le provea
telfono Telecom, a las oficinas paralelas, Telefnica. En este caso, si se produce la
inoperancia de Sistemas en la empresa principal, se utilizara el Backup para seguir operando

en las oficinas paralelas. Los Backups se pueden acumular durante dos meses, o el tiempo que
estipule la empresa, y despus se van reciclando.
5. Tipos y clases de Auditoras
El departamento de Informtica posee una actividad proyectada al exterior, al usuario, aunque
el "exterior" siga siendo la misma empresa. He aqu, la Auditora Informtica de Usuario. Se
hace esta distincin para contraponerla a la informtica interna, en donde se hace la
informtica cotidiana y real. En consecuencia, existe una Auditora Informtica de Actividades
Internas.
El control del funcionamiento del departamento de informtica con el exterior, con el usuario se
realiza por medio de la Direccin. Su figura es importante, en tanto en cuanto es capaz de
interpretar las necesidades de la Compaa. Una informtica eficiente y eficaz requiere el
apoyo continuado de su Direccin frente al "exterior". Revisar estas interrelaciones constituye el
objeto de la Auditora Informtica de Direccin. Estas tres auditoras, mas la Auditora de
Seguridad, son las cuatro areas Generales de la Auditora Informtica ms importantes.
Dentro de las reas generales, se establecen las siguientes divisiones de Auditora Informtica:
de Explotacin, de Sistemas, de comunicaciones y de Desarrollo de Proyectos. Estas son las
areas Especificas de la Auditora Informtica ms importantes.
Areas EspecficasAreas Generales
InternaDireccinUsuarioSeguridad
Explotacin
Desarrollo
Sistemas
Comunicaciones
Seguridad
Cada rea Especifica puede ser auditada desde los siguientes criterios generales:

Desde su propio funcionamiento interno.

Desde el apoyo que recibe de la Direccin y, en sentido ascendente, del grado de
cumplimiento de las directrices de sta.

Desde la perspectiva de los usuarios, destinatarios reales de la informtica.

Desde el punto de vista de la seguridad que ofrece la Informtica en general o la rama

auditada.
Estas combinaciones pueden ser ampliadas y reducidas segn las caractersticas de la
empresa auditada.
6. Objetivo fundamental de la Auditora informtica
Operatividad
La operatividad es una funcin de mnimos consistente en que la organizacin y las maquinas
funcionen, siquiera mnimamente. No es admisible detener la maquinaria informtica para
descubrir sus fallos y comenzar de nuevo. La Auditora debe iniciar su actividad cuando los
Sistemas estn operativos, es el principal objetivo el de mantener tal situacin. Tal objetivo
debe conseguirse tanto a nivel global como parcial.

La operatividad de los Sistemas ha de constituir entonces la principal preocupacin del auditor

informtico. Para conseguirla hay que acudir a la realizacin de Controles Tcnicos Generales
de Operatividad y Controles Tcnicos Especficos de Operatividad, previos a cualquier
actividad de aquel.

Los Controles Tcnicos Generales son los que se realizan para verificar la
compatibilidad de funcionamiento simultaneo del Sistema Operativo y el Software de
base con todos los subsistemas existentes, as como la compatibilidad del Hardware y
del Software instalados. Estos controles son importantes en las instalaciones que
cuentan con varios competidores, debido a que la profusin de entornos de trabajo muy
diferenciados obliga a la contratacin de diversos productos de Software bsico, con el
consiguiente riesgo de abonar ms de una vez el mismo producto o desaprovechar
parte del Software abonado. Puede ocurrir tambin con los productos de Software
bsico desarrollados por el personal de Sistemas Interno, sobre todo cuando los
diversos equipos estn ubicados en Centros de Proceso de Datos geogrficamente
alejados. Lo negativo de esta situacin es que puede producir la inoperatividad del
conjunto. Cada Centro de Proceso de Datos tal vez sea operativo trabajando
independientemente, pero no ser posible la interconexin e intercomunicacin de
todos los Centros de Proceso de
Datos si no existen productos comunes y
compatibles.

Los Controles Tcnicos Especficos, de modo menos acusado, son igualmente

necesarios para lograr la Operatividad de los Sistemas. Un ejemplo de lo que se
puede encontrar mal son parmetros de asignacin automtica de espacio en disco
que dificulten o impidan su utilizacin posterior por una Seccin distinta de la que lo
gener. Tambin, los periodos de retencin de ficheros comunes a varias Aplicaciones
pueden estar definidos con distintos plazos en cada una de ellas, de modo que la
prdida de informacin es un hecho que podr producirse con facilidad, quedando
Inoperativa la explotacin de alguna de las Aplicaciones mencionadas.

Parmetros de asignacin automtica de espacio en disco:

Todas las Aplicaciones que se desarrollan son super -parametrizadas , es decir, que tienen un
montn de parmetros que permiten configurar cual va a ser el comportamiento del Sistema.
Una Aplicacin va a usar para tal y tal cosa cierta cantidad de espacio en disco. Si uno no
analiz cual es la operatoria y el tiempo que le va a llevar ocupar el espacio asignado, y se
pone un valor muy chico, puede ocurrir que un da la Aplicacin reviente, se caiga. Si esto
sucede en medio de la operatoria y la Aplicacin se cae, el volver a levantarla, con la nueva
asignacin de espacio, si hay que hacer reconversiones o lo que sea, puede llegar a demandar
muchsimo tiempo, lo que significa un riesgo enorme.
7. Revisin de Controles de la Gestin Informtica
Una vez conseguida la Operatividad de los Sistemas, el segundo objetivo de la Auditora es la
verificacin de la observancia de las normas tericamente existentes en el departamento de
Informtica y su coherencia con las del resto de la empresa. Para ello, habrn de revisarse
sucesivamente y en este orden:
1. Las Normas Generales de la Instalacin Informtica. Se realizar una revisin inicial sin
estudiar a fondo las contradicciones que pudieran existir, pero registrando las reas
que carezcan de normativa, y sobre todo verificando que esta Normativa General
Informtica no est en contradiccin con alguna Norma General no informtica de la
empresa.

2. Los Procedimientos Generales Informticos. Se verificar su existencia, al menos en

los sectores ms importantes. Por ejemplo, la recepcin definitiva de las mquinas

debera estar firmada por los responsables de Explotacin. Tampoco el alta de una
nueva Aplicacin podra producirse si no existieran los Procedimientos de Backup y
Recuperacin correspondientes.

3. Los Procedimientos Especficos Informticos. Igualmente, se revisara su existencia en

las reas fundamentales. As, Explotacin no debera explotar una Aplicacin sin haber
exigido a Desarrollo la pertinente documentacin. Del mismo modo, deber
comprobarse que los Procedimientos Especficos no se opongan a los Procedimientos
Generales. En todos los casos anteriores, a su vez, deber verificarse que no existe
contradiccin alguna con la Normativa y los Procedimientos Generales de la propia
empresa, a los que la Informtica debe estar sometida.
8. Auditora Informtica de Explotacin
La Explotacin Informtica se ocupa de producir resultados informticos de todo tipo: listados
impresos, ficheros soportados magnticamente para otros informticos, ordenes automatizadas
para lanzar o modificar procesos industriales, etc. La explotacin informtica se puede
considerar como una fabrica con ciertas peculiaridades que la distinguen de las reales. Para
realizar la Explotacin Informtica se dispone de una materia prima, los Datos, que es
necesario transformar, y que se someten previamente a controles de integridad y calidad. La
transformacin se realiza por medio del Proceso informtico, el cual est gobernado por
programas. Obtenido el producto final, los resultados son sometidos a varios controles de
calidad y, finalmente, son distribuidos al cliente, al usuario.
Auditar Explotacin consiste en auditar las secciones que la componen y sus interrelaciones.
La Explotacin Informtica se divide en tres grandes reas: Planificacin, Produccin y Soporte
Tcnico, en la que cada cual tiene varios grupos.
Control de Entrada de Datos:
Se analizar la captura de la informacin en soporte compatible con los Sistemas, el
cumplimiento de plazos y calendarios de tratamientos y entrega de datos; la correcta
transmisin de datos entre entornos diferentes. Se verificar que los controles de integridad y
calidad de datos se realizan de acuerdo a Norma.
Planificacin y Recepcin de Aplicaciones:
Se auditarn las normas de entrega de Aplicaciones por parte de Desarrollo, verificando su
cumplimiento y su calidad de interlocutor nico. Debern realizarse muestreos selectivos de la
Documentacin de las Aplicaciones explotadas. Se inquirir sobre la anticipacin de contactos
con Desarrollo para la planificacin a medio y largo plazo.
Centro de Control y Seguimiento de Trabajos:
Se analizar cmo se prepara, se lanza y se sigue la produccin diaria. Bsicamente, la
explotacin Informtica ejecuta procesos por cadenas o lotes sucesivos (Batch), o en tiempo
real (Tiempo Real). Mientras que las Aplicaciones de Teleproceso estn permanentemente
activas y la funcin de Explotacin se limita a vigilar y recuperar incidencias, el trabajo Batch
absorbe una buena parte de los efectivos de Explotacin. En muchos Centros de Proceso de
Datos, ste rgano recibe el nombre de Centro de Control de Batch. Este grupo determina el
xito de la explotacin, en cuanto que es uno de los factores ms importantes en el
mantenimiento de la produccin.
Batch y Tiempo Real:

Las Aplicaciones que son Batch son Aplicaciones que cargan mucha informacin durante el da
y durante la noche se corre un proceso enorme que lo que hace es relacionar toda la
informacin, calcular cosas y obtener como salida, por ejemplo, reportes. O sea, recolecta
informacin durante el da, pero todava no procesa nada. Es solamente un tema de "Data
Entry" que recolecta informacin, corre el proceso Batch (por lotes), y calcula todo lo necesario
para arrancar al da siguiente.
Las Aplicaciones que son Tiempo Real u Online, son las que, luego de haber ingresado la
informacin correspondiente, inmediatamente procesan y devuelven un resultado. Son
Sistemas que tienen que responder en Tiempo Real.
Operacin. Salas de Ordenadores:
Se intentarn analizar las relaciones personales y la coherencia de cargos y salarios as como
la equidad en la asignacin de turnos de trabajo. Se verificar la existencia de un responsable
de Sala en cada turno de trabajo. Se analizar el grado de automatizacin de comandos. se
verificara la existencia y grado de uso de los manuales de Operacin. Se analizar no solo la
existencia de planes de formacin, sino el cumplimiento de los mismos y el tiempo transcurrido
para cada Operador desde el ltimo Curso recibido. Se estudiarn los montajes diarios y por
horas de cintas o cartuchos, as como los tiempos transcurridos entre la peticin de montaje por
parte del Sistema hasta el montaje real. Se verificarn las lneas de papel impresas diarias y
por horas, as como la manipulacin de papel que comportan.
Centro de Control de Red y centro de Diagnosis (Help Desk):
El Centro de Control de Red suele ubicarse en el rea de produccin de Explotacin. Sus
funciones se refieren exclusivamente al mbito de las Comunicaciones, estando muy
relacionado con la organizacin de Software de Comunicaciones de Tcnicas de Sistemas.
Debe analizarse la fluidez de esa relacin y el grado de coordinacin entre ambos. Se verificar
la existencia de un punto focal nico, desde el cual sean perceptibles todos las lneas
asociadas al Sistema. El Centro de Diagnosis (Help Desk) es el ente en donde se atienden las
llamadas de los usuarios clientes que han sufrido averas o incidencias, tanto de Software
como de Hardware. El Centro de Diagnosis est especialmente indicado para informticos
grandes y con usuarios dispersos en un amplio territorio. Es uno de los elementos que ms
contribuyen a configurar la imagen de la Informtica de la empresa. Debe ser auditada desde
esta perspectiva, desde la sensibilidad del usuario sobre el servicio que se le dispone. No basta
con comprobar la eficiencia tcnica del Centro, es necesario analizarlo simultneamente en el
mbito de Usuario.
Auditora Informtica de Desarrollo de Proyectos o Aplicaciones:
La funcin de Desarrollo es una evolucin del llamado Anlisis y Programacin de Sistemas y
Aplicaciones. A su vez, engloba muchas reas, tantas como sectores informatizables tiene la
empresa. Muy escuetamente, una Aplicacin recorre las siguientes fases:

Prerrequisitos del Usuario (nico o plural) y del entorno

Anlisis funcional

Diseo

Anlisis orgnico (Preprogramacin y Programacin)

Pruebas

Entrega a Explotacin y alta para el Proceso.

Estas fases deben estar sometidas a un exigente control interno, caso contrario, adems del
disparo de los costes, podr producirse la insatisfaccin del usuario. Finalmente, la Auditora

deber comprobar la seguridad de los programas en el sentido de garantizar que los

ejecutados por la maquina sean exactamente los previstos y no otros.
Una Auditora de Aplicaciones pasa indefectiblemente por la observacin y el anlisis de cuatro
consideraciones:
1. Revisin de las metodologas utilizadas: Se analizaran stas, de modo que se asegure
la modularidad de las posibles futuras ampliaciones de la Aplicacin y el fcil
mantenimiento de las mismas.
2. Control Interno de las Aplicaciones: se debern revisar las mismas fases que
presuntamente han debido seguir el rea correspondiente de Desarrollo:

Estudio de Vialidad de la Aplicacin. [importante para Aplicaciones largas, complejas y

caras]

Definicin de lgica de la Aplicacin. [se analizar que se han observado los

postulados lgicos de actuacin, en funcin de la metodologa elegida y la finalidad que
persigue el proyecto]

Desarrollo Tcnico de la Aplicacin. [Se verificar que ste es ordenado y correcto. Las
herramientas tcnicas utilizadas en los diversos programas debern ser compatibles]

Diseo de Programas. [debern poseer la mxima sencillez, modularidad y economa

de recursos]

Mtodos de Pruebas. [ Se realizarn de acuerdo a las Normas de la Instalacin. Se

utilizarn juegos de ensayo de datos, sin que sea permisible el uso de datos reales]

Documentacin. [cumplir la Normativa establecida en la Instalacin, tanto la de

Desarrollo como la de entrega de Aplicaciones a Explotacin]

Equipo de Programacin. [Deben fijarse las tareas de anlisis puro, de programacin y

las intermedias. En Aplicaciones complejas se produciran variaciones en la
composicin del grupo, pero estos debern estar previstos]

1. Satisfaccin de usuarios: Una Aplicacin tcnicamente eficiente y bien desarrollada,

deber considerarse fracasada si no sirve a los intereses del usuario que la solicit. La
aquiescencia del usuario proporciona grandes ventajas posteriores, ya que evitar
reprogramaciones y disminuir el mantenimiento de la Aplicacin.

2. Control de Procesos y Ejecuciones de Programas Crticos: El auditor no debe descartar

la posibilidad de que se est ejecutando un mdulo que no se corresponde con el
programa fuente que desarroll, codific y prob el rea de Desarrollo de Aplicaciones.
Se ha de comprobar la correspondencia biunvoca y exclusiva entre el programa
codificado y su compilacin. Si los programas fuente y los programa mdulo no
coincidieran podrase provocar, desde errores de bulto que produciran graves y altos
costes de mantenimiento, hasta fraudes, pasando por acciones de sabotaje, espionaje
industrial-informativo, etc. Por ende, hay normas muy rgidas en cuanto a las Libreras
de programas; aquellos programas fuente que hayan sido dados por bueno por
Desarrollo, son entregados a Explotacin con el fin de que ste:
1. Copie el programa fuente en la Librera de Fuentes de Explotacin, a la que
nadie ms tiene acceso
2. Compile y monte ese programa, depositndolo en la Librera de Mdulos de
Explotacin, a la que nadie ms tiene acceso.

3. Copie los programas fuente que les sean solicitados para modificarlos,
arreglarlos, etc. en el lugar que se le indique. Cualquier cambio exigir pasar
nuevamente por el punto1.
Como este sistema para auditar y dar el alta a una nueva Aplicacin es bastante ardua y
compleja, hoy (algunas empresas lo usarn, otras no) se utiliza un sistema llamado U.A.T (User
Acceptance Test).Este consiste en que el futuro usuario de esta Aplicacin use la Aplicacin
como si la estuviera usando en Produccin para que detecte o se denoten por s solos los
errores de la misma. Estos defectos que se encuentran se van corrigiendo a medida que se va
haciendo el U.A.T. Una vez que se consigue el U.A.T., el usuario tiene que dar el Sign Off
("Esto est bien"). Todo este testeo, Auditora lo tiene que controlar, tiene que evaluar que el
testeo sea correcto, que exista un plan de testeo, que est involucrado tanto el cliente como el
desarrollador y que estos defectos se corrijan. Auditora tiene que corroborar que el U.A.T.
Prueba todo y que el Sign Off del usuario sea un Sign Off por todo.
Es aconsejable que las Empresas cuenten con un Departamento QA (Quality Assurance
Aseguramiento de la Calidad) que tendra la funcin de controlar que el producto que llegue al
usuario sea el correcto en cuanto a funcionamiento y Prestaciones, antes del U.A.T.
Auditora Informtica de Sistemas:
Se ocupa de analizar la actividad que se conoce como Tcnica de Sistemas en todas sus
facetas. Hoy, la importancia creciente de las Telecomunicaciones ha propiciado que las
Comunicaciones, Lneas y Redes de las instalaciones informticas, se auditen por separado,
aunque formen parte del entorno general de Sistemas.
Sistemas Operativos:
Engloba los Subsistemas de Teleproceso, Entrada / salida, etc. Debe verificarse en primer lugar
que los Sistemas estn actualizados con las ltimas versiones del fabricante, indagando las
causas de las omisiones si las hubiera. El anlisis de las versiones de los Sistemas Operativos
permite descubrir las posibles incompatibilidades entre otros productos de Software Bsico
adquiridos por la instalacin y determinadas versiones de aquellas. Deben revisarse los
parmetros Variables de las Libreras ms importantes de los Sistemas, por si difieren de los
valores habituales aconsejados por el constructor.
Software Bsico:
Es fundamental para el auditor conocer los productos de software bsico que han sido
facturados aparte de la propia computadora. Esto, por razones econmicas y por razones de
comprobacin de que la computadora podra funcionar sin el producto adquirido por el cliente.
En cuanto al Software desarrollado por el personal informtico de la empresa, el auditor debe
verificar que ste no agreda ni condiciona al Sistema. Igualmente, debe considerar el esfuerzo
realizado en trminos de costes, por si hubiera alternativas ms econmicas.
Software de Teleproceso (Tiempo Real):
No se incluye en Software Bsico por su especialidad e importancia. Las consideraciones
anteriores son vlidas para ste tambin.
Tunning:
Es el conjunto de tcnicas de observacin y de medidas encaminadas a la evaluacin del
comportamiento de los Subsistemas y del Sistema en su conjunto. Las acciones de tunning
deben diferenciarse de los controles habituales que realiza el personal de Tcnica de
Sistemas. El tunning posee una naturaleza ms revisora, establecindose previamente planes
y programas de actuacin segn los sntomas observados. Se pueden realizar:

Cuando existe sospecha de deterioro del comportamiento parcial o general del Sistema
De modo sistemtico y peridico, por ejemplo cada 6 meses. En este caso sus
acciones son repetitivas y estn planificados y organizados de antemano.

El auditor deber conocer el nmero de Tunning realizados en el ltimo ao, as como sus
resultados. Deber analizar los modelos de carga utilizados y los niveles e ndices de confianza
de las observaciones.
Optimizacin de los Sistemas y Subsistemas:
Tcnica de Sistemas debe realizar acciones permanentes de optimizacin como consecuencia
de la realizacin de tunnings preprogramados o especficos. El auditor verificar que las
acciones de optimizacin fueron efectivas y no comprometieron la Operatividad de los
Sistemas ni el plan crtico de produccin diaria de Explotacin.
Optimizacin:
Por ejemplo: cuando se instala una Aplicacin, normalmente est vaca, no tiene nada cargado
adentro. Lo que puede suceder es que, a medida que se va cargando, la Aplicacin se va
poniendo cada vez ms lenta; porque todas las referencias a tablas es cada vez ms grande, la
informacin que est moviendo es cada vez mayor, entonces la Aplicacin se tiende a poner
lenta. Lo que se tiene que hacer es un anlisis de performance, para luego optimizarla, mejorar
el rendimiento de dicha Aplicacin.
Administracin de Bases de Datos:
El diseo de las Bases de Datos, sean relaciones o jerrquicas, se ha convertido en una
actividad muy compleja y sofisticada, por lo general desarrollada en el mbito de Tcnica de
Sistemas, y de acuerdo con las reas de Desarrollo y usuarios de la empresa. Al conocer el
diseo y arquitectura de stas por parte de Sistemas, se les encomienda tambin su
administracin. Los auditores de Sistemas han observado algunas disfunciones derivadas de
la relativamente escasa experiencia que Tcnica de Sistemas tiene sobre la problemtica
general de los usuarios de Bases de Datos.
La administracin tendra que estar a cargo de Explotacin. El auditor de Base de Datos
debera asegurarse que Explotacin conoce suficientemente las que son accedidas por los
Procedimientos que ella ejecuta. Analizar los Sistemas de salvaguarda existentes, que
competen igualmente a Explotacin. Revisar finalmente la integridad y consistencia de los
datos, as como la ausencia de redundancias entre ellos.
Investigacin y Desarrollo:
Como empresas que utilizan y necesitan de informticas desarrolladas, saben que sus propios
efectivos estn desarrollando Aplicaciones y utilidades que, concebidas inicialmente para su
uso interno, pueden ser susceptibles de adquisicin por otras empresas, haciendo competencia
a las Compaas del ramo. La Auditora informtica deber cuidar de que la actividad de
Investigacin y Desarrollo no interfiera ni dificulte las tareas fundamentales internas.
La propia existencia de aplicativos para la obtencin de estadsticas desarrollados por los
tcnicos de Sistemas de la empresa auditada, y su calidad, proporcionan al auditor experto
una visin bastante exacta de la eficiencia y estado de desarrollo de los Sistemas.
9. Auditora Informtica de Comunicaciones y Redes
Para el informtico y para el auditor informtico, el entramado conceptual que constituyen las
Redes Nodales, Lneas, Concentradores, Multiplexores, Redes locales, etc. no son sino el
soporte fsico-lgico del Tiempo Real. El auditor tropieza con la dificultad tcnica del entorno,

pues ha de analizar situaciones y hechos alejados entre s, y est condicionado a la

participacin del monopolio telefnico que presta el soporte. Como en otros casos, la Auditora
de este sector requiere un equipo de especialistas, expertos simultneamente en
Comunicaciones y en Redes Locales (no hay que olvidarse que en entornos geogrficos
reducidos, algunas empresas optan por el uso interno de Redes Locales, diseadas y
cableadas con recursos propios).
El auditor de Comunicaciones deber inquirir sobre los ndices de utilizacin de las lneas
contratadas con informacin abundante sobre tiempos de desuso. Deber proveerse de la
topologa de la Red de Comunicaciones, actualizada, ya que la desactualizacin de esta
documentacin significara una grave debilidad. La inexistencia de datos sobre cuantas lneas
existen, cmo son y donde estn instaladas, supondra que se bordea la Inoperatividad
Informtica. Sin embargo, las debilidades ms frecuentes o importantes se encuentran en las
disfunciones organizativas. La contratacin e instalacin de lneas va asociada a la instalacin
de los Puestos de Trabajo correspondientes (Pantallas, servidores de Redes locales,
Computadoras con tarjetas de comunicaciones, impresoras, etc.) Todas estas actividades
deben estar muy coordinadas y de ser posible, dependientes de una sola organizacin.
Auditora de la Seguridad informtica:
La computadora es un instrumento que estructura gran cantidad de informacin, la cual puede
ser confidencial para individuos, empresas o instituciones, y puede ser mal utilizada o divulgada
a personas que hagan mal uso de esta. Tambin puede ocurrir robos, fraudes o sabotajes que
provoquen la destruccin total o parcial de la actividad computacional. Esta informacin puede
ser de suma importancia, y el no tenerla en el momento preciso puede provocar retrasos
sumamente costosos.
En la actualidad y principalmente en las computadoras personales, se ha dado otro factor que
hay que considerar: el llamado virus de las computadoras, el cual, aunque tiene diferentes
intenciones, se encuentra principalmente para paquetes que son copiados sin autorizacin
("piratas") y borra toda la informacin que se tiene en un disco. Al auditar los sistemas se debe
tener cuidado que no se tengan copias "piratas" o bien que, al conectarnos en red con otras
computadoras, no exista la posibilidad de transmisin del virus. El uso inadecuado de la
computadora comienza desde la utilizacin de tiempo de mquina para usos ajenos de la
organizacin, la copia de programas para fines de comercializacin sin reportar los derechos de
autor hasta el acceso por va telefnica a bases de datos a fin de modificar la informacin con
propsitos fraudulentos.
La seguridad en la informtica abarca los conceptos de seguridad fsica y seguridad lgica. La
seguridad fsica se refiere a la proteccin del Hardware y de los soportes de datos, as como a
la de los edificios e instalaciones que los albergan. Contempla las situaciones de incendios,
sabotaje, robos, catstrofes naturales, etc.
La seguridad lgica se refiere a la seguridad de uso del software, a la proteccin de los datos,
procesos y programas, as como la del ordenado y autorizado acceso de los usuarios a la
informacin.
Un mtodo eficaz para proteger sistemas de computacin es el software de control de acceso.
Dicho simplemente, los paquetes de control de acceso protegen contra el acceso no
autorizado, pues piden del usuario una contrasea antes de permitirle el acceso a informacin
confidencial. Dichos paquetes han sido populares desde hace muchos aos en el mundo de las
computadoras grandes, y los principales proveedores ponen a disposicin de clientes algunos
de estos paquetes.
Ejemplo: Existe una Aplicacin de Seguridad que se llama SEOS, para Unx, que lo que hace
es auditar el nivel de Seguridad en todos los servidores, como ser: accesos a archivos, accesos
a directorios, que usuario lo hizo, si tena o no tena permiso, si no tena permiso porque fall,
entrada de usuarios a cada uno de los servidores, fecha y hora, accesos con password

equivocada, cambios de password, etc. La Aplicacin lo puede graficar, tirar en nmeros, puede
hacer reportes, etc.
La seguridad informtica se la puede dividir como Area General y como Area Especifica
(seguridad de Explotacin, seguridad de las Aplicaciones, etc.). As, se podrn efectuar
auditoras de la Seguridad Global de una Instalacin Informtica Seguridad General- y
auditoras de la Seguridad de un rea informtica determinada Seguridad Especifica -.
Con el incremento de agresiones a instalaciones informticas en los ltimos aos, se han ido
originando acciones para mejorar la Seguridad Informtica a nivel fsico. Los accesos y
conexiones indebidos a travs de las Redes de Comunicaciones, han acelerado el desarrollo
de productos de Seguridad lgica y la utilizacin de sofisticados medios criptogrficos.
El sistema integral de seguridad debe comprender:

Elementos administrativos
Definicin de una poltica de seguridad

Organizacin y divisin de responsabilidades

Seguridad fsica y contra catstrofes (incendio, terremotos, etc.)

Prcticas de seguridad del personal

Elementos tcnicos y procedimientos

Sistemas de seguridad (de equipos y de sistemas, incluyendo todos los elementos,

tanto redes como terminales.

Aplicacin de los sistemas de seguridad, incluyendo datos y archivos

El papel de los auditores, tanto internos como externos

Planeacin de programas de desastre y su prueba.

La decisin de abordar una Auditora Informtica de Seguridad Global en una empresa, se

fundamenta en el estudio cuidadoso de los riesgos potenciales a los que est sometida. Se
elaboran matrices de riesgo, en donde se consideran los factores de las "Amenazas" a las
que est sometida una instalacin y los "Impactos" que aquellas puedan causar cuando se
presentan. Las matrices de riesgo se representan en cuadros de doble entrada <<AmenazaImpacto>>, en donde se evalan las probabilidades de ocurrencia de los elementos de la
matriz.
Ejemplo:
Impacto

Amenaza
1: Improbable
ErrorIncendioSabotaje..
2: Probable
Destruccin 1
1
de Hardware
3: Certeza
Borrado de 3
1
1
Informacin
-: Despreciable

El cuadro muestra que si por error codificamos un parmetro que ordene el borrado de un
fichero, ste se borrar con certeza.

Herramientas y Tcnicas para la Auditora Informtica:

Cuestionarios:
Las auditoras informticas se materializan recabando informacin y documentacin de todo
tipo. Los informes finales de los auditores dependen de sus capacidades para analizar las
situaciones de debilidad o fortaleza de los diferentes entornos. El trabajo de campo del auditor
consiste en lograr toda la informacin necesaria para la emisin de un juicio global objetivo,
siempre amparado en hechos demostrables, llamados tambin evidencias.
Para esto, suele ser lo habitual comenzar solicitando la cumplimentacin de cuestionarios
preimpresos que se envan a las personas concretas que el auditor cree adecuadas, sin que
sea obligatorio que dichas personas sean las responsables oficiales de las diversas reas a
auditar.
Estos cuestionarios no pueden ni deben ser repetidos para instalaciones distintas, sino
diferentes y muy especficos para cada situacin, y muy cuidados en su fondo y su forma.
Sobre esta base, se estudia y analiza la documentacin recibida, de modo que tal anlisis
determine a su vez la informacin que deber elaborar el propio auditor. El cruzamiento de
ambos tipos de informacin es una de las bases fundamentales de la auditora.
Cabe aclarar, que esta primera fase puede omitirse cuando los auditores hayan adquirido por
otro medios la informacin que aquellos preimpresos hubieran proporcionado.
Entrevistas:
El auditor comienza a continuacin las relaciones personales con el auditado. Lo hace de tres
formas:

1. Mediante la peticin de documentacin concreta sobre alguna materia de su

2.

responsabilidad
Mediante entrevistas en las que no se sigue un plan predeterminado ni un mtodo
estricto de sometimiento a un cuestionario.

3. Por medio de entrevistas en las que el auditor sigue un mtodo preestablecido de

antemano y busca unas finalidades concretas.
La entrevista es una de las actividades personales ms importante del auditor; en ellas, ste
recoge ms informacin, y mejor matizada, que la proporcionada por medios propios
puramente tcnicos o por las respuestas escritas a cuestionarios.
Aparte de algunas cuestiones menos importantes, la entrevista entre auditor y auditado se basa
fundamentalmente en el concepto de interrogatorio; es lo que hace un auditor, interroga y se
interroga a s mismo. El auditor informtico experto entrevista al auditado siguiendo un
cuidadoso sistema previamente establecido, consistente en que bajo la forma de una
conversacin correcta y lo menos tensa posible, el auditado conteste sencillamente y con
pulcritud a una serie de preguntas variadas, tambin sencillas. Sin embargo, esta sencillez es
solo aparente. Tras ella debe existir una preparacin muy elaborada y sistematizada, y que es
diferente para cada caso particular
Checklist:
El auditor conversar y har preguntas "normales", que en realidad servirn para la
cumplimentacin sistemtica de sus Cuestionarios, de sus Checklists.

Hay opiniones que descalifican el uso de las Checklists, ya que consideran que leerle una pila
de preguntas recitadas de memoria o ledas en voz alta descalifica al auditor informtico. Pero
esto no es usar Checklists, es una evidente falta de profesionalismo. El profesionalismo pasa
por un procesamiento interno de informacin a fin de obtener respuestas coherentes que
permitan una correcta descripcin de puntos dbiles y fuertes. El profesionalismo pasa por
poseer preguntas muy estudiadas que han de formularse flexiblemente.
El conjunto de estas preguntas recibe el nombre de Checklist. Salvo excepciones, las
Checklists deben ser contestadas oralmente, ya que superan en riqueza y generalizacin a
cualquier otra forma.
No existen Checklists estndar para todas y cada una de las instalaciones informticas a
auditar. Cada una de ellas posee peculiaridades que hacen necesarios los retoques de
adaptacin correspondientes en las preguntas a realizar.
Trazas y/o Huellas:
Con frecuencia, el auditor informtico debe verificar que los programas, tanto de los Sistemas
como de usuario, realizan exactamente las funciones previstas, y no otras. Para ello se apoya
en productos Software muy potentes y modulares que, entre otras funciones, rastrean los
caminos que siguen los datos a travs del programa.
Muy especialmente, estas "Trazas" se utilizan para comprobar la ejecucin de las validaciones
de datos previstas. Las mencionadas trazas no deben modificar en absoluto el Sistema. Si la
herramienta auditora produce incrementos apreciables de carga, se convendr de antemano
las fechas y horas ms adecuadas para su empleo.
Por lo que se refiere al anlisis del Sistema, los auditores informticos emplean productos que
comprueban los Valores asignados por Tcnica de Sistemas a cada uno de los parmetros
variables de las Libreras ms importantes del mismo. Estos parmetros variables deben estar
dentro de un intervalo marcado por el fabricante. A modo de ejemplo, algunas instalaciones
descompensan el nmero de iniciadores de trabajos de determinados entornos o toman
criterios especialmente restrictivos o permisivos en la asignacin de unidades de servicio segn
cuales tipos carga. Estas actuaciones, en principio tiles, pueden resultar contraproducentes si
se traspasan los lmites.
No obstante la utilidad de las Trazas, ha de repetirse lo expuesto en la descripcin de la
auditora informtica de Sistemas: el auditor informtico emplea preferentemente la amplia
informacin que proporciona el propio Sistema: As, los ficheros de <Accounting> o de
<contabilidad>, en donde se encuentra la produccin completa de aqul, y los <Log> de dicho
Sistema, en donde se Del mismo modo, el Sistema genera automticamente exacta
informacin sobre el tratamiento de errores de maquina central, recogen las modificaciones de
datos y se pormenoriza la actividad general.
Del mismo modo, el Sistema genera automticamente exacta informacin sobre el tratamiento
de errores de maquina central, perifricos, etc.
[La auditora financiero-contable convencional emplea trazas con mucha frecuencia. Son
programas encaminados a verificar lo correcto de los clculos de nminas, primas, etc.].
Log:
El log vendra a ser un historial que informa que fue cambiando y cmo fue cambiando
(informacin). Las bases de datos, por ejemplo, utilizan el log para asegurar lo que se llaman
las transacciones. Las transacciones son unidades atmicas de cambios dentro de una base de
datos; toda esa serie de cambios se encuadra dentro de una transaccin, y todo lo que va
haciendo la Aplicacin (grabar, modificar, borrar) dentro de esa transaccin, queda grabado en
el log. La transaccin tiene un principio y un fin, cuando la transaccin llega a su fin, se vuelca

todo a la base de datos. Si en el medio de la transaccin se cort por X razn, lo que se hace
es volver para atrs. El log te permite analizar cronolgicamente que es lo que sucedi con la
informacin que est en el Sistema o que existe dentro de la base de datos.
Software de Interrogacin:
Hasta hace ya algunos aos se han utilizado productos software llamados genricamente
<paquetes de auditora>, capaces de generar programas para auditores escasamente
cualificados desde el punto de vista informtico.
Ms tarde, dichos productos evolucionaron hacia la obtencin de muestreos estadsticos que
permitieran la obtencin de consecuencias e hiptesis de la situacin real de una instalacin.
En la actualidad, los productos Software especiales para la auditora informtica se orientan
principalmente hacia lenguajes que permiten la interrogacin de ficheros y bases de datos de la
empresa auditada. Estos productos son utilizados solamente por los auditores externos, por
cuanto los internos disponen del software nativo propio de la instalacin.
Del mismo modo, la proliferacin de las redes locales y de la filosofa "Cliente-servidor , han
llevado a las firmas de software a desarrollar interfaces de transporte de datos entre
computadoras personales y mainframe, de modo que el auditor informtico copia en su propia
PC la informacin ms relevante para su trabajo.
Cabe recordar, que en la actualidad casi todos los usuarios finales poseen datos e informacin
parcial generada por la organizacin informtica de la Compaa.
Efectivamente, conectados como terminales al "Host", almacenan los datos proporcionados por
este, que son tratados posteriormente en modo PC . El auditor se ve obligado (naturalmente,
dependiendo del alcance de la auditora) a recabar informacin de los mencionados usuarios
finales, lo cual puede realizar con suma facilidad con los polivalentes productos descritos. Con
todo, las opiniones ms autorizadas indican que el trabajo de campo del auditor informtico
debe realizarse principalmente con los productos del cliente.
Finalmente, ha de indicarse la conveniencia de que el auditor confeccione personalmente
determinadas partes del Informe. Para ello, resulta casi imprescindible una cierta soltura en el
manejo de Procesadores de Texto, paquetes de Grficos, Hojas de Clculo, etc.
10.Metodologa de Trabajo de Auditora Informtica
El mtodo de trabajo del auditor pasa por las siguientes etapas:

Alcance y Objetivos de la Auditoria Informtica

Estudio inicial del entorno auditable.

Elaboracin del plan y de los programas de trabajo

Actividades propiamente dichas de la auditora.

Confeccin y redaccin del informe final

Redaccin de la carta de introduccin o carta de presentacin del informe final
Alcance y Objetivos de la Auditora Informtica:

El alcance de la auditora expresa los lmites de la misma. Debe existir un acuerdo muy preciso
entre auditores y clientes sobre las funciones, las materias y las organizaciones a auditar. A los
efectos de acotar el trabajo resulta muy beneficioso para ambas partes expresar las
excepciones de alcance de la auditora, es decir cuales materias, funciones u organizaciones
no van a ser auditadas.
Tanto los alcances como las excepciones deben figurar al comienzo del Informe Final.
Las personas que realizan la auditora han de conocer con la mayor exactitud posible los
objetivos a los que su tarea debe llegar. Deben comprender los deseos y pretensiones del
cliente, de forma que las metas fijadas puedan ser cumplidas.
Una vez definidos los objetivos (objetivos especficos), stos se aadirn a los objetivos
generales y comunes de a toda auditora Informtica.
Controles Generales de Gestin Informtica.
Estudio Inicial del entorno auditable
Para realizar dicho estudio ha de examinarse las funciones y actividades generales de la
informtica.
Para su realizacin el auditor debe conocer lo siguiente:
Organizacin
Para el equipo auditor, el conocimiento de quin ordena, quin disea y quin ejecuta es
fundamental. Para realizar esto en auditor deber fijarse en:
1) Organigrama:
El organigrama expresa la estructura oficial de la organizacin a auditar.
Si se descubriera que existe un organigrama fctico diferente al oficial, se pondr de
manifiesto tal circunstancia.
2) Departamentos:
Se entiende como departamento a los rganos que siguen inmediatamente a la
Direccin. El equipo auditor describir brevemente las funciones de cada uno de ellos.
3) Relaciones Jerrquicas y funcionales entre rganos de la Organizacin:
El equipo auditor verificar si se cumplen las relaciones funcionales y Jerrquicas
previstas por el organigrama, o por el contrario detectar, por ejemplo, si algn
empleado tiene dos jefes.
Las de Jerarqua implican la correspondiente subordinacin. Las funcionales por el
contrario, indican relaciones no estrictamente subordinables.
4) Flujos de Informacin:
Adems de las corrientes verticales intra departamentales, la estructura organizativa
cualquiera que sea, produce corrientes de informacin horizontales y oblicuas extra
departamentales.

Los flujos de informacin entre los grupos de una organizacin son necesarios para su
eficiente gestin, siempre y cuando tales corrientes no distorsionen el propio
organigrama.
En ocasiones, las organizaciones crean espontneamente canales alternativos de
informacin, sin los cuales las funciones no podran ejercerse con eficacia; estos
canales alternativos se producen porque hay pequeos o grandes fallos en la
estructura y en el organigrama que los representa.
Otras veces, la aparicin de flujos de informacin no previstos obedece a afinidades
personales o simple comodidad. Estos flujos de informacin son indeseables y
producen graves perturbaciones en la organizacin.
5) Nmero de Puestos de trabajo:
El equipo auditor comprobar que los nombres de los Puestos de Trabajo de la
organizacin corresponden a las funciones reales distintas.
Es frecuente que bajo nombres diferentes se realicen funciones idnticas, lo cual indica
la existencia de funciones operativas redundantes.
Esta situacin pone de manifiesto deficiencias estructurales; los auditores darn a
conocer tal circunstancia y expresarn el nmero de puestos de trabajo
verdaderamente diferentes.
6) Nmero de personas por Puesto de Trabajo:
Es un parmetro que los auditores informticos deben considerar. La inadecuacin del
personal determina que el nmero de personas que realizan las mismas funciones rara
vez coincida con la estructura oficial de la organizacin.
Entorno Operacional
El equipo de auditora informtica debe poseer una adecuada referencia del entorno en el que
va a desenvolverse.
Este conocimiento previo se logra determinando, fundamentalmente, los siguientes
extremos:
a.

Situacin geogrfica de los Sistemas

Se determinar la ubicacin geogrfica de los distintos Centros de Proceso de Datos

en la empresa. A continuacin, se verificar la existencia de responsables en cada
unos de ellos, as como el uso de los mismos estndares de trabajo.
b.. Arquitectura y configuracin de Hardware y Software:
Cuando existen varios equipos, es fundamental la configuracin elegida para cada uno
de ellos, ya que los mismos deben constituir un Sistema compatible e intercomunicado.
La configuracin de los sistemas esta muy ligada a las Polticas de seguridad lgica de
las compaas.
Los auditores, en su estudio inicial, deben tener en su poder la distribucin e
interconexin de los equipos.
a. Inventario de Hardware y Software:

El auditor recabar informacin escrita, en donde figuren todos los elementos fsicos y
lgicos de la instalacin. En cuanto a Hardware figurarn las CPUs, unidades de
control local y remotas, perifricos de todo tipo, etc.
El inventario de software debe contener todos los productos lgicos del Sistema, desde
el software bsico hasta los programas de utilidad adquiridos o desarrollados
internamente. Suele ser habitual clasificarlos en facturables y no facturables.

b. Comunicacin y Redes de Comunicacin:

En el estudio inicial los auditores dispondrn del nmero, situacin y

caractersticas principales de las lneas, as como de los accesos a la red
pblica de comunicaciones.
Igualmente, poseern informacin de las Redes Locales de la Empresa.

Aplicaciones Bases de Datos y ficheros

El estudio inicial que han de realizar los auditores se cierra y culmina con una
idea general de los procesos informticos realizados en la empresa auditada.
Para ello debern conocer lo siguiente:

a. Volumen, antigedad y complejidad de las Aplicaciones

b. Metodologa del Diseo
Se clasificar globalmente la existencia total o parcial de metodologa en el desarrollo
de las aplicaciones. Si se han utilizados varias a lo largo del tiempo se pondr de
manifiesto.
c.

Documentacin
La existencia de una adecuada documentacin de las aplicaciones proporciona
beneficios tangibles e inmediatos muy importantes.
La documentacin de programas disminuye gravemente el mantenimiento de los
mismos.

d. Cantidad y complejidad de Bases de Datos y Ficheros.

El auditor recabar informacin de tamao y caractersticas de las Bases de
Datos, clasificndolas en relacin y jerarquas. Hallar un promedio de nmero
de accesos a ellas por hora o das. Esta operacin se repetir con los ficheros,
as como la frecuencia de actualizaciones de los mismos.
Estos datos proporcionan una visin aceptable de las caractersticas de la
carga informtica.
Determinacin de los recursos necesarios para realizar la auditora
Mediante los resultados del estudio inicial realizado se procede a determinar
los recursos humanos y materiales que han de emplearse en la auditora.

Recursos materiales
Es muy importante su determinacin, por cuanto la mayora de ellos son
proporcionados por el cliente. Las herramientas software propias del equipo
van a utilizarse igualmente en el sistema auditado, por lo que han de
convenirse en lo posible las fechas y horas de uso entre el auditor y cliente.
Los recursos materiales del auditor son de dos tipos:
a. Recursos materiales Software
Programas propios de la auditoria: Son muy potentes y Flexibles. Habitualmente se
aaden a las ejecuciones de los procesos del cliente para verificarlos.
Monitores: Se utilizan en funcin del grado de desarrollo observado en la actividad de
Tcnica de Sistemas del auditado y de la cantidad y calidad de los datos ya existentes.
b. Recursos materiales Hardware
Los recursos hardware que el auditor necesita son proporcionados por el
cliente. Los procesos de control deben efectuarse necesariamente en las
Computadoras del auditado.
Para lo cul habr de convenir, tiempo de maquina, espacio de disco,
impresoras ocupadas, etc.
Recursos Humanos
La cantidad de recursos depende del volumen auditable. Las caractersticas y perfiles del
personal seleccionado depende de la materia auditable.
Es igualmente reseable que la auditora en general suele ser ejercida por profesionales
universitarios y por otras personas de probada experiencia multidisciplinaria.
11. Perfiles Profesionales de los auditores informticos
Profesin
Informtico Generalista

Actividades y conocimientos deseables

Con experiencia amplia en ramas distintas. Deseable que su labor
se haya desarrollado en Explotacin y en Desarrollo de Proyectos.
Conocedor de Sistemas.
Experto en Desarrollo de
Amplia experiencia como responsable de proyectos. Experto
Proyectos
analista. Conocedor de las metodologas de Desarrollo ms
importantes.
Tcnico de Sistemas
Experto en Sistemas Operativos y Software Bsico. Conocedor de
los productos equivalentes en el mercado. Amplios conocimientos
de Explotacin.
Experto en Bases de Datos y Con experiencia en el mantenimiento de Bases de Datos.
Administracin de las mismas. Conocimiento de productos compatibles y equivalentes. Buenos
conocimientos de explotacin
Experto en Software de
Alta especializacin dentro de la tcnica de sistemas.
Comunicacin
Conocimientos profundos de redes. Muy experto en Subsistemas de
teleproceso.
Experto en Explotacin y
Responsable de algn Centro de Calculo. Amplia experiencia en
Gestin de CPDS
Automatizacin de trabajos. Experto en relaciones humanas.
Buenos conocimientos de los sistemas.

Tcnico de Organizacin
Tcnico de evaluacin de
Costes

Experto organizador y coordinador. Especialista en el anlisis de

flujos de informacin.
Economista con conocimiento de Informtica. Gestin de costes.

Elaboracin del Plan y de los programas de trabajo

Una vez asignados los recursos, el responsable de la auditora y sus colaboradores establecen
un plan de trabajo. Decidido ste, se procede a la programacin del mismo.
El plan se elabora teniendo en cuenta, entre otros criterios, los siguientes:
a) Si la Revisin debe realizarse por reas generales o reas especficas. En el primer
caso, la elaboracin es ms compleja y costosa.
b) Si la auditora es global, de toda la Informtica, o parcial. El volumen determina no
solamente el nmero de auditores necesarios, sino las especialidades necesarias del
personal.

En el plan no se consideran calendarios, porque se manejan recursos genricos y no

especficos.
En el Plan se establecen los recursos y esfuerzos globales que van a ser necesarios.

En el Plan se establecen las prioridades de materias auditables, de acuerdo siempre

con las prioridades del cliente.

El Plan establece disponibilidad futura

de los recursos durante la revisin.

El Plan estructura las tareas a realizar por cada integrante del grupo.

En el Plan se expresan todas las ayudas que el auditor ha de recibir del auditado.
Una vez elaborado el Plan, se procede a la Programacin de actividades. Esta ha de ser lo
suficientemente como para permitir modificaciones a lo largo del proyecto.
Actividades propiamente dichas de la Auditora
Auditora por temas generales o por reas especficas:
La auditora Informtica general se realiza por reas generales o por reas especficas. Si se
examina por grandes temas, resulta evidente la mayor calidad y el empleo de ms tiempo total
y mayores recursos.
Cuando la Auditora se realiza por reas especficas, se abarcan de una vez todas las
peculiaridades que afectan a la misma, de forma que el resultado se obtiene ms rpidamente
y con menor calidad.
Tcnicas de Trabajo:
- Anlisis de la informacin recabada del auditado.
- Anlisis de la informacin propia.

- Cruzamiento de las informaciones anteriores.

- Entrevistas.
- Simulacin.
- Muestreos.
- Herramientas:
- Cuestionario general inicial.
- Cuestionario Checklist.
- Estndares.
- Monitores.
- Simuladores (Generadores de datos).
- Paquetes de auditora (Generadores de Programas).
- Matrices de riesgo.
12. Definicin de la metodologa CRMR
CRMR son las siglas de <<Computer resource management review>>; su traduccin ms
adecuada, Evaluacin de la gestin de recursos informticos. En cualquier caso, esta
terminologa quiere destacar la posibilidad de realizar una evaluacin de eficiencia de
utilizacin de los recursos por medio del management.
Una revisin de esta naturaleza no tiene en s misma el grado de profundidad de una auditora
informtica global, pero proporciona soluciones ms rpidas a problemas concretos y notorios.
Supuestos de aplicacin:
En funcin de la definicin dada, la metodologa abreviada CRMR es aplicable ms a
deficiencias organizativas y gerenciales que a problemas de tipo tcnico, pero no cubre
cualquier rea de un Centro de Procesos de Datos.
El mtodo CRMR puede aplicarse cuando se producen algunas de las situaciones que se citan:

Se detecta una mala respuesta a las peticiones y necesidades de los usuarios.

Los resultados del Centro de Procesos de Datos no estn a disposicin de los usuarios
en el momento oportuno.

Se genera con alguna frecuencia informacin errnea por fallos de datos o proceso.

Existen sobrecargas frecuentes de capacidad de proceso.

Existen costes excesivos de proceso en el Centro de Proceso de Datos.

Efectivamente, son stas y no otras las situaciones que el auditor informtico encuentra con
mayor frecuencia. Aunque pueden existir factores tcnicos que causen las debilidades
descritas, hay que convenir en la mayor incidencia de fallos de gestin.

Areas de aplicacin:
Las reas en que el mtodo CRMR puede ser aplicado se corresponden con las sujetas a las
condiciones de aplicacin sealadas en punto anterior:

Gestin de Datos.
Control de Operaciones.

Control y utilizacin de recursos materiales y humanos.

Interfaces y relaciones con usuarios.

Planificacin.

Organizacin y administracin.

Ciertamente, el CRMR no es adecuado para evaluar la procedencia de adquisicin de nuevos

equipos (Capacity Planning) o para revisar muy a fondo los caminos crticos o las holguras de
un Proyecto complejo.
Objetivos:
CRMR tiene como objetivo fundamental evaluar el grado de bondad o ineficiencia de los
procedimientos y mtodos de gestin que se observan en un Centro de Proceso de Datos. Las
Recomendaciones que se emitan como resultado de la aplicacin del CRMR, tendrn como
finalidad algunas de las que se relacionan:

Identificar y fijas responsabilidades.

Mejorar la flexibilidad de realizacin de actividades.

Aumentar la productividad.

Disminuir costes

Mejorar los mtodos y procedimientos de Direccin.

Alcance
Se fijarn los lmites que abarcar el CRMR, antes de comenzar el trabajo.
Se establecen tres clases:
1. Reducido. El resultado consiste en sealar las reas de actuacin con potencialidad
inmediata de obtencin de beneficios.
2. Medio. En este caso, el CRMR ya establece conclusiones y Recomendaciones, tal y
como se hace en la auditora informtica ordinaria.
3. Amplio. El CRMR incluye Planes de Accin, aportando tcnicas de implementacin de
las Recomendaciones, a la par que desarrolla las conclusiones.
1. Informacin necesaria para la realizacin del CRMR
El cliente es el que facilita la informacin que el auditor contrastar con su trabajo de campo.
Se exhibe a continuacin una Checklist completa de los datos necesarios para confeccionar el
CRMR:

Datos de mantenimiento preventivo de Hardware.

Informes de anomalas de los Sistemas.

Procedimientos estndar de actualizacin.

Procedimientos de emergencia.

Monitorizacin de los Sistemas.

Informes del rendimiento de los Sistemas.

Mantenimiento de las Libreras de Programas.

Gestin de Espacio en disco.

Documentacin de entrega de Aplicaciones a Explotacin.

Documentacin de alta de cadenas en Explotacin.

Utilizacin de CPU, canales y discos.

Datos de paginacin de los Sistemas.

Volumen total y libre de almacenamiento.

Ocupacin media de disco.

Manuales de Procedimientos de Explotacin.

Esta informacin cubre ampliamente el espectro del CRMR y permite ejercer el seguimiento de
las Recomendaciones realizadas.
Caso Prctico de una Auditora de Seguridad Informtica <<Ciclo de Seguridad>>
A continuacin, un caso de auditora de rea general para proporcionar una visin ms
desarrollada y amplia de la funcin auditora.
Es una auditora de Seguridad Informtica que tiene como misin revisar tanto la seguridad
fsica del Centro de Proceso de Datos en su sentido ms amplio, como la seguridad lgica de
datos, procesos y funciones informticas ms importantes de aqul.
Ciclo de Seguridad
El objetivo de esta auditora de seguridad es revisar la situacin y las cuotas de eficiencia de la
misma en los rganos ms importantes de la estructura informtica.
Para ello, se fijan los supuestos de partida:
El rea auditada es la Seguridad. El rea a auditar se divide en: Segmentos.
Los segmentos se dividen en: Secciones.
Las secciones se dividen en: Subsecciones.
De este modo la auditora se realizara en 3 niveles.
Los segmentos a auditar, son:

Segmento 1: Seguridad de cumplimiento de normas y estndares.

Segmento 2: Seguridad de Sistema Operativo.

Segmento 3: Seguridad de Software.

Segmento 4: Seguridad de Comunicaciones.

Segmento 5: Seguridad de Base de Datos.

Segmento 6: Seguridad de Proceso.

Segmento 7: Seguridad de Aplicaciones.

Segmento 8: Seguridad Fsica.

Se darn los resultados globales de todos los segmentos y se realizar un tratamiento

exhaustivo del Segmento 8, a nivel de seccin y subseccin.
Conceptualmente la auditoria informtica en general y la de Seguridad en particular, ha de
desarrollarse en cinco fases bien diferenciadas:
Fase 0. Causas de la realizacin del ciclo de seguridad.
Fase 1. Estrategia y logstica del ciclo de seguridad.
Fase 2. Ponderacin de sectores del ciclo de seguridad.
Fase 3. Operativa del ciclo de seguridad.
Fase 4. Clculos y resultados del ciclo de seguridad.
Fase 5. Confeccin del informe del ciclo de seguridad.
A su vez, las actividades auditoras se realizan en el orden siguiente:
1. Comienzo del proyecto de Auditora Informtica.
2. Asignacin del equipo auditor.
3. Asignacin del equipo interlocutor del cliente.
4. Cumplimentacin de formularios globales y parciales por parte del cliente.
5. Asignacin de pesos tcnicos por parte del equipo auditor.
6. Asignacin de pesos polticos por parte del cliente.
7. Asignacin de pesos finales a segmentos y secciones.
8. Preparacin y confirmacin de entrevistas.
9. Entrevistas, confrontaciones y anlisis y repaso de documentacin.
10. Calculo y ponderacin de subsecciones, secciones y segmentos.
11. Identificacin de reas mejorables.
12. Eleccin de las reas de actuacin prioritaria.
13. Preparacin de recomendaciones y borrador de informe

14. Discusin de borrador con cliente.

15. Entrega del informe.

13. Conclusin
Principalmente, con la realizacin de este trabajo prctico, la principal conclusin a la que
hemos podido llegar, es que toda empresa, pblica o privada, que posean Sistemas de
Informacin medianamente complejos, deben de someterse a un control estricto de evaluacin
de eficacia y eficiencia. Hoy en da, el 90 por ciento de las empresas tienen toda su informacin
estructurada en Sistemas Informticos, de aqu, la vital importancia que los sistemas de
informacin funcionen correctamente. La empresa hoy, debe / precisa informatizarse. El xito
de una empresa depende de la eficiencia de sus sistemas de informacin. Una empresa puede
tener un staff de gente de primera, pero tiene un sistema informtico propenso a errores, lento,
vulnerable e inestable; si no hay un balance entre estas dos cosas, la empresa nunca saldr a
adelante. En cuanto al trabajo de la Auditora en s, podemos remarcar que se precisa de gran
conocimiento de Informtica, seriedad, capacidad, minuciosidad y responsabilidad; la Auditora
de Sistemas debe hacerse por gente altamente capacitada, una Auditora mal hecha puede
acarrear consecuencias drsticas para la empresa auditada, principalmente econmicas

Fases de la Auditoria
Informtica
Fase I: Conocimientos del Sistema
Fase II: Anlisis de transacciones y
recursos
Fase III: Anlisis de riesgos y amenazas
Fase IV: Anlisis de controles
Fase V: Evaluacin de Controles
Fase VI: El Informe de auditoria

Fase VII: Seguimiento de las

Recomendaciones

Fase I: Conocimientos del

Sistema
1.1. Aspectos Legales y Polticas Internas.
Sobre estos elementos est construido el
sistema de control y por lo tanto
constituyen el marco de referencia para su
evaluacin.
1.2.Caractersticas del Sistema Operativo.

Organigrama del rea que participa en

el sistema
Manual de funciones de las personas
que participan en los procesos del
sistema
Informes de auditora realizadas
anteriormente

1.3.Caractersticas de la aplicacin de
computadora

Manual tcnico de la aplicacin del

sistema
Funcionarios (usuarios) autorizados
para administrar la aplicacin
Equipos utilizados en la aplicacin de
computadora
Seguridad de la aplicacin (claves de
acceso)
Procedimientos para generacin y
almacenamiento de los archivos de la
aplicacin.

Fase II: Anlisis de transacciones y

recursos
2.1.Definicin de las transacciones.
Dependiendo del tamao del sistema, las
transacciones se dividen en procesos y estos
en subprocesos. La importancia de las
transacciones deber ser asignada con los
administradores.
2.2.Anlisis de las transacciones

Establecer el flujo de los documentos

En esta etapa se hace uso de los flujogramas

ya que facilita la visualizacin del
funcionamiento y recorrido de los procesos.
2.3.Anlisis de los recursos

Identificar y codificar los recursos que

participan en el sistemas

2.4.Relacin entre transacciones y recursos

Fase III: Anlisis de riesgos y

amenazas
3.1.Identificacin de riesgos

Daos fsicos o destruccin de los

recursos
Prdida por fraude o desfalco
Extravo de documentos fuente,
archivos o informes
Robo de dispositivos o medios de
almacenamiento
Interrupcin de las operaciones del
negocio

Prdida de integridad de los datos

Ineficiencia de operaciones

Errores

3.2.Identificacin de las amenazas

Amenazas sobre los equipos:

Amenazas sobre documentos fuente
Amenazas sobre programas de
aplicaciones

3.3.Relacin entre
recursos/amenazas/riesgos
La relacin entre estos elementos deber
establecerse a partir de la observacin de
los recursos en su ambiente real de
funcionamiento.

Fase IV: Anlisis de

controles
4.1.Codificacin de controles

Los controles se aplican a los diferentes

grupos utilizadores de recursos, luego la
identificacin de los controles deben
contener una codificacin la cual
identifique el grupo al cual pertenece el
recurso protegido.
4.2.Relacin entre
recursos/amenazas/riesgos
La relacin con los controles debe
establecerse para cada tema (Rec/Amz/Rie)
identificado. Para cada tema debe
establecerse uno o ms controles.
4.3.Anlisis de cobertura de los controles
requeridos
Este anlisis tiene como propsito
determinar si los controles que el auditor
identific como necesarios proveen una
proteccin adecuada de los recursos.

Fase V: Evaluacin de
Controles
5.1.Objetivos de la evaluacin

Verificar la existencia de los controles

requeridos
Determinar la operatividad y
suficiencia de los controles existentes

5.2.Plan de pruebas de los controles

Incluye la seleccin del tipo de prueba a

realizar.
Debe solicitarse al rea respectiva,
todos los elementos necesarios de
prueba.

5.3.Pruebas de controles
5.4.Anlisis de resultados de las pruebas

Fase VI: Informe de

Auditoria
6.1. Informe detallado de recomendaciones
6.2. Evaluacin de las respuestas
6.3. Informe resumen para la alta gerencia

Este informe debe prepararse una vez

obtenidas y analizadas las respuestas de
compromiso de la reas.

Introduccin: objetivo y contenido del

informe de auditoria
Objetivos de la auditora
Alcance: cobertura de la evaluacin
realizada
Opinin: con relacin a la suficiencia
del control interno del sistema evaluado

Hallazgos

Recomendaciones

Fase VII:

Seguimiento de
Recomendaciones
7.1. Informes del seguimiento
7.2. Evaluacin de los controles
implantados

Fin de la sesin.
Informtica II. Decanato de Administracin y
Contadura

Auditora
Informtica
Revisin
Evaluacin

Controles y las Medidas de

Seguridad que se Aplican
a los Recursos de un
Sistema de Informacin
Informtica II. Decanato de Administracin y
Contadura

Auditora
Informtica
Objetivos

Presentar recomendaciones en
funcin

de las fallas detectadas.

Determinar si la informacin que

brindan

los Sistemas de Informticos es til.

Inspeccionar el Desarrollo de los

Nuevos

Sistemas.

Verificar que se cumplan las normas

y

polticas de los procedimientos.

Auditora
Informtica
Informtica II. Decanato de Administracin y
Contadura

Tipos
Interna: Aplicada con el personal
que labora
en la empresa.

Externa: Se contrata a una firma

especializada para realizar la misma.

Auditora
Informtica Externa
Las empresas recurren a la auditora
externa
cuando existen:

Sntomas de Descoordinacin

Sntomas de Mala Imagen

Informtica II. Decanato de Administracin y

Contadura

Sntomas de Debilidades
Econmicas
Sntomas de Inseguridad

Aspectos Fundamentales

en la
Auditora de los
Sistemas de Informacin
Informtica II. Decanato de Administracin y
Contadura

Auditora
Informtica de
Desarrollo de
Aplicaciones
Cada una de las fases del
desarrollo de las nuevas
aplicaciones informticas
deben ser sometidas a un
minucioso control, a fin de
evitar un aumento

significativo de los costos,

as como tambin
insatisfaccin de los
usuarios.
Informtica II. Decanato de Administracin y
Contadura

Auditora de los Datos

de Entrada
Se analizar la captura de la
informacin en soporte compatible con
los Sistemas, el cumplimiento de
plazos y calendarios de tratamientos y
entrega de datos; la correcta
transmisin de datos entre entornos
diferentes. Se verificar que los
controles de integridad y calidad de
datos se realizan de acuerdo a las
Normas
establecidas.

Informtica II. Decanato de Administracin y

Contadura

Auditora Informtica de
Sistemas
Se audita:
Informtica II. Decanato de Administracin y
Contadura

Sistema Operativo: Verificar si la

versin instalada permite el total
funcionamiento del software que
sobre ella se instala, si no es as
determinar la causa
Software de Aplicacin: Determinar
el uso de las aplicaciones
instaladas.
Comunicaciones: Verificar que el
uso y el rendimiento de la red sea el
ms adecuado .

Tcnicas de Auditora

Existen varias tcnicas de Auditora

Informtica
de Sistemas, entre las cuales se
mencionan:

Lotes de Prueba: Transacciones

simuladas que se introducen al
Sistema a fin de verificar el
funcionamiento del mismo. Entre
los datos que se deben incluir en
una prueba

se tienen:

Datos de Excepcin.
Datos Ilgicos.

Transacciones Errneas

Informtica II. Decanato de Administracin y

Contadura

Tcnicas de Auditora
...(Continuacin)

Auditora para el Computador:

Permite determinar

si el uso de los equipos de

computacin es el idneo. Mediante esta tcnica, se
detectan
equipos sobre y subutilizados.

Prueba de Minicompaa:
Revisiones peridicas

que se realizan a los Sistemas a fin

de determinar nuevas necesidades.
Informtica II. Decanato de Administracin y
Contadura

Peligros Informticos

Incendios: Los recursos

informticos son

muy sensibles a los incendios, como

por

ejemplo reportes impresos, cintas,

discos.

Inundaciones: Se recomienda que

el Departamento

de computacin se encuentre en un
nivel alto. La
Planta Baja y el Stano son lugares
propensos a las
inundaciones.

Robos: Fuga de la informacin

confidencial de la

empresa.

Fraudes: Modificaciones de los

datos dependiendo

de intereses particulares.
Informtica II. Decanato de Administracin y
Contadura

Medidas de
Contingencia

Mecanismos utilizados para

contrarrestar la
prdida o daos de la informacin, bien
sea
intencionales o accidentales.
La ms utilizada es la Copia de
Seguridad
(Backup), en la cual se respalda la
informacin generada en la empresa .
Informtica II. Decanato de Administracin y
Contadura

Copias de Seguridad
Las copias pueden ser totales o
parciales y la frecuencia vara dependiendo de la
importancia de
la informacin que se genere.
Backup

Se recomienda tener
como mnimo dos (2)
respaldos de la informacin,
uno dentro de la empresa y otro fuera
de sta (preferiblemente en un Banco
en
Caja Fuerte).
Informtica II. Decanato de Administracin y
Contadura

Medidas de Proteccin
Medidas utilizadas para garantizar la
Seguridad
Fsica de los Datos.
Aquellos equipos en donde se genera
informacin crtica, deben tener un
UPS. De igual forma, el suministro de
corriente elctrica para el rea
informtica,

debe ser independiente del resto de las

reas.
Informtica II. Decanato de Administracin y
Contadura

Medidas de Control y
Seguridad
Mecanismos utilizados para garantizar
la Seguridad
Lgica de los Datos.
En los Sistemas Multiusuarios se
deben restringir
el acceso a la Informacin, mediante un
nombre
de usuario (login) y una contrasea
(password).
Del mismo modo, se debe restringir el
acceso a
los Sistemas en horas no laborables
salvo casos

excepcionales.
Informtica II. Decanato de Administracin y
Contadura
La Auditora
(Definiciones, mtodos, tipos y ejemplos)
Enviado por Rojas E. Antonio
1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
13.
14.
15.
16.

Introduccin
La Auditora interna y externa
Alcances de la Auditora informtica
Sntomas de necesidad de una Auditora informtica
Objetivo fundamental de la Auditora informtica
Auditoria informtica de desarrollo de proyectos o aplicaciones
Auditoria informtica de sistemas
Auditoria informtica de comunicaciones y redes
Auditora de la seguridad informtica
Estudio inicial
Entorno operacional
Aplicaciones bases de datos y ficheros
CRMR (Computer Resource Management Review)
Ciclo de vida y seguridad
Bibliografa
Conclusiones
Introduccin

Inicialmente, la auditoria se limito a las verificaciones de los registros contables,

dedicndose a observar si los mismos eran exactos. Por lo tanto esta era la forma
primaria: Confrontar lo escrito con las pruebas de lo acontecido y las respectivas
referencias de los registros. Con el tiempo, el campo de accin de la auditoria ha
continuado extendindose; no obstante son muchos los que todava la juzgan como
portadora exclusiva de aquel objeto remoto, o sea, observar la veracidad y exactitud de
los registros. En forma sencilla y clara, escribe Holmes
"... la auditoria es el examen de las demostraciones y registros
administrativos. El auditor observa la exactitud, integridad y
autenticidad de tales demostraciones, registros y documentos."
A finales del siglo XX, los Sistemas Informticos han constituido las herramientas ms
poderosas para materializar uno de los conceptos ms vitales y necesarios para
cualquier organizacin empresarial, los Sistemas de Informacin de la Empresa. Ya lo
deca Holmes profesor de estudios avanzados de auditoria de Harvard.
La Informtica hoy, est subsumida en la gestin integral de la empresa, y por eso las
normas y estndares propiamente informticos deben estar, sometidos a los generales
de la misma. En consecuencia, los sistemas informticos forman parte de lo que se ha
denominado el "Management" o gestin de la empresa. Cabe aclarar que la Informtica
no gestiona propiamente a la empresa, ms bien ayuda a la toma de decisiones, pero no

decide por s misma. Por ende, debido a su importancia en el funcionamiento de una

empresa, existe la Auditoria Informtica.
El trmino de Auditoria se ha empleado incorrectamente con frecuencia ya que se ha
considerado como una evaluacin cuyo nico fin es detectar errores y sealar fallas. A
causa de esto, se han tomado las frases "Tiene Auditoria" "Es Auditable" como
sinnimo de que, en dicha entidad, antes de realizarse la auditoria, ya se haban
detectado fallas.
El concepto de auditoria es mucho ms que esto. Es un examen crtico que se realiza
con el fin de evaluar la eficacia y eficiencia de una seccin, un organismo, una entidad,
etctera. La palabra auditoria proviene del latn auditorius, y de esta proviene la
palabra auditor, que se refiere a todo aquel que tiene la virtud de or.
Si consultamos el boletn de normas de auditoriasdel Instituto Venezolano de
contadores nos dice: "La auditoria es una actividad meramente mecnica (en algunos
casos), que implica la aplicacin de ciertos procedimientos cuyos resultados, una vez
llevado a cabo son de carcter indudable." Para que una seccin o sistema sea auditable
o auditado debe poseerse mecanismos de contrapartes para que sea efectivo. De todo
esto sacamos como deduccin que la auditoria es un examen crtico pero no mecnico,
que no implica la preexistencia de fallas en la entidad auditada y que persigue el fin de
evaluar y mejorar la eficacia y eficiencia de una seccin o de un organismo.
Los principales objetivos que constituyen a la auditoria Informtica son el control de la
funcin informtica, el anlisis de la eficiencia de los Sistemas Informticos que
comporta, la verificacin del cumplimiento de la normativa general de la empresa en
este mbito y la revisin de la eficaz gestin de los recursos materiales y humanos
informticos.
1.

LA AUDITORIA INTERNA Y EXTERNA.

La auditoria interna, es la realizada con recursos materiales y personas que
pertenecen a la empresa auditada. Los empleados que realizan esta tarea son
remunerados econmicamente. La auditoria interna existe por expresa decisin
de la empresa, o sea, que puede optar por su disolucin en cualquier momento.
Por otro lado, la auditoria externa es realizada por personas afines a la empresa
auditada; es siempre remunerada. Se presupone una mayor objetividad que en la
auditoria interna, debido al mayor distanciamiento entre auditores y auditados.
La auditoria informtica interna cuenta con algunas ventajas adicionales muy
importantes respecto de la auditoria externa, las cuales no son tan perceptibles
como en las auditorias convencionales. La auditoria interna tiene la ventaja de
que puede actuar peridicamente realizando revisiones globales, como parte de su
plan anual y de su actividad normal. Los auditados conocen estos planes y se
habitan a las auditorias, especialmente cuando las consecuencias de las
recomendaciones habidas benefician su trabajo. En una empresa, los responsables
de Informtica escuchan, orientan e informan sobre las posibilidades tcnicas y
los costos de tal sistema, con voz, pero a menudo sin voto, La informtica trata de
satisfacer lo ms adecuadamente posible aquellas necesidades de la empresa, y
esta necesita controlar su informtica ya que su propia gestin esta sometida a los
mismos procedimientos y estndares que el resto de aquella. La conjuncin de
ambas necesidades cristaliza en la figura del auditor interno informtico.

En cuanto a empresas se refiere, solamente las ms grandes pueden poseer una

auditoria propia y permanente, mientras que el resto acuden a las auditorias
externas. Puede ser que algn profesional informtico sea trasladado desde su
puesto de trabajo a la auditoria interna de la empresa cuando sta existe.
Finalmente, la propia informtica requiere de su propio grupo de control interno,
con implantacin fsica en su estructura, puesto que si se ubicase dentro de la
estructura informtica ya no sera independiente. Hoy, ya existen varias
organizaciones informticas dentro de la misma empresa, y con diverso grado de
autonoma, que son coordinadas por rganos corporativos de Sistemas de
Informacin de las Empresas.
2.

Alcances de la Auditoria Informtica.

El alcance ha de definir con precisin el entorno y los lmites en que va a
desarrollarse la auditoria informtica, se complementa con los objetivos de sta.
El alcance ha de figurar expresamente en el Informe Final, de modo que quede
perfectamente determinado no solamente hasta que puntos se ha llegado, sino
cuales materias fronterizas han sido omitidas. Para esto se necesitan evaluar dos
puntos convergentes que evalen el alcance.
Control de integridad de registros: Hay Aplicaciones que comparten
registros, son registros comunes. Si una Aplicacin no tiene integrado un registro
comn, cuando lo necesite utilizar no lo va encontrar y, por lo tanto, la aplicacin
no funcionara como debera.
Control de validacin de errores: Se corrobora que el sistema que se aplica
para detectar y corregir errores sea eficiente.

3.

Sntomas de Necesidad de una Auditora Informtica.

Las empresas acuden a las auditorias externas internas cuando existen sntomas bien
perceptibles de debilidad. Estos sntomas pueden agruparse en clases:

Sntomas de descoordinacin y desorganizacin.

o
o

No coinciden los objetivos de la informtica de la compaa.

Los estndares de productividad se desvan sensiblemente de los
promedios conseguidos habitualmente.

Puede ocurrir con algn cambio masivo de personal, o en una reestructuracin fallida
de alguna rea o en la modificacin de alguna norma importante.

Sntomas de mala imagen e insatisfaccin de los usuarios.

No se atienden las peticiones de cambios de los usuarios. Ejemplos: cambios de
Software en los terminales de usuario, resfrecamiento de paneles, variacin de los
ficheros que deben ponerse diariamente a su disposicin, etc.
No se reparan las averas de Hardware ni se resuelven incidencias en plazos
razonables. El usuario percibe que est abandonado y desatendido
permanentemente.
No se cumplen en todos los casos los plazos de entrega de resultados peridicos.
Pequeas desviaciones pueden causar importantes desajustes en la actividad del
usuario, en especial en los resultados de Aplicaciones crticas y sensibles.


o
o
o
o

o
o
o

Sntomas de debilidades econmico - financiero.

Incremento desmesurado de costes.
Necesidad de justificacin de Inversiones Informticas (la empresa no
est absolutamente convencida de tal necesidad y decide contrastar opiniones).
Desviaciones Presupuestarias significativas.
Costes y plazos de nuevos proyectos (deben auditarse simultneamente
a Desarrollo de Proyectos y al rgano que realiz la peticin).
Sntomas de Inseguridad. (Evaluacin de nivel de riesgos)
Seguridad Lgica.
Seguridad Fsica.
Confidencialidad.

Los datos son propiedad inicialmente de la organizacin que los genera. Los datos de
personal son especialmente confidenciales. Continuidad del Servicio, es un concepto
an ms importante que la seguridad, establece las estrategias de continuidad entre
fallos mediante Planes de Contingencia (*) totales y locales.
Centro de proceso de datos fuera de control, si tal situacin llegara a percibirse, sera
prcticamente intil la auditoria. Esa es la razn por la cual, en este caso, el sntoma
debe ser sustituido por el mnimo indicio.
(*) Planes de Contingencia: Por ejemplo, la empresa sufre un corte total de energa
o explota, Cmo sigo operando en otro lugar? Lo que generalmente se pide es que se
hagan Backups de la informacin diariamente y que aparte, sea doble, para tener un
Backup en la empresa y otro afuera de sta. Una empresa puede tener unas oficinas
paralelas que posean servicios bsicos (luz, telfono, agua) distintos de los de la
empresa principal, es decir, si a la empresa principal le provea telfono Telecom, a las
oficinas paralelas, Telefnica. En este caso, si se produce la inoperancia de Sistemas en
la empresa principal, se utilizara el Backup para seguir operando en las oficinas
paralelas. Los Backups se pueden acumular durante dos meses, o el tiempo que estipule
la empresa, y despus se van reciclando.
1.

Objetivo fundamental de la auditora informtica.

La operatividad es una funcin de mnimos consistente en que la organizacin y
las maquinas funcionen, siquiera mnimamente. No es admisible detener la
maquinaria informtica para descubrir sus fallos y comenzar de nuevo. La
auditoria debe iniciar su actividad cuando los sistemas estn operativos, es el
principal objetivo el de mantener tal situacin. Tal objetivo debe conseguirse
tanto a nivel global como parcial. La operatividad de los sistemas ha de constituir
entonces la principal preocupacin del auditor informtico.
Los Controles Tcnicos Generales, son los que se realizan para verificar la
compatibilidad de funcionamiento simultneo del Sistema Operativo y el Software
de base con todos los subsistemas existentes, as como la compatibilidad del
Hardware y del Software instalados. Estos controles son importantes en las
instalaciones que cuentan con varios competidores, debido a que la profusin de
entornos de trabajo muy diferenciados obliga a la contratacin de diversos
productos de software bsico, con el consiguiente riesgo de abonar ms de una vez
el mismo producto o desaprovechar parte del software abonado.
Puede ocurrir tambin con los productos de software bsico desarrollados por el
personal de Sistemas Interno, sobre todo cuando los diversos equipos estn
ubicados en centros de proceso de datos geogrficamente alejados. Lo negativo de

esta situacin es que puede producir la inoperatividad del conjunto. Cada centro
de proceso de datos tal vez sea operativo trabajando independientemente, pero no
ser posible la interconexin e intercomunicacin de todos los centros de proceso
de datos si no existen productos comunes y compatibles. Los Controles Tcnicos
Especficos, de modo menos acusado, son igualmente necesarios para lograr la
Operatividad de los Sistemas. Un ejemplo de lo que se puede encontrar mal son
parmetros de asignacin automtica de espacio en disco (*) que dificulten o
impidan su utilizacin posterior por una Seccin distinta de la que lo gener.
Tambin, los periodos de retencin de ficheros comunes a varias Aplicaciones
pueden estar definidos con distintos plazos en cada una de ellas, de modo que la
prdida de informacin es un hecho que podr producirse con facilidad,
quedando inoperativa la explotacin de alguna de las Aplicaciones mencionadas.
(*) Parmetros de asignacin automtica de espacio en disco: Todas
las aplicaciones que se desarrollan son super-parametrizadas, es decir, que tienen
un montn de parmetros que permiten configurar cual va a ser el
comportamiento del sistema. Una Aplicacin va a usar para fin y tal cosa posee
cierta cantidad de espacio en disco. Si uno no analiz cual es la operatoria y el
tiempo que le va a llevar ocupar el espacio asignado, y se pone un valor muy chico,
puede ocurrir que un da la Aplicacin reviente, se caiga. Si esto sucede en medio
de la operatoria y la aplicacin se cae, el volver a levantarla, con la nueva
asignacin de espacio, si hay que hacer reconversiones o lo que sea, puede llegar a
demandar muchsimo tiempo, lo que significa un riesgo enorme.
a) Control de Entrada de Datos
Se analizar la captura de la informacin en soporte compatible con los sistemas,
el cumplimiento de plazos y calendarios de tratamientos y entrega de datos; la
correcta transmisin de datos entre entornos diferentes. Se verificar que los
controles de integridad y calidad de datos se realizan de acuerdo a Norma.
b) Planificacin y Recepcin de Aplicaciones.
Se auditarn las normas de entrega de Aplicaciones por parte de Desarrollo,
verificando su cumplimiento y su calidad de interlocutor nico. Debern
realizarse muestreos selectivos de la documentacin de las aplicaciones
explotadas. Se inquirir sobre la anticipacin de contactos con desarrollo para la
planificacin a medio y largo plazo.
c) Centro de Control y Seguimiento de Trabajos.
Se analizar cmo se prepara, se lanza y se sigue la produccin diaria.
Bsicamente, la explotacin Informtica ejecuta procesos por cadenas o lotes
sucesivos "Batch (*)", o en tiempo real "Tiempo Real (*)". Mientras que las
Aplicaciones de Teleproceso estn permanentemente activas y la funcin de
Explotacin se limita a vigilar y recuperar incidencias, el trabajo Batch absorbe
una buena parte de los efectivos de explotacin. En muchos centros de proceso de
datos, ste rgano recibe el nombre de Centro de Control de Batch. Este grupo
determina el xito de la explotacin, en cuanto que es uno de los factores ms
importantes en el mantenimiento de la produccin.
(*) Batch y Tiempo Real: Las aplicaciones que son Batch son aplicaciones que
cargan mucha informacin durante el da y durante la noche se corre un proceso
enorme que lo que hace es relacionar toda la informacin, calcular cosas y obtener
como salida, por ejemplo, reportes. Es decir, recolecta informacin durante el da,

pero todava no procesa nada. Es solamente un tema de "Data Entry" que

recolecta informacin, corre el proceso Batch (por lotes), y calcula todo lo
necesario para arrancar al da siguiente. Por el contrario las aplicaciones que son
Tiempo Real u Online, son las que, luego de haber ingresado la informacin
correspondiente, inmediatamente procesan y devuelven un resultado. Son
Sistemas que tienen que responder en Tiempo Real.
2.

AuditorIa Informtica de Desarrollo de Proyectos o Aplicaciones.

La funcin de desarrollo es una evolucin del llamado anlisis y programacin de

sistemas y aplicaciones. A su vez, engloba muchas reas, tantas como sectores tiene la
empresa. Muy concisamente, una Aplicacin recorre las siguientes fases:

Animaciones (Periquitos, Adornos), del Usuario (nico o plural) y del entorno.

Anlisis funcional.
Diseo.
Anlisis orgnico (Pre-programacin y Programacin).
Pruebas.
Entrega a Explotacin y alta para el Proceso.

Estas fases deben estar sometidas a un exigente control interno, caso contrario, adems
del disparo de los costes, podr producirse la insatisfaccin del usuario. Finalmente, la
auditoria deber comprobar la seguridad de los programas en el sentido de garantizar
que los ejecutados por la maquina sean exactamente los previstos y no otros.
Una auditoria de Aplicaciones pasa indefectiblemente por la observacin y el anlisis de
cuatro consideraciones:
1.

Revisin de las metodologas utilizadas: Se analizaran stas, de modo

que se asegure la modularidad de las posibles futuras ampliaciones de la
Aplicacin y el fcil mantenimiento de las mismas.
2.
Control interno de las aplicaciones: se debern revisar las mismas fases
que presuntamente han debido seguir el rea correspondiente de Desarrollo:
3.
Estudio de Vialidad de la
Aplicacin.
Definicin Lgica de la Aplicacin.

Diseo de Programas.

Desarrollo Tcnico de la Aplicacin.

Documentacin.

Mtodos de Pruebas.

Equipo de Programacin
1.

Satisfaccin de usuarios: Una Aplicacin tcnicamente eficiente y bien

desarrollada, deber considerarse fracasada si no sirve a los intereses del usuario
que la solicit. La aquiescencia del usuario proporciona grandes ventajas
posteriores, ya que evitar reprogramaciones y disminuir el mantenimiento de la
Aplicacin.
2.
Control de procesos y ejecuciones de programas crticos: El auditor
no debe descartar la posibilidad de que se est ejecutando un mdulo que no se
corresponde con el programa fuente que desarroll, codific y prob el rea de
Desarrollo de Aplicaciones.

1.

AuditorIa Informtica de Sistemas.

Se ocupa de analizar la actividad que se conoce como tcnica de sistemas en todas sus
facetas. Hoy, la importancia creciente de las telecomunicaciones ha propiciado que las
comunicaciones, lneas y redes de las instalaciones informticas, se auditen por
separado, aunque formen parte del entorno general de Sistemas.
Sistemas Operativos
Engloba los subsistemas de teleproceso, entrada/salida, etc. Debe verificarse en primer
lugar que los sistemas estn actualizados con las ltimas versiones del fabricante,
indagando las causas de las omisiones si las hubiera. El anlisis de las versiones de los
sistemas operativos permite descubrir las posibles incompatibilidades entre otros
productos de software bsico adquiridos por la instalacin y determinadas versiones de
aquellas. Deben revisarse los parmetros variables de las libreras ms importantes de
los sistemas, por si difieren de los valores habituales aconsejados por el constructor.
Software Bsico
Es fundamental para el auditor conocer los productos de software bsico que han sido
facturados aparte de la propia computadora. Esto, por razones econmicas y por
razones de comprobacin de que la computadora podra funcionar sin el producto
adquirido por el cliente. En cuanto al software desarrollado por el personal informtico
de la empresa, el auditor debe verificar que ste no agreda ni condiciona al sistema.
Igualmente, debe considerar el esfuerzo realizado en trminos de costes, por si hubiera
alternativas ms econmicas.
Software de Teleproceso (Tiempo Real)
No se incluye en software bsico por su especialidad e importancia. Las consideraciones
anteriores son vlidas para ste tambin.
Tunning
Es el conjunto de tcnicas de observacin y de medidas encaminadas a la evaluacin del
comportamiento de los subsistemas y del sistema en su conjunto. Las acciones de
tunning deben diferenciarse de los controles habituales que realiza el personal de
tcnica de sistemas. El tunning posee una naturaleza ms revisora, establecindose
previamente planes y programas de actuacin segn los sntomas observados. Se
pueden realizar:

Cuando existe sospecha de deterioro del comportamiento parcial o general del

Sistema.
De modo sistemtico y peridico, por ejemplo cada 6 meses. En este caso sus
acciones son repetitivas y estn planificados y organizados de antemano.

El auditor deber conocer el nmero de Tunning realizados en el ltimo ao, as como

sus resultados. Deber analizar los modelos de carga utilizados y los niveles e ndices de
confianza de las observaciones.
Optimizacin de los Sistemas y Subsistemas
Tcnica de sistemas debe realizar acciones permanentes de optimizacin como
consecuencia de la realizacin de tunnings preprogramados o especficos. El auditor
verificar que las acciones de optimizacin* fueron efectivas y no comprometieron la
operatividad de los Sistemas ni el plan crtico de produccin diaria de explotacin.

(*) Optimizacin, Por ejemplo: cuando se instala una aplicacin, normalmente est
vaca, no tiene nada cargado adentro. Lo que puede suceder es que, a medida que se va
cargando, la aplicacin se va poniendo cada vez ms lenta; porque todas las referencias
a tablas es cada vez ms grande, la informacin que est moviendo es cada vez mayor,
entonces la aplicacin se tiende a poner lenta. Lo que se tiene que hacer es un anlisis
de performance, para luego optimizarla, mejorar el rendimiento de dicha aplicacin.
Administracin de Base de Datos
El diseo de las Bases de Datos, sean relaciones o jerrquicas, se ha convertido en una
actividad muy compleja y sofisticada, por lo general desarrollada en el mbito de
tcnica de sistemas, y de acuerdo con las reas de desarrollo y usuarios de la empresa.
Al conocer el diseo y arquitectura de stas por parte de sistemas, se les encomienda
tambin su administracin. Los auditores de sistemas han observado algunas
disfunciones derivadas de la relativamente escasa experiencia que tcnica de sistemas
tiene sobre la problemtica general de los usuarios de bases de datos.
La administracin tendra que estar a cargo de explotacin. El auditor de base de datos
debera asegurarse que explotacin conoce suficientemente las que son accedidas por
los procedimientos que ella ejecuta. Analizar los sistemas de salvaguarda existentes,
que competen igualmente a explotacin. Revisar finalmente la integridad y
consistencia de los datos, as como la ausencia de redundancias entre ellos.
Investigacin y Desarrollo
Como empresas que utilizan y necesitan de informticas desarrolladas, saben que sus
propios efectivos estn desarrollando aplicaciones y utilidades que, concebidas
inicialmente para su uso interno, pueden ser susceptibles de adquisicin por otras
empresas, haciendo competencia a las compaas del ramo.
La auditoria informtica deber cuidar de que la actividad de investigacin y desarrollo
no interfiera ni dificulte las tareas fundamentales internas. La propia existencia de
aplicativos para la obtencin de estadsticasdesarrollados por los tcnicos de sistemas
de la empresa auditada, y su calidad, proporcionan al auditor experto una visin
bastante exacta de la eficiencia y estado de desarrollo de los sistemas.
1.

Auditoria Informtica de Comunicaciones y Redes.

Para el informtico y para el auditor informtico, el entramado conceptual que
constituyen las redes nodales, lneas, concentradores, multiplexores, redes
locales, etctera. No son sino el soporte fsico-lgico del tiempo real. El auditor
tropieza con la dificultad tcnica del entorno, pues ha de analizar situaciones y
hechos alejados entre s, y est condicionado a la participacin del monopolio
telefnico que presta el soporte.
Como en otros casos, la auditoria de este sector requiere un equipo de
especialistas, expertos simultneamente en comunicaciones y en redes locales (no
hay que olvidarse que en entornos geogrficos reducidos, algunas empresas optan
por el uso interno de redes locales, diseadas y cableadas con recursos propios).
El auditor de comunicaciones deber inquirir sobre los ndices de utilizacin de
las lneas contratadas con informacin abundante sobre tiempos de desuso.
Deber proveerse de la topologa de la red de comunicaciones, actualizada, ya que
la des-actualizacin de esta documentacin significara una grave debilidad.

La inexistencia de datos sobre la cuantas lneas existen, cmo son y donde estn
instaladas, supondra que se bordea la Inoperatividad Informtica. Sin embargo,
las debilidades ms frecuentes o importantes se encuentran en las disfunciones
organizativas. La contratacin e instalacin de lneas va asociada a la instalacin
de los puestos de trabajo correspondientes (Pantallas, Servidores de Redes
Locales, Computadoras con tarjetas de Comunicaciones, impresoras, etc.), todas
estas actividades deben estar muy coordinadas y a ser posible, dependientes de
una sola organizacin.
2.

Auditora de la Seguridad informtica.

La computadora es un instrumento que estructura gran cantidad de informacin, la

cual puede ser confidencial para individuos, empresas o instituciones, y puede ser mal
utilizada o divulgada a personas que hagan mal uso de esta. Tambin pueden ocurrir
robos, fraudes o sabotajes que provoquen la destruccin total o parcial de la actividad
computacional. Esta informacin puede ser de suma importancia, y el no tenerla en el
momento preciso puede provocar retrasos sumamente costosos.
En la actualidad y principalmente en las computadoras personales, se ha dado otro
factor que hay que considerar: el llamado "virus" de las computadoras, el cual, aunque
tiene diferentes intenciones, se encuentra principalmente para paquetes que son
copiados sin autorizacin ("piratas") y borra toda la informacin que se tiene en un
disco.
Al auditar los sistemas se debe tener cuidado que no se tengan copias "piratas" o bien
que, al conectarnos en red con otras computadoras, no exista la posibilidad de
transmisin del virus. El uso inadecuado de la computadora comienza desde la
utilizacin de tiempo de mquina para usos ajenos de la organizacin, la copia de
programas para fines de comercializacin sin reportar los derechos de autor hasta el
acceso por va telefnica a bases de datos a fin de modificar la informacin con
propsitos fraudulentos.
La seguridad en la informtica abarca los conceptos de seguridad fsica y seguridad
lgica. La seguridad fsica se refiere a la proteccin del Hardware y de los soportes de
datos, as como a la de los edificios e instalaciones que los albergan. Contempla las
situaciones de incendios, sabotajes, robos, catstrofes naturales, etctera. La seguridad
lgica se refiere a la seguridad de uso del software, a la proteccin de los datos,
procesos y programas, as como la del ordenado y autorizado acceso de los usuarios a la
informacin.
" Ejemplo: Existe una Aplicacin de Seguridad que se llama SEOS,
para Unix, que lo que hace es auditar el nivel de Seguridad en todos los
servidores, como ser: accesos a archivos, accesos a directorios, que
usuario lo hizo, si tena o no tena permiso, si no tena permiso porque
fall, entrada de usuarios a cada uno de los servidores, fecha y hora,
accesos con password equivocada, cambios de password, etc. La
Aplicacin lo puede graficar, tirar en nmeros, puede hacer reportes,
etc."
Con el incremento de agresiones a instalaciones informticas en los ltimos aos, se
han ido originando acciones para mejorar la Seguridad Informtica a nivel fsico. Los
accesos y conexiones indebidos a travs de las Redes de Comunicaciones, han acelerado
el desarrollo de productos de Seguridad lgica y la utilizacin de sofisticados medios
criptogrficos.

El sistema integral de seguridad debe comprender:

Elementos administrativos

Definicin de una poltica de seguridad

Organizacin y divisin de responsabilidades

Seguridad fsica y contra catstrofes (incendio, terremotos, etc.)
Prcticas de seguridad del personal
Elementos tcnicos y procedimientos
Sistemas de seguridad (de equipos y de sistemas, incluyendo todos los
elementos, tanto redes como terminales.
Aplicacin de los sistemas de seguridad, incluyendo datos y archivos
El papel de los auditores, tanto internos como externos
Planeacin de programas de desastre y su prueba.
1.

ESTUDIO INICIAL.

Para realizar dicho estudio ha de examinarse las funciones y actividades generales de la

informtica. Para su realizacin el auditor debe conocer lo siguiente:
Organizacin.
Para el equipo auditor, el conocimiento de quin ordena, quin disea y quin ejecuta
es fundamental. Para realizar esto en auditor deber fijarse en:

o
o

1.

Organigrama
Departamentos
Relaciones Jerrquicas y funcionales entre rganos de la Organizacin
Flujos de Informacin:
Nmero de Puestos de trabajo
Nmero de personas por Puesto de Trabajo
Entorno Operacional.

El equipo de auditoria informtica debe poseer una adecuada referencia del entorno en
el que va a desenvolverse. Este conocimiento previo se logra determinando,
fundamentalmente, los siguientes extremos:
a.

Situacin geogrfica de los Sistemas:

Se determinar la ubicacin geogrfica de los distintos Centros de Proceso de
Datos en la empresa. A continuacin, se verificar la existencia de responsables en
cada unos de ellos, as como el uso de los mismos estndares de trabajo.
b) Arquitectura y configuracin de Hardware y Software:
Cuando existen varios equipos, es fundamental la configuracin elegida para cada
uno de ellos, ya que los mismos deben constituir un sistema compatible e
intercomunicado. La configuracin de los sistemas esta muy ligada a las polticas
de seguridad lgica de las compaas.
Los auditores, en su estudio inicial, deben tener en su poder la distribucin e
interconexin de los equipos.

c.

Inventario de Hardware y Software:

El auditor recabar informacin escrita, en donde figuren todos los

elementos fsicos y lgicos de la instalacin. En cuanto a Hardware
figurarn las CPUs, unidades de control local y remotas, perifricos de
todo tipo, etc. El inventario de software debe contener todos los
productos lgicos del Sistema, desde el software bsico hasta los
programas de utilidad adquiridos o desarrollados internamente. Suele
ser habitual clasificarlos en facturables y no facturables.
d) Comunicacin y Redes de Comunicacin:
En el estudio inicial los auditores dispondrn del nmero, situacin y
caractersticas principales de las lneas, as como de los accesos a la red
pblica de comunicaciones. Igualmente, poseern informacin de las
Redes Locales de la Empresa.
1.

Aplicaciones bases de datos y ficheros.

El estudio inicial que han de realizar los auditores se cierra y culmina con una idea
general de los procesos informticos realizados en la empresa auditada. Para ello
debern conocer lo siguiente:
a.

Volumen, antigedad y complejidad de las Aplicaciones, debern

revisar las aplicaciones segn complejidad, tamao y antigedad esto para tomar
las medidas necesarias de seguridad y control de la aplicacin, de esta manera la
documentacin de la misma nos permitira administrar eficientemente la
seguridad de la misma.
b.
Metodologa del Diseo, se clasificar globalmente la existencia total o
parcial de metodologa en el desarrollo de las aplicaciones. Si se han utilizados
varias a lo largo del tiempo se pondr de manifiesto.
c.
Documentacin, la existencia de una adecuada documentacin de las
aplicaciones proporciona beneficios tangibles e inmediatos muy importantes. La
documentacin de programas disminuye gravemente el mantenimiento de los
mismos.
d.
Cantidad y complejidad de Bases de Datos y Ficheros, el auditor
recabar informacin de tamao y caractersticas de las Bases de Datos,
clasificndolas en relacin y jerarquas. Hallar un promedio de nmero de
accesos a ellas por hora o das. Esta operacin se repetir con los ficheros, as
como la frecuencia de actualizaciones de los mismos. Estos datos proporcionan
una visin aceptable de las caractersticas de la carga informtica.
1.

CRMR (Computer resource management review).

Definicin de la metodologa CRMR.

CRMR son las siglas de <<Computer resource management review>>; su traduccin
ms adecuada, Evaluacin de la gestin de recursos informticos. En cualquier caso,
esta terminologa quiere destacar la posibilidad de realizar una evaluacin de eficiencia
de utilizacin de los recursos por medio del management.
Una revisin de esta naturaleza no tiene en s misma el grado de profundidad de una
auditoria informtica global, pero proporciona soluciones ms rpidas a problemas
concretos y notorios.
Estrategia y logstica del ciclo de Seguridad

Constituye la FASE 1 del ciclo de seguridad y se desarrolla en las actividades 1, 2 y 3:

Fase 1. Estrategia y logstica del ciclo de seguridad
1.
2.
3.

Designacin del equipo auditor.

Asignacin de interlocutores, validadores y decisores del cliente.
Complementacin de un formulario general por parte del cliente, para la
realizacin del estudio inicial.

Con las razones por las cuales va a ser realizada la auditoria (Fase 0), el equipo auditor
disea el proyecto de Ciclo de Seguridad con arreglo a una estrategia definida en
funcin del volumen y complejidad del trabajo a realizar, que constituye la Fase 1 del
punto anterior.
Para desarrollar la estrategia, el equipo auditor necesita recursos materiales y
humanos. La adecuacin de estos se realiza mediante un desarrollo logstico, en el que
los mismos deben ser determinados con exactitud. La cantidad, calidad, coordinacin y
distribucin de los mencionados recursos, determina a su vez la eficiencia y la
economa del Proyecto. Los planes del equipo auditor se desarrollan de la siguiente
manera:
1.

Eligiendo el responsable de la auditoria su propio equipo de trabajo. Este ha de

ser heterogneo en cuanto a especialidad, pero compacto.
2.
Recabando de la empresa auditada los nombres de las personas de la misma que
han de relacionarse con los auditores, para las peticiones de informacin,
coordinacin de entrevistas, etc.
3.
Mediante un estudio inicial, del cual forma parte el anlisis de un formulario
exhaustivo, tambin inicial, que los auditores entregan al cliente para su
complementacin.
Segn los planes marcados, el equipo auditor, cumplidos los requisitos 1, 2 y 3,
estar en disposicin de comenzar la "tarea de campo", la operativa auditora del
Ciclo de Seguridad.
Ponderacin de los Sectores Auditados
Este constituye la Fase 2 del Proyecto y engloba las siguientes actividades;
Ponderacin de sectores del ciclo de seguridad.
4.

Asignacin de pesos tcnicos. Se entienden por tales las ponderaciones que el

equipo auditor hace de los segmentos y secciones, en funcin de su importancia.
5.
Asignacin de pesos polticos. Son las mismas ponderaciones anteriores, pero
evaluadas por el cliente.
6.
Asignacin de pesos finales a los Segmentos y Secciones. El peso final es el
promedio del peso tcnico y del peso poltico. La Subsecciones se calculan pero no
se ponderan.
Se pondera la importancia relativa de la seguridad en los diversos sectores de la
organizacin informtica auditada.
Supuestos de aplicacin.
En funcin de la definicin dada, la metodologa abreviada CRMR es aplicable ms a
deficiencias organizativas y gerenciales que a problemas de tipo tcnico, pero no cubre
cualquier rea de un Centro de Procesos de Datos. El mtodo CRMR puede aplicarse
cuando se producen algunas de las situaciones que se citan:

Se detecta una mala respuesta a las peticiones y necesidades de los usuarios.

Los resultados del Centro de Procesos de Datos no estn a disposicin de los
usuarios en el momento oportuno.
Se genera con alguna frecuencia informacin errnea por fallos de datos o
proceso.
Existen sobrecargas frecuentes de capacidad de proceso.
Existen costes excesivos de proceso en el Centro de Proceso de Datos.

Efectivamente, son stas y no otras las situaciones que el auditor informtico encuentra
con mayor frecuencia. Aunque pueden existir factores tcnicos que causen las
debilidades descritas, hay que convenir en la mayor incidencia de fallos de gestin.
Caso Prctico de una auditoria de Seguridad Informtica <<Ciclo de Seguridad>>
A continuacin, un caso de auditoria de rea general para proporcionar una visin ms
desarrollada y amplia de la funcin auditora. Es una auditoria de Seguridad
Informtica que tiene como misin revisar tanto la seguridad fsica del Centro de
Proceso de Datos en su sentido ms amplio, como la seguridad lgica de datos,
procesos y funciones informticas ms importantes de aqul.
1.

Ciclo de Vida y Seguridad.

El objetivo de esta auditoria de seguridad es revisar la situacin y las cuotas de

eficiencia de la misma en los rganos ms importantes de la estructura informtica.
Para ello, se fijan los supuestos de partida:
El rea auditada es la Seguridad. El rea a auditar se divide en: Segmentos.
Los segmentos se dividen en: Secciones.
Las secciones se dividen en: Subsecciones.
De este modo la auditoria se realizara en 3 niveles.
Los segmentos a auditar, son:

Segmento 1: Seguridad de cumplimiento de normas y estndares.

Segmento 2: Seguridad de Sistema Operativo.
Segmento 3: Seguridad de Software.
Segmento 4: Seguridad de Comunicaciones.
Segmento 5: Seguridad de Base de Datos.
Segmento 6: Seguridad de Proceso.
Segmento 7: Seguridad de Aplicaciones.
Segmento 8: Seguridad Fsica.

Se darn los resultados globales de todos los segmentos y se realizar un tratamiento

exhaustivo del Segmento 8, a nivel de seccin y subseccin. Conceptualmente la
auditoria informtica en general y la de Seguridad en particular, ha de desarrollarse en
seis fases bien diferenciada.
Conclusiones
El auditar, es el proceso de acumular y evaluar evidencia, realizando por una persona
independiente y competente acerca de la informacin cuantificable de una entidad
econmica especifica, con el propsito de determinar e informar sobre el grado de
correspondencia existente entre la informacin cuantificable y los criterios
establecidos.

Su importancia es reconocida desde los tiempos ms remotos, tenindose

conocimientos de su existencia ya en las lejanas pocas de la civilizacin sumeria. El
factor tiempo obliga a cambiar muchas cosas, la industria, el comercio, los servicios
pblicos, entre otros. Al crecer las empresas, la administracin se hace ms complicada,
adoptando mayor importancia la comprobacin y el control interno, debido a una
mayor delegacin de autoridades y responsabilidad de los funcionarios.
Debido a todos los problemas administrativos s han presentado con el avance del
tiempo nuevas dimensiones en el pensamiento administrativo.
Una de estas dimensiones es la auditoria administrativa la cual es un examen detallado
de la administracin de un organismo social, realizado por un profesional (auditor), es
decir, es una nueva herramienta de control y evaluacin considerada como un servicio
profesional para examinar integralmente un organismo social con el propsito de
descubrir oportunidades para mejorar su administracin.
Tomando en consideracin todas las investigaciones realizadas, podemos concluir que
la auditoria es dinmica, la cual debe aplicarse formalmente toda empresa,
independientemente de su magnitud y objetivos; aun en empresas pequeas, en donde
se llega a considerar inoperante, su aplicacin debe ser secuencial constatada para
lograr eficiencia.
La principal conclusin a la que hemos podido llegar, es que toda empresa, pblica o
privada, que posean Sistemas de Informacin medianamente complejos, deben de
someterse a un control estricto de evaluacin de eficacia y eficiencia. Hoy en da, el 90
por ciento de las empresas tienen toda su informacin estructurada en Sistemas
Informticos, de aqu, la vital importancia que los sistemas de informacin funcionen
correctamente. La empresa hoy, debe/precisa informatizarse.
El xito de una empresa depende de la eficiencia de sus sistemas de informacin. Una
empresa puede tener un staff de gente de primera, pero tiene un sistema informtico
propenso a errores, lento, vulnerable e inestable; si no hay un balance entre estas dos
cosas, la empresa nunca saldr a adelante. En cuanto al trabajo de la auditoria en s,
podemos remarcar que se precisa de gran conocimiento de Informtica, seriedad,
capacidad, minuciosidad y responsabilidad; la auditoria de Sistemas debe hacerse por
gente altamente capacitada, una auditoria mal hecha puede acarrear consecuencias
drsticas para la empresa auditada, principalmente econmicas.

Auditoria de Sistemas
Enviado por wilmer_rolando_zurita_lara
Indice
1. Auditora
2. La funcin de la auditora en la organizacin
3. Tipos y clases de auditora
4. Sistemas De Informacin
5. Tendencias que afectan a os sistemas de informacin
6. Base Conceptual
7. Proceso De Implementacin
1. Auditora
Papel Del Auditor Informtico.Si se entiende que la auditoria informtica comprende las tareas de evaluar, analizar los

procesos informticos, el papel de auditor debe estar encaminado hacia la bsqueda de

problemas existentes dentro de los sistemas utilizados, y a la vez proponer soluciones
para estos problemas.
Adems que auditor Informtico debe estar capacitado en los siguientes aspectos:
A.

B.

C.

D.

E.

F.

G.

H.

I.

Deber ver cuando se puede conseguir la mxima eficacia y rentabilidad de los

medios informticos de la empresa auditada, estando obligado a presentar
recomendaciones acerca del reforzamiento del sistema y del estudio de las
soluciones mas idneas, segn los problemas detectados en el sistema
informtico, siempre y cuando las soluciones que se adopten no violen la ley ni los
principios ticos. (Ej. Por que est mal el reporte)
Una vez estudiado el sistema informtico a auditar, el auditor deber establecer
los requisitos mnimos, aconsejables y ptimos para su adecuacin con la
finalidad de que cumpla para lo que fue diseado, determinando en cada clase su
adaptabilidad, su fiabilidad, limitaciones, posibles mejoras, costos.
El auditor deber lgicamente abstenerse de recomendar actuaciones
innecesariamente onerosas, daina, o que genere riesgo in justificativo para el
auditado e igualmente de proponer modificaciones carentes de bases cientficas
insuficientemente probadas o de imprevisible futuro.
El auditor al igual que otros profesionales (Ej. Mdicos, abogados, educadores,
etc.) pueden incidir en la toma de decisiones en la mayora de sus clientes con un
elevado grado de autonoma, dado la dificultad prctica de los mismos, de
constatar su capacidad profesional y en desequilibrio de desconocimientos
tcnicos existente entre al auditor y los auditados (Puede pesar gravemente).
El auditor deber prestar sus servicios de acuerdo a las posibilidades de la
ciencia y a los medios a su alcance con absoluta libertad, respecto a la utilizacin
de dichos medios y en unas condiciones tcnicas adecuadas para el idneo
cumplimiento de su labor. En los casos en que precariedad de los medios puestos
a su disposicin, impidan o dificulten seriamente la realizacin de la auditoria
deber negarse realizar hasta que se le garantice un mnimo de condiciones
tcnicas que no comprometan la calidadde sus servicios o dictmenes.
Cuando durante la ejecucin de la auditoria, el auditor considere conveniente
recabar informe de otros mas calificados, sobre un aspecto o incidencia que
superase su capacidad profesional para analizarlo en idneas condiciones deber
remitir el mismo a un especialista en la materiao recabar su dictamen para
reforzar la calidad y viabilidad global de la auditoria.
El auditor debe actuar con cierto grado de humildad evitando dar la impresin
de estar al corriente de una informacin privilegiada sobre nuevas tecnologas a
fin de actuar en de previsiones rectas y un porcentaje de riesgo debidamente
fundamentado. (Si conocemos alguna tecnologa de primer orden debemos tener
un cierto grado de humildad, que no se salga de la realidad [decir que ya sabemos
esto...].
El auditor tanto en sus relaciones con el auditado como con terceras personas
deber en todo momento, deber actuar conforme a las normas implcitas o
explcitas de dignidad de la profesin y de correccin en el trato personal. (Que en
todo momento, como cuando estamos en el bar, cafetera, o fiesta por que los
auditores tienen la responsabilidad)
El auditor deber facilitar e incrementar la confianza de auditado en base a una
actuacin de transparencia, en su actividad profesional sin alardes cientficotcnico, que, por su incomprensin, pueden restar credibilidad a los resultados
obtenidos y a las directrices aconsejadas.

2. La funcin de la auditora en la organizacin

Concepto De Auditar
Conjunto de procedimientos y tcnicas para evaluar y controlar total o parcialmente un
sistema informtico con el fin de proteger sus activos y recursos, verificar si sus
actividades se desarrollan eficientemente de acuerdo con las normas informticas y
gener5ales existentes en cada empresa y para conseguir la eficacia exigida en el marco
de la organizacin correspondiente.
Al igual que los dems rganos de la empresa los sistemas informticos estn
sometidos a un control. La importancia de llevar un control, se puede deducir de varios
aspectos, as tenemos:
Las computadoras y los centros de procesos de datos se pueden convertir en blancos
apetecibles no solo para el espionaje no para la delincuencia y el terrorismo.
Las computadoras creadas para procesar y difundir resultados pueden en cierto
momento generar resultados o informacin errnea (Virus, tc). (La mquina suele
arrojar resultados errneos cuando es alimentada con datos errneos).
Un sistema informtico mal diseado puede convertirse en una herramienta peligrosa
para la persona, puesto que las mquinas obedecen las rdenes recibidas y la
modelizacin de la empresa est determinada por las computadoras que materializan
los sistemas de informacin, por lo tanto la gestin y la organizacin de la empresa no
pueden depender de un SOFTWARE o un HARDWARE mal diseado.
Auditora Interna Y Auditora Externa
La auditoria es realizada en recursos materiales y personas que perteneces a la empresa
auditada.
Auditora Interna
Existe por expresa decisin de la empresa, es decir que tambin se puede optar por su
disolucin en cualquier momento.
Auditora Externa
Es realizada por personas afines a la empresa se presupone una mayor objetividad que
en la auditoria interna debido Al mayor distanciamiento entre auditor y auditado.
La auditoria informtica tanto interna como externa debe ser una actividad exenta de
cualquier contenido o matiz poltico ajena a la propia estrategia y poltica general de la
empresa.
Areas De La Planificacin De La Auditora
Las empresas acuden a las auditorias cuando existen algunos sntomas bien
perceptibles de debilidad. Estos sntomas pueden agruparse en algunas clases:
Sntomas De Descoordinacin Y Desorganizacin
No coinciden los objetivos de la informtica de la compaa
Los estndares de productividad se desvan sencillamente de los promedios
habituales.
Sntomas De Mala Imagen O Insatisfaccin De Los Usuarios
No se atienden a las peticiones de cambio de los usuarios
No se reparan las averas de HARDWARE ni se resuelven problemas en plazos
razonables
No se cumplen los plazos de entregas de resultados
Sntomas De Debilidades Econmico Financiero
Incremento desmesurado de costos
Necesidad de justificacin de inversiones informticas
Desviaciones presupuestarias significativas

 Costos y plazos nuevos para proyectos

Sntomas De Inseguridad (Evaluacin Del Nivel De Riesgo)

Seguridad lgica
Seguridad fsica
Confidencialidad.- Los datos son de propiedad de la organizacin que nos genera,
los datos de personal son especialmente confidenciales.
Continuidad del servicio. (Establecer las estrategias de continuidad para fallos
mediante planes de configuracin).
Ubicacin Y Organizacin De La Auditora
La ubicacin de los procesos auditores dentro de un rea de sistemas depende del tipo
de auditoria que se desee implementar, As tenemos que en muchas ocasiones la
auditoria depende exclusivamente de la parte directriz o gerencial y en otras ocasiones
de acuerdo a las necesidades de la empresa. La auditoria informtica nace de los niveles
medios bajos de la empresa . (A nivel de organizacin la ubicacin es medio bajo,
medios bajos son los Usuarios, con una serie de quejas obligan a hacer auditoria)
3. Tipos y clases de auditora
Auditoria Informtica De Explotacin
La explotacin informtica se ocupa de producir resultados, tales como listados,
archivos soportados magnticamente, ordenes automatizadas, modificacin de
procesos, etc. Para realizar la explotacin informtica se dispone de datos, las cuales
sufren una transformacin y se someten a controles de integridad y calidad.
(Integridad nos sirve a nosotros; la calidad es que sirven los datos, pero pueden que no
sirvan; estos dos juntos realizan una informacin buena)
Auditoria Informtica De Desarrollo De Proyectos O Aplicaciones
La funcin de desarrollo es una evaluacin del llamado Anlisis de programacin y
sistemas. As por ejemplo una aplicacin podra tener las siguientes fases
Prerrequisitos del usuario y del entorno
Anlisis funcional
Diseo
Anlisis orgnico (preprogramacin y programacin)
Pruebas
Explotacin
Todas estas fases deben estar sometidas a un exigente control interno, de lo contrario,
pueden producirse insatisfaccin del cliente, insatisfaccin del usuario, altos costos,
etc. Por lo tanto la auditoria deber comprobar la seguridad de los programas, en el
sentido de garantizar que el servicio ejecutado por la mquina, los resultados sean
exactamente los previstos y no otros (El nivel organizativo es medio por los usuarios, se
da cuenta el administrador Ejm. La contabilidad debe estar cuadrada)
Auditoria Informtica De Sistemas
Se ocupa de analizar la actividad que se conoce como tcnica de sistemas, en todos sus
factores. La importancia creciente de las telecomunicaciones o propicia de que las
comunicaciones, lneas y redes de las instalaciones informticas se auditen por
separado, aunque formen parte del entorno general del sistema (Ejm. De auditar el
cableado estructurado, ancho de banda de una red LAN)
Auditoria Informtica De Comunicacin Y Redes
Este tipo de auditoria deber inquirir o actuar sobre los ndices de utilizacin de las
lneas contratadas con informacin sobre tiempos de uso y de no uso, deber conocer la

topologa de la red de comunicaciones, ya sea la actual o la desactualizada. Deber

conocer cuantas lneas existen, como son, donde estn instaladas, y sobre ellas hacer
una suposicin de inoperatividad informtica. Todas estas actividades deben estar
coordinadas y dependientes de una sola organizacin (Debemos conocer los tipos de
mapas actuales y anteriores, como son las lneas, el ancho de banda, suponer que todas
las lneas estn mal, la suposicin mala confirmarlo).
Auditoria De La Seguridad Informtica
Se debe tener presente la cantidad de informacin almacenada en el computador, la
cual en muchos casos puede ser confidencial, ya sea para los individuos, las empresas o
las instituciones, lo que significa que se debe cuidar del mal uso de esta informacin, de
los robos, los fraudes, sabotajes y sobre todo de la destruccin parcial o total. En la
actualidad se debe tambin cuidar la informacin de los virus informticos, los cuales
permanecen ocultos y daan sistemticamente los datos.
4. Sistemas De Informacin
Los Sistemas De Informacin Y Su Alcance
Se entiende por un sistema de informacin al conjunto de normas, procedimientos y
dems parmetros que forman la informacin general de una empresa o institucin.
En un sistema de informacin se pueden visualizar algunos componentes tales como:
El nombre del sistema,
Nombre de macros del sistema
Software base
Lenguajes de programacin
Paquetes,
Unidades o departamentos que utilizan la informacin,
Volmenes de archivos que se utilizan diariamente (Semanal, mensual,

o
o
o
o
o
o
o

etc.)
o
o
o
o
o

Requerimientos mnimos de los equipos (En muchos de los casos s es

un software)
Fechas crticas
Ingreso de informacin
Flujo de informacin
Egresos de informacin

5. Tendencias que afectan a os sistemas de informacin

Al considerar un Sistema de Informacin como un conjunto de normas y procesos
generales de una determinada, se deben considerar algunos puntos negativos y
positivos que afectan directamente al sistema as por ejemplo:
a.

Actualizaciones: Se refiere a que los sistemas de informacin de cualquier

empresa, debe ser revisado peridicamente; no con una frecuencia continua, si no
mas bien espaciada, se recomienda las revisiones bi anuales (No se recomienda
que se actualice en una empresa paulatinamente, por ejemplo el software, cuadros
estadsticos, es recomendable dentro de un ao cambiarlo, todo lo que es
mquinas y software; por que si no realizaramos esto, se cambiara toda la
estructura organizacional de la misma).
b.
Reestructuracin Organizacional (Puede ser una reestructuracin con los
mismos puestos)
Una reestructuracin organizacional con cualquier empresa, implica cambios
siempre en vista a buscar un mejor funcionamiento, evitar la burocracia, agilitar

trmites o procesos, la reestructuracin puede ser de varios tipos, as por ejemplo.

Aumentar o disminuir departamentos, puestos, reestructuracin de objetivos, etc.
Siempre la reestructuracin afecta a los sistemas de informacin de la empresa.
c.
Revisin y Valorizacin del escalafn (No es para bien si no tambin para mal)
La revisin y la revalorizacin del escalafn se espera que afecte a favor de los
sistemas de informacin de las empresas, si el efecto es contrario el auditor
informtico deber emitir un informe del empleado a los empleados
(Especficamente de departamentos), que estn boicoteando la informacin de la
empresa.
d.
Cambios en el flujo de Informacin (Datos para el sistema de Informacin)
Se refiere al cambio de flujo de datos exclusivamente en el rea informtica, esto
afecta directamente en sistema informtico y por tanto al sistema de informacin.
En lo que respecta a la Auditora informtica, el efecto puede ser positivo y
negativo, dependiendo a los resultados obtenidos en cuanto al proceso de datos
(menos seguridad, mas seguridad, backup). As por ejemplo:
Se ha cambiado el flujo de informacin en el rea contable, para generar los roles
mensuales (De inicio del rol era realizado por la secretaria, la cual ingresaba las
existencias, fallas, atrasos, etc.; determinando un monto a descontar. Un monto
bruto y un salario final, esto pasaba a la contadora para que justifique
especialmente multas, se rectificaba en algunos casos, y se mandaba a imprimir el
rol. Se considera un nuevo flujo de informacin, en el cual se ingresan los datos a
un sistema informtico, y de acuerdo a los parmetros y normas de la empresa el
sistema arroja un sueldo lquido a cobrarse, genera automticamente el reporte,
los cheques y el contador solo aprueba este reporte).
(Un ejemplo es cuando existe migracin de datos, la informacin migra o se cambia a
otro sistema ms sofisticado )
6. Base Conceptual
En base al sistema de informacin el auditor informtico realizar su estudio y anlisis
siguiendo cualquier metodologa de trabajo, pero sin desviarse de la base conceptual
del sistema de informacin de la empresa auditada.
Si por cualquier circunstancia el auditor informtico percibe y por lo menos tiene la
idea de que tom parmetros de que no estn presentes en el sistema de informacin
necesariamente deber volver a empezar (Por ejemplo en el rea de redes abarca
muchas otras facetas que un auditor no podra conocerlas por lo que se necesita ayuda
externa para realizar una buena Auditora)
Conceptualmente los Sistemas de Informacin, tienen sus base en algunos aspectos de
importancia dentro de cualquier empresa: As por ejemplo:
a.

Aspectos econmicos
Se deben considerar los recursos de la empresa, las crisis, el control, etc.
b.
Aspectos tecnolgicos
Se refiere al equipo fsico dentro de la empresa, se debe considerar el incremento,
los cambios, ya sea de software o hardware
c.
Aspectos sociales
Se refiere a mejoras orientadas hacia los empleados de la empresa, as por
ejemplo, cursos, capacitacin, etc.
d.
Aspecto poltico legal
Se refiere a las normas y leyes vigentes para las empresas, tanto internas como
externas, se debe cuidar, el aspecto legal, especialmente en el Software

e.

Aspecto Administrativo
Se refiere a la relacin a nivel de gerencias, mayor confianza en la tona de
posiciones, decisiones o fortunas, siempre a favor de las empresas

Simbologa En Los Sistemas De Informacin

Todo sistema de informacin puede ser representado mediante diagramas, mediante
los cuales depende de la complejidad de cada empresa, un ejemplo sencillo puede ser:
7. Proceso De Implementacin
Para implementar un sistema de informacin se puede seguir varios pasos, o
metodologas o inclusive se lo puede hacer empricamente. E n la implementacin se
considera siempre la implementacin del software (es decir dentro de la
implementacin del sistema de informacin siempre deber implementar el software a
utilizarse esta empresa).
As por ejemplo se podran seguir los siguientes pasos:
a.- Recopilacin y anlisis de datos
b.- Seleccin de datos idneos a ingresarse o utilizarse
c.- Ingreso y manipulacin de datos
d.- Procesamiento
e.- Anlisis de resultados
Seguridad De Los Sistema Informticos
Para realizar o evaluar la seguridad en los sistemas, es importante conocer como:
desarrollar, ejecutar e implantar un sistema de seguridad.
Desarrollar un sistema de seguridad significa planear, organizar, coordinar, dirigir y
controlar actividades relacionadas para garantizar la integridad fsica de los recursos
implicados en el departamento informtico, as como el resguardo de los activos de la
empresa.
Un sistema integral de seguridad debe contemplar los siguientes aspectos:

Definir elementos administrativos

Definir polticos de seguridad
Definir elementos a nivel departamental
Definir elementos a nivel institucional
Organizar y dividir las responsabilidades
Prever desastres naturales y causas de descuido del personal de mantenimiento
equipo cableado, etc.

Adems se debe considerar algunos aspectos extras as por ejemplo:

Motivacin.-En la cual es conveniente desarrollar mtodos de participacin
reflexionando lo que significa la seguridad y el riesgo, el impacto a nivel empresarial,
las responsabilidades individuales, etc.
Capacitacin general.- Se debe empezar con los ejecutivos de la empresa a fin que
conozca la relacin entre riesgo, seguridad y la informacin y su impacto en la empresa.
El objetivo debe ser detectar las debilidades y potencialidades de la organizacin frente
al riesgo, en este proceso debe incluir la implantacin y la ejecucin de planes de
contingencia y la simulacin de posibles delitos.
Capacitacin de tcnicos.- Es importante formar tcnicos encargados de mantener la
seguridad como parte fundamental de su trabajo y que este capacitado para capacitar a
otras personas, en lo que es la ejecucin de medidas preventivas y correctivas.
Beneficios de un sistema de seguridad.- Los beneficios de seguridad son inmediatos ya

que la organizacin trabajar sobre una plataforma confiable que se puede reflejar los
siguientes aspectos:

Aumento de la motivacin de personal

Compromiso de la misin y visin
Aumento de la productividad
Mejora de las relaciones laborales
Mejora en los equipos de la institucin

Estrategias de proteccin
Toda empresa dentro de su plan anual de actividades debe contemplar un plan
estratgico de proteccin o plan de contingencia sobre su sistema informatico,
entendiendose a dicho plan como un conjunto de pasos que se realizan con el propsito
de salvaguardar los recursos de la empresa, tanto fsico como a nivel lgico.
Se puede mencionar algunos puntos importantes que debe contemplar el plan de
contingencia, as por ejemplo:

Actividades antes de un desastre

Actividades durante el desastre
Actividades despus del desastre

Actividades antes de un desastre

Planificacin de un plan de contingencia (debe contener aspectos relacionados a

la prevencin de un desastre de cualquier tipo, as por ejemplo sacar respaldos,
lugares de evacuacin, buscar sitios seguros, prevencin contra cortes elctricos,
asignar responsabilidades.

Simulacros de desastre, se refiere a simular en cada computadora un buen anti

virus (actualizable que cubra la mayor cantidad de virus conocidos, que detecte
limpie y vacune, que posea un manual de procedimiento, versatilidad residente en
memoria).

Preparar personal calificado de las distintas reas de seguridad

o
Area informatica se refiere a designar 1 o 2 personas para realizar
respaldos diarios de la informacin una o dos personas diferentes para enviar los
resultados a sitios seguros.
Area social se refiere a preparar personal que este capacitado para socorrer a loa
compaeros en caso de desastre ( debe tener especial cuidado en las personas de la
tercera edad).
Este personal tambin deber capacitarse en el uso de dispositivos o elementos fsicos
para casos de emergencia (as por ejemplo uso de alarmas contra fuego, uso de bombas
de agua , uso de switch de seguridad).
Actividades despus del desastre
o
o
o

Seguir el plan de contingencia

Sujetarse a las disposiciones dadas por elpersonal calificado para
desastres
Tratar de rescatar la mayor cantidad de informacin posible en el acto

Actividades despus del desastre

o

Verificar la calidad e integridad de la informacin existente (hacer las

pruebas sobre los programas que antes del desastre funcionaban correctamente).

Verificar la calidad e integridad de la informacin de respaldo

Verificar la parte fsica o hadware
En lo posible volver al estado original de la informacin antes del

o
o
o

desastre
Tipos y clases de auditorias
Para cada uno delos tipos de auditoria se pueden especificar reas especificas en las
culaes siempre se debe realizar una auditoria informatica, as tenemos: rea interna,
rea de direccin, rea de nivel de usuario y rea de seguridad.
rea interna cuando se realiza cualquier tipo de auditoria en el rea interna se debe
tener presente que solamente se debe auditar al departamento o rea en mencin sin
fijarse en sus correlaciones con otros departamentos.
Area de direccin Se refiere a realizar la auditoria en cualquier tipo a nivel gerencial o
de direccin ya sea el departamento o de los departamentos con sus respectivos Inter.relaciones.
Area de usuario Se refiere a realizar la auditoria a nivel de usuario con todas las
Inter.-relaciones que el usuario tenga dentro del departamento o fuera con otros
departamentos.
Area de seguridad Cualquiera sea el tipo de auditoria que esta realizando siempre
debe fijarse en el rea de seguridad la cual constituye pilar fundamental para aprobar o
reprobar una auditoria.