TIPOS DE AUDITORIA DE SISTEMAS Dentro de las áreas generales, Seguridad del entorno global de la informática, mientras en otros es posible establecer las casos puede auditarse una siguientes divisiones: aplicación concreta, en donde Auditoria Informática de será necesario analizar la Explotación seguridad de la misma. Cada Auditoria Informática de Área específica puede ser Sistemas auditada con los criterios que Auditoria Informática de detallamos: Comunicaciones Desde su propia funcionalidad Auditoria Informática de interna. Desarrollo de Proyectos Con el apoyo que recibe de la Auditoria Informática de Dirección, y en forma Seguridad ascendente, del grado de Debe evaluarse la diferencia cumplimiento de las directrices entre la generalidad y la de que ésta imparte. especificación que posee la Seguridad. Según ella, realizarse Desde la visión de los usuarios, una Auditoria Informática de la destinatarios verdaderos de la
informática. Desde el punto de vista de la seguridad, que ofrece la Informática en general o la rama auditada. Las combinaciones descritas pueden ser ampliadas o reducidas, según las características de la empresa auditada. Las Auditorias más usuales son las referidas a las actividades específicas e internas de la propia actividad informática.
AUDITORIA INFORMATICA DE EXPLOTACION La Explotación Informática se ocupa de producir resultados informáticas de todo tipo: listados impresos, archivos magnéticos para otros informáticos, órdenes automatizadas para lanzar o modificar procesos industriales, etc. Para realizar la Explotación informática se dispone de materia prima los Datos, que es necesario transformar, y que se someten previamente a controles de integridad y calidad. La transformación se realiza por medio del Proceso Informático, el cual está dirigido por programas. Obtenido el producto final, los resultados son sometidos a controles de calidad, y finalmente son distribuidos al cliente, al usuario. En ocasiones, el propio cliente realiza funciones de reelaboración del producto terminado. Para mantener el criterio finalista y utilitario, el concepto de centro productivo ayuda a la elaboración de la Auditoria de la Explotación. Auditar Explotación consiste en auditar las secciones que la componen y sus interrelaciones. Las Básicas son la planificación de la producción y la producción misma de resultados informáticos. El auditor debe tener en cuenta que la organización informática está supeditada a la obtención de resultados en plazo y calidad, siendo subsidiario a corto plazo cualquier otro objetivo. Se quiere insistir nuevamente en que la Operatividad es prioritaria, al igual que el plan crítico diario de producción que debe ser protegido a toda costa. Control de entrada de datos Se analiza la captura de información, plazos y agenda de tratamiento y entrega de datos, corrección en la transmisión de datos entre plataformas, verificación de controles de integridad y
calidad de datos se realizan de recibido. Se analizará cantidad acuerdo a Norma. de montajes diarios y por horas de cintas o cartuchos, así Planificación y Recepción de como los tiempos transcurridos Aplicaciones entre la petición de montaje Se auditarán las normas de por parte del Sistema hasta el entrega de Aplicaciones, montaje real. verificando cumplimiento y calidad de interlocutor único. Centro de Control de Red y Deberán realizarse muestras Centro de Diagnosis selectas de la documentación El Centro de Control de Red de las suele ubicarse en el área de Explotación. Sus funciones se Aplicaciones explotadas. refieren al ámbito de Se analizarán las Librerías que Comunicaciones, estando los contienen en cuanto a su relacionado con la organización y en lo organización de relacionado con la existencia Comunicaciones Software de de Planificadores automáticos Técnica de Sistemas. Debe o semiautomáticos. analizarse la fluidez de esa relación y el grado de Centro de Control y coordinación entre ambos, se Seguimiento de Trabajos verificará la existencia de un Se analizará cómo se prepara, punto focal único, desde el se lanza y se sigue la cual sean perceptibles todas producción diaria de los las líneas asociadas a los procesos Batch, o en tiempo Sistemas. real (Teleproceso). Las El Centro de Diagnosis (Help Aplicaciones de Teleproceso desk) es el ente en donde se están activas y la función de atienden las llamadas de los Explotación se limita a vigilar y usuariosclientes que han recuperar incidencias, el sufrido averías o incidencias, trabajo Batch absorbe buena tanto de software como de parte de los efectivos de hardware. En función del Explotación. Este grupo cometido descrito, y en cuanto determina el éxito de la a software, está relacionado explotación, ya que es el factor con el Centro de Control de más importante en el Red. El Centro de Diagnosis mantenimiento de la indicado para empresas producción. grandes y usuarios dispersos en un amplio territorio, es un Operadores de Centros de elemento que contribuye a Cómputos configurar la imagen de la Es la única profesión Informática de la Empresa. informática con trabajo de Debe ser auditado desde esta noche. Destaca el factor de perspectiva, desde la responsabilidad ante sensibilidad del usuario sobre incidencias y desperfectos. Se el servicio que se le dispensa. analiza las relaciones personales, coherencia de cargos y salarios, la equidad de turnos de trabajos. Se verificará la existencia de un responsable del Centro de Cómputos el grado de automatización de comandos, existencia y grado de uso de Manuales de Operación, existencia de planes de formación, cumplimiento de los mismos y el tiempo transcurrido para cada operador desde el último Curso
¿Cómo distinguir ambos conceptos? La respuesta tiene un carácter económico. El Software básico, o parte de él es abonado por el cliente a la firma constructora, mientras el Sistema Operativo y algunos programas muy básicos, se incorporan a la máquina sin cargo al cliente. Es difícil decidir si una función debe ser incluida en el SO o puede ser omitida. Con independencia del interés teórico que pueda tener la discusión de si una función es o no integrante del SO, para el Vamos a detallar los grupos a auditor es fundamental conocer revisar: los productos de software a) Sistemas Operativos básico que han sido facturados Proporcionados por el aparte. Los conceptos de fabricante junto al equipo. Sistema Operativo y Software Engloba los Subsistemas de Básico tienen fronteras Teleproceso, Entrada/Salida, comunes, la política comercial etc. Los Sistemas deben estar de cada Compañía y sus actualizados con las últimas relaciones con los clientes versiones del fabricante, determinan el precio y los indagando las causas de las productos gratuitos y omisiones si éstas se han facturables. Otra parte producido. El análisis de las importante del Software Básico versiones de los S.O. permite es el desarrollado e descubrir posibles implementado en los Sistemas incompatibilidades entre Informáticos por el personal algunos productos de Software informático de la empresa que adquiridos por la instalación y permiten mejorar la instalación. determinadas versiones. El auditor debe verificar que el Deben revisarse los software no agrede, no parámetros de las Librerías condiciona al Sistema, debe importantes de los Sistemas, considerar el esfuerzo especialmente si difieren de los realizado en términos de valores aconsejados por el costos, por si hubiera constructor. alternativas más económicas. Se ocupa de analizar la actividad propia de lo que se conoce como "Técnica de Sistemas" en todas sus facetas. En la actualidad, la importancia creciente de las telecomunicaciones ha propiciado que las Comunicaciones, Líneas y Redes de las instalaciones informáticas, se auditen por separado, aunque formen parte del entorno general de "Sistemas".
b) Software Básico Conjunto de productos que, sin pertenecer al Sistema Operativo, configuran completamente los Sistemas Informáticos, haciendo posible la reutilización de funciones básicas no incluidas en aquél.
c) Software de Teleproceso Se ha agregado del apartado anterior de Software Básico por su especialidad e importancia. Son válidas las consideraciones anteriores, Nótese la especial
dependencia que el Software del Tiempo Real tiene respecto a la arquitectura de los Sistemas. d) Tunning Es el conjunto de técnicas de observación y de medidas encaminadas a la evaluación del comportamiento de los subsistemas y del Sistema en su conjunto. Las acciones de Tunning deben diferenciarse de los controles y medidas habituales que realiza el personal de Técnica de Sistemas. El Tunning posee una naturaleza más revisora, estableciéndose previamente planes y programas de actuación según los síntomas observados. Los Tunning pueden realizarse: Cuando existe la sospecha de deterioro del comportamiento parcial o general del Sistema. De modo sistemático y periódico, por ejemplo cada seis meses. En este último caso, las acciones de Tunning son repetitivas y están planificadas y organizadas de antemano. El auditor informático deberá conocer el número de Tunning realizados el último año, sus resultados, analizara los modelos de carga utilizados y los niveles e índices de confianza de las observaciones.
AUDITORIA INFORMATICA DE SISTEMAS
e) Optimización de los Sistemas y Subsistemas Técnica de Sistemas deber realizar acciones permanentes de optimización como consecuencia de la información diaria obtenida a través de Log, Accounting, etc. Actúa igualmente como consecuencia de la realización de Tunnings pre programado o específico. El auditor verificará que las acciones de optimización fueron efectivas y no comprometieron la Operatividad de los Sistemas ni el "plan crítico de producción diaria" de Explotación.
f) Administración de Base de Datos Es un Área que ha adquirido una gran importancia a causa de la proliferación de usuarios y de las descentralizaciones habidas en las informáticas de las empresas, el diseño de las bases de datos, ya sean relacionales o jerárquicas, se ha convertido en una actividad muy compleja y sofisticada, por lo general desarrollada en el ámbito de Técnica de Sistemas, y de acuerdo con las áreas de Desarrollo y los usuarios de la empresa. El conocimiento de
diseño y arquitectura de dichas Bases de Datos por parte de los Sistemas, ha cristalizado en la administración de las mismas les sea igualmente encomendada. Aunque esta descripción es la más frecuente en la actualidad, los auditores informáticos han observado algunas disfunciones derivadas de la relativamente escasa experiencia que Técnica de Sistemas tiene sobre la problemática general de los usuarios de las Bases de Datos.
Comienzan a percibirse hechos tendentes a separar el diseño y la construcción de las Bases de Datos, de la administración de las mismas, administración ésta que sería realizada por Explotación. Sin embargo, esta tendencia es aún poco significativa. El auditor informático de Bases de Datos deberá asegurarse que Explotación conoce suficientemente las que son accedidas por los Procedimientos que ella ejecuta. Analizará los sistemas de salvaguarda existentes, que competen igualmente a Explotación. Revisará finalmente la integridad y consistencia de los datos, así como la ausencia de redundancias entre ellos.
g) Investigación y Desarrollo todo caso, el auditor advertirá en su Informe de los riesgos que haya observado. No El campo informático sigue obstante, resultaría muy evolucionando rápidamente. provechoso comercializar Multitud Compañías, de alguna Aplicación interna, una Software mayoritariamente, vez que está terminada y aparecen en el mercado. Como consecuencia, algunas funcionando a satisfacción. La propia existencia de aplicativos empresas no dedicadas en para la obtención de principio a la venta de productos informáticos, están estadísticas desarrollados por los técnicos de Sistemas de la potenciando la investigación de sus equipos de Técnica de empresa auditada, y su calidad, proporcionan al Sistemas y Desarrollo, de auditor experto una visión forma que sus productos puedan convertirse en fuentes bastante exacta de la eficiencia y estado de de ingresos adicionales. La desarrollo de los Sistemas. La Auditoria informática deberá correcta elaboración de esta cuidar de que la actividad de información conlleva el buen Investigación mas la de desarrollo de las empresas no conocimiento de la carga de la instalación, así como la casi vendedoras, no interfiera ni certeza de que existen Planes dificulte las tareas de Capacidad, etc. fundamentales internas. En
AUDITORIA INFORMATICA DE COMUNICACION Y REDES
La creciente importancia de las Comunicaciones ha determinado que se estudien separadamente del ámbito de Técnica de Sistemas. Naturalmente, siguen siendo términos difíciles en los conceptos generales de Sistemas y de Arquitecturas de los Sistemas Informáticos. Se ha producido un cambio conceptual muy profundo en el tratamiento de las comunicaciones informáticas y en la construcción de los modernos Sistemas de Información, basados en Redes de Comunicaciones muy sofisticadas. Para el Auditor Informático, el entramado conceptual que constituyen las Redes Nodales, Líneas, Concentradores, Multiplexores, Redes Locales, etc., no son sino el soporte físicológico del Tiempo Real. El lector debe reflexionar sobre este avanzado concepto, que repetimos: Las Comunicaciones son el Soporte FísicoLógico de la Informática en Tiempo Real.
El auditor informático tropieza con la dificultad técnica del entorno, pues ha de analizar situaciones y hechos alejados entre sí, y está condicionado a la participación del monopolio telefónico que presta el soporte en algunos lugares. Ciertamente, la tarea del auditor es ardua en este contexto. Como en otros casos, la Auditoria de este sector requiere un equipo de especialistas, expertos simultáneamente en Comunicaciones y en Redes Locales. No debe olvidarse que en entornos geográficos reducidos, algunas empresas optan por el uso interno de Redes Locales, diseñadas y cableadas con recursos propios. El entorno del Online tiene una especial relevancia en la Auditoria Informática debido al alto presupuesto anual que los alquileres de líneas significan. El auditor de Comunicaciones deberá inquirir sobre los índices de utilización de las líneas contratadas, con información abundante sobre tiempos de
desuso. Deberá proveerse de la topología de la Red de Comunicaciones, actualizada. La des actualización de esta documentación significaría una grave debilidad. La inexistencia de datos sobre cuántas líneas existen, cómo son y dónde están instaladas, supondría que se bordea la Inoperatividad Informática. Sin embargo, y como casi siempre, las debilidades más frecuentes e importantes en la informática de Comunicaciones se encuentran en las disfunciones organizativas. La contratación e instalación de líneas va asociada a la instalación de los Puestos de Trabajo correspondientes (Monitores, Servidores de Redes Locales, Ordenadores Personales con tarjetas de Comunicaciones, impresoras, etc.). Todas estas actividades deben estar muy coordinadas y a ser posible, dependientes de una sola organización.
Auditoria de desarroll
El área de Desarrollo de Proyectos o de Aplicaciones es objeto frecuente de la Auditoria informática. Indicando inmediatamente que la función de Desarrollo es una evolución del llamado Análisis y Programación de Sistemas y Aplicaciones, término presente en los últimos años. La función Desarrollo engloba a su vez muchas áreas, tantas como sectores informatizables tiene la empresa. Muy escuetamente, una Aplicación recorre las siguientes fases: Prerrequisitos del Usuario (único o plural), y del entorno. Análisis funcional. Análisis orgánico. (Pre programación y Programación). Pruebas. Entrega a Explotación y alta para el Proceso. Se deduce fácilmente la importancia de la metodología utilizada en el desarrollo de los Proyectos informáticos. Esta metodología debe ser semejante
al menos en los Proyectos correspondientes a cada área de negocio de la empresa, aunque preferiblemente debería extenderse a la empresa en su conjunto. En caso contrario, además del aumento significativo de los costos, podrá producirse fácilmente la insatisfacción del usuario, si éste no ha participado o no ha sido consultado periódicamente en las diversas fases del mismo, y no solamente en la fase de prerrequisitos. Finalmente, la Auditoria informática deberá comprobar la seguridad de los programas, en el sentido de garantizar que los ejecutados por la máquina son totalmente los previstos y no otros. Una razonable Auditoria informática de Aplicaciones pasa indefectiblemente por la observación y el análisis de estas consideraciones. a) Revisión de las metodologías utilizadas Se analizarán éstas, de modo que se asegure la
modularidad de las posibles futuras ampliaciones de la Aplicación y el fácil mantenimiento de las mismas. b) Control Interno de las Aplicaciones La Auditoria informática de Desarrollo de Aplicaciones deberá revisar las mismas fases que presuntamente ha debido seguir el área correspondiente de Desarrollo. Las principales son: Estudio de Viabilidad de la Aplicación. Definición Lógica de la Aplicación. Desarrollo Técnico de la Aplicación. Diseño de Programas. Métodos de Pruebas. Documentación. Equipo de Programación. c) Satisfacción de Usuarios Una Aplicación eficiente y bien desarrollada teóricamente, deberá considerarse un fracaso si no sirve a los intereses del usuario que la solicitó. Surgen nuevamente las
lo de proyectos
premisas fundamentales de la informática eficaz: fines y utilidad. No puede desarrollarse de espaldas al usuario, sino contando con sus puntos de vista durante todas las etapas del Proyecto. La presencia del usuario proporcionará además grandes ventajas posteriores, evitará reprogramaciones y disminuirá el mantenimiento de la Aplicación. d) Control de Procesos y Ejecuciones de Programas Críticos El auditor no debe descartar la posibilidad de que se esté ejecutando un módulo lo que no se corresponde con el programa fuente que desarrolló, codificó y probó el área de Desarrollo de Aplicaciones. Se está diciendo que el auditor habrá de comprobar fehaciente y personalmente la correspondencia biunívoca y exclusiva entre el programa codificado y el producto obtenido como resultado de su compilación y su conversión en ejecutables
mediante la linkeditación (Linkage Editor). Obsérvense las consecuencias de todo tipo que podrían derivarse del hecho de que los programas fuente y los programas módulos no coincidieran provocando graves retrasos y altos costos de mantenimiento, hasta fraudes, pasando por acciones de sabotaje, espionaje industrialinformático, etc. Esta problemática ha llevado a establecer una normativa muy rígida en todo lo referente al acceso a las Librerías de programas. Una Informática medianamente desarrollada y eficiente dispone de un solo juego de Librerías de Programas de la Instalación. En efecto, Explotación debe recepcionar programas fuente, y solamente fuente. ¿Cuáles? Aquellos que Desarrollo haya dado como buenos. La asumirá la responsabilidad de: 1. Copiar el programa fuente que Desarrollo de Aplicaciones ha
dado por bueno en la Librería de Fuentes de Explotación, a la que nadie más tiene acceso. 2. Compilar y linkeditar ese programa, depositándolo en la Librería de Módulos de Explotación, a la que nadie más tiene acceso. 3. Copiar los programas fuente que les sean solicitados para modificarlos, arreglarlos, etc., en el lugar que se le indique. Cualquier cambio exigirá pasar nuevamente al punto 1. Ciertamente, hay que considerar las cotas de honestidad exigible a Explotación. Además de su presunción, la informática se ha dotado de herramientas de seguridad sofisticadas que permiten identificar la personalidad del que accede a las Librerías. No obstante, además, el equipo auditor intervendrá los programas críticos, compilando y linkeditando nuevamente los mismos para verificar su biunivocidad.
AUDITORIA DE SEGURIDAD INFORMATICA La La seguridad seguridad en en la la informática informática abarca abarca los los conceptos conceptos de de seguridad seguridad física física yy seguridad seguridad lógica. lógica. La La Seguridad Seguridad física física se se refiere refiere aa la la protección protección del del Hardware Hardware yy de de los los soportes soportes de de datos, datos, así así como como los los edificios edificios ee instalaciones instalaciones que que los los albergan. albergan. Contempla Contempla las las situaciones situaciones de de incendios, incendios, sabotajes, sabotajes, robos, robos, catástrofes catástrofes
naturales, naturales, etc. etc. Igualmente, Igualmente, aa este este ámbito ámbito pertenece pertenece la la política política de de Seguros. Seguros. La La seguridad seguridad lógica lógica se se refiere refiere aa la la seguridad seguridad de de uso uso del del software, software, aa la la protección protección de de los los datos, datos, procesos procesos yy programas, programas, así así como como la la del del ordenado ordenado yy autorizado autorizado acceso acceso de de los los usuarios usuarios aa la la información. información. Se Se ha ha tratado tratado con con anterioridad anterioridad la la doble doble condición condición de de la la Seguridad Seguridad
Informática: Informática: Como Como Área Área General General yy como como Área Área Específica Específica (seguridad (seguridad de de Explotación, Explotación, seguridad seguridad de de las las Aplicaciones, Aplicaciones, etc.). etc.). Así, Así, podrán podrán efectuarse efectuarse Auditorias Auditorias de de la la seguridad seguridad global global de de una una Instalación Instalación Informática Informática Seguridad Seguridad General, General, yy Auditorias Auditorias de de la la Seguridad Seguridad de de un un área área informática informática de de terminada terminada Seguridad Seguridad Específica. Específica. Las Las agresiones agresiones aa
in in oc o du d or o la la fís fí in in de d ac a pr p la la
nstalaciones nstalaciones informáticas informáticas ocurridas curridas en en Europa Europa yy América América durante urante los los últimos últimos años, años, han han originado riginado acciones acciones para para mejorar mejorar aa Seguridad Seguridad Informática Informática aa nivel nivel ísico. sico. Los Los accesos accesos yy conexiones conexiones ndebidos ndebidos aa través través de de las las Redes Redes de e Comunicaciones, Comunicaciones, han han acelerado celerado el el desarrollo desarrollo de de productos roductos de de Seguridad Seguridad lógica lógica yy aa utilización utilización de de sofisticados sofisticados
medios medios criptográficos. criptográficos. La La decisión decisión de de abordar abordar una una Auditoria Auditoria Informática Informática de de Seguridad Seguridad Global Global en en una una empresa, empresa, se se fundamenta fundamenta en en el el estudio estudio cuidadoso cuidadoso de de los los riesgos riesgos potenciales potenciales aa los los que que está está sometida. sometida. Tal Tal estudio estudio comporta comporta con con frecuencia frecuencia la la elaboración elaboración de de "Matrices "Matrices de de Riesgo" Riesgo" en en donde donde se se consideran consideran los los factores factores de de las las
"Amenazas" "Amenazas" aa las las que que está está sometida sometida una una instalación instalación yy de de los los "Impactos" "Impactos" que que aquellas aquellas pueden pueden causar causar cuando cuando se se presentan. presentan. Las Las matrices matrices de de riesgo riesgo se se presentan presentan en en cuadros cuadros de de doble doble entrada entrada "Amenazas\Impacto", "Amenazas\Impacto", en en donde donde se se evalúan evalúan las las probabilidades probabilidades de de ocurrencia ocurrencia de de los los elementos elementos de de la la matriz. matriz.