La Informtica hoy, est subsumida en la gestin integral de la empresa, y por eso las normas y estndares propiamente informticos deben estar, por lo tanto, sometidos a los generales de la misma. En consecuencia, las organizaciones informticas forman parte de lo que se ha denominado el management o gestin de la empresa. Cabe aclarar que la Informtica no gestiona propiamente la empresa, ayuda a la toma de decisiones, pero no decide por s misma. Por ende, debido a su importancia en el funcionamiento de una empresa, existe la Auditoria Informtica.
El trmino de Auditoria se ha empleado incorrectamente con frecuencia ya que se ha considerado como una evaluacin cuyo nico fin es detectar errores y sealar fallas. A causa de esto, se ha tomado la frase Tiene Auditoria como sinnimo de que, en dicha entidad, antes de realizarse la Auditoria, ya se haban detectado fallas. El concepto de Auditoria es mucho ms que esto. Es un examen crtico que se realiza con el fin de evaluar la eficacia y eficiencia de una seccin, un organismo, una entidad, etc.
El auditor informtico ha de velar por la correcta utilizacin de los amplios recursos que la empresa pone en juego para disponer de un eficiente y eficaz Sistema de Informacin. Claro est, que para la realizacin de una Auditoria informtica eficaz, se debe entender a la empresa en su ms amplio sentido, ya que una Universidad, un Ministerio o un Hospital son tan empresas como una Sociedad Annima o empresa Pblica. Todos utilizan la informtica para gestionar sus negocios de forma rpida y eficiente con el fin de obtener beneficios econmicos y de costes.
Por eso, al igual que los dems rganos de la empresa (Balances y Cuentas de Resultados, Tarifas, Sueldos, etc.), los Sistemas Informticos estn sometidos al control correspondiente, o al menos debera estarlo. La importancia de llevar un control de esta herramienta se puede deducir de varios aspectos. He aqu algunos:
Las computadoras y los Centros de Proceso de Datos se convirtieron en blancos apetecibles no solo para el espionaje, sino para la delincuencia y el terrorismo. En este caso interviene la Auditoria Informtica de Seguridad. Las computadoras creadas para procesar y difundir resultados o informacin elaborada pueden producir resultados o informacin errnea si dichos datos son, a su vez, errneos. Este concepto obvio es a veces olvidado por las mismas empresas que terminan perdiendo de vista la naturaleza y calidad de los datos de entrada a sus Sistemas Informticos, con la posibilidad de que se provoque un efecto cascada y afecte a Aplicaciones independientes. En este caso interviene la Auditoria Informtica de Datos.
Un Sistema Informtico mal diseado puede convertirse en una herramienta harto peligrosa para la empresa: como las maquinas obedecen ciegamente a las rdenes recibidas y la modelizacin de la empresa est determinada por las computadoras que materializan los Sistemas de Informacin, la gestin y la organizacin de la empresa no puede depender de un Software y Hardware mal diseados.
TIPOS Y CLASES DE AUDITORIAS INFORMTICAS
Dentro de las reas generales, es posible establecer las siguientes divisiones:
1. Auditoria Informtica de Explotacin 2. Auditoria Informtica de Sistemas 3. Auditoria Informtica de Comunicaciones y redes 4. Auditoria Informtica de Desarrollo de Proyectos 5. Auditoria Informtica de Seguridad
Debe evaluarse la diferencia entre la generalidad y la especificacin que posee la Seguridad. Segn ella, realizarse una Auditoria Informtica de la Seguridad del entorno global de la informtica, mientras en otros casos puede auditarse una aplicacin concreta, en donde ser necesario analizar la seguridad de la misma. Cada rea especfica puede ser auditada con los criterios que detallamos:
Cada rea especfica puede ser auditada con los criterios que detallamos:
Desde su propia funcionalidad interna. Con el apoyo que recibe de la Direccin, y en forma ascendente, del grado de cumplimiento de las directrices de que sta imparte. Desde la visin de los usuarios, destinatarios verdaderos de la informtica. Desde el punto de vista de la seguridad, que ofrece la Informtica en general o la rama auditada.
Las combinaciones descritas pueden ser ampliadas o reducidas, segn las caractersticas de la empresa auditada. Las Auditorias ms usuales son las referidas a las actividades especficas e internas de la propia actividad informtica.
1. AUDITORIA INFORMTICA DE EXPLOTACIN DE SISTEMAS.
Se ocupa de producir resultados informticas de todo tipo: listados impresos, archivos magnticos para otros informticos, rdenes automatizadas para lanzar o modificar procesos industriales, etc. Para realizar la Explotacin informtica se dispone de materia prima los Datos, que es necesario transformar, y que se someten previamente a controles de integridad y calidad.
La transformacin se realiza por medio del Proceso Informtico, el cual est dirigido por programas. Obtenido el producto final, los resultados son sometidos a controles de calidad, y finalmente son distribuidos al cliente, al usuario. En ocasiones, el propio cliente realiza funciones de reelaboracin del producto terminado.
Para mantener el criterio finalista y utilitario, el concepto de centro productivo ayuda a la elaboracin de la Auditoria de la Explotacin. Auditar Explotacin consiste en auditar las secciones que la componen y sus interrelaciones. Las Bsicas son la planificacin de la produccin y la produccin misma de resultados informticos. El auditor debe tener en cuenta que la organizacin informtica est supeditada a la obtencin de resultados en plazo y calidad, siendo subsidiario a corto plazo cualquier otro objetivo. Se quiere insistir nuevamente en que la Operatividad es prioritaria, al igual que el plan crtico diario de produccin que debe ser protegido a toda costa.
2. AUDITORIA INFORMTICA DE SISTEMAS
Se ocupa de analizar la actividad propia de lo que se conoce como "Tcnica de Sistemas" en todas sus facetas. En la actualidad, la importancia creciente de las telecomunicaciones ha propiciado que las Comunicaciones, Lneas y Redes de las instalaciones informticas, se auditen por separado, aunque formen parte del entorno general de "Sistemas".
3. AUDITORIA INFORMTICA DE COMUNICACIONES Y REDES
La creciente importancia de las Comunicaciones ha determinado que se estudien separadamente del mbito de Tcnica de Sistemas. Naturalmente, siguen siendo trminos difciles en los conceptos generales de Sistemas y de Arquitecturas de los Sistemas Informticos.
Se ha producido un cambio conceptual muy profundo en el tratamiento de las comunicaciones informticas y en la construccin de los modernos Sistemas de Informacin, basados en Redes de Comunicaciones muy sofisticadas.
Para el Auditor Informtico, el entramado conceptual que constituyen las Redes Nodales, Lneas, Concentradores, Multiplexores, Redes Locales, etc., no son sino el soporte fsico-lgico del Tiempo Real. El lector debe reflexionar sobre este avanzado concepto, que repetimos: Las Comunicaciones son el Soporte Fsico-Lgico de la Informtica en Tiempo Real. El auditor informtico tropieza con la dificultad tcnica del entorno, pues ha de analizar situaciones y hechos alejados entre s, y est condicionado a la participacin del monopolio telefnico que presta el soporte en algunos lugares. Ciertamente, la tarea del auditor es ardua en este contexto. Como en otros casos, la Auditoria de este sector requiere un equipo de especialistas, expertos simultneamente en Comunicaciones y en Redes Locales. No debe olvidarse que en entornos geogrficos reducidos, algunas empresas optan por el uso interno de Redes Locales, diseadas y cableadas con recursos propios.
El entorno del Online tiene una especial relevancia en la Auditoria Informtica debido al alto presupuesto anual que los alquileres de lneas significan. El auditor de Comunicaciones deber inquirir sobre los ndices de utilizacin de las lneas contratadas, con informacin abundante sobre tiempos de desuso.
Deber proveerse de la topologa de la Red de Comunicaciones, actualizada. La des actualizacin de esta documentacin significara una grave debilidad. La inexistencia de datos sobre cuntas lneas existen, cmo son y dnde estn instaladas, supondra que se bordea la Inoperatividad Informtica. Sin embargo, y como casi siempre, las debilidades ms frecuentes e importantes en la informtica de Comunicaciones se encuentran en las disfunciones organizativas. La contratacin e instalacin de lneas va asociada a la instalacin de los Puestos de Trabajo correspondientes (Monitores, Servidores de Redes Locales, Ordenadores Personales con tarjetas de Comunicaciones, impresoras, etc.). Todas estas actividades deben estar muy coordinadas y a ser posible, dependientes de una sola organizacin.
4. AUDITORIA INFORMTICA DE DESARROLLO DE PROYECTOS
El rea de Desarrollo de Proyectos o de Aplicaciones es objeto frecuente de la Auditoria informtica. Indicando inmediatamente que la funcin de Desarrollo es una evolucin del llamado Anlisis y Programacin de Sistemas y Aplicaciones, trmino presente en los ltimos aos. La funcin Desarrollo engloba a su vez muchas reas, tantas como sectores informatizables tiene la empresa.
Muy escuetamente, una Aplicacin recorre las siguientes fases:
Prerrequisitos del Usuario (nico o plural), y del entorno. Anlisis funcional. Anlisis orgnico. (Pre programacin y Programacin). Pruebas. Entrega a Explotacin y alta para el Proceso.
Se deduce fcilmente la importancia de la metodologa utilizada en el desarrollo de los Proyectos informticos. Esta metodologa debe ser semejante al menos en los Proyectos correspondientes a cada rea de negocio de la empresa, aunque preferiblemente debera extenderse a la empresa en su conjunto. En caso contrario, adems del aumento significativo de los costos, podr producirse fcilmente la insatisfaccin del usuario, si ste no ha participado o no ha sido consultado peridicamente en las diversas fases del mismo, y no solamente en la fase de prerrequisitos. Finalmente, la Auditoria informtica deber comprobar la seguridad de los programas, en el sentido de garantizar que los ejecutados por la mquina son totalmente los previstos y no otros.
Una razonable Auditoria informtica de Aplicaciones pasa indefectiblemente por la observacin y el anlisis de estas consideraciones.
a) Revisin de las metodologas utilizadas
Se analizarn stas, de modo que se asegure la modularidad de las posibles futuras ampliaciones de la Aplicacin y el fcil mantenimiento de las mismas.
b) Control Interno de las Aplicaciones
La Auditoria informtica de Desarrollo de Aplicaciones deber revisar las mismas fases que presuntamente ha debido seguir el rea correspondiente de Desarrollo. Las principales son:
Estudio de Viabilidad de la Aplicacin. Definicin Lgica de la Aplicacin. Desarrollo Tcnico de la Aplicacin. Diseo de Programas. Mtodos de Pruebas. Documentacin. Equipo de Programacin.
c) Satisfaccin de Usuarios
Una Aplicacin eficiente y bien desarrollada tericamente, deber considerarse un fracaso si no sirve a los intereses del usuario que la solicit. Surgen nuevamente las premisas fundamentales de la informtica eficaz: fines y utilidad. No puede desarrollarse de espaldas al usuario, sino contando con sus puntos de vista durante todas las etapas del Proyecto. La presencia del usuario proporcionar adems grandes ventajas posteriores, evitar reprogramaciones y disminuir el mantenimiento de la Aplicacin.
d) Control de Procesos y Ejecuciones de Programas Crticos
El auditor no debe descartar la posibilidad de que se est ejecutando un mdulo lo que no se corresponde con el programa fuente que desarroll, codific y prob el rea de Desarrollo de Aplicaciones.
5. AUDITORIA INFORMTICA DE SEGURIDAD
La seguridad en la informtica abarca los conceptos de seguridad fsica y seguridad lgica. La Seguridad fsica se refiere a la proteccin del Hardware y de los soportes de datos, as como los edificios e instalaciones que los albergan. Contempla las situaciones de incendios, sabotajes, robos, catstrofes naturales, etc. Igualmente, a este mbito pertenece la poltica de Seguros. En cuanto La seguridad lgica, se refiere a la seguridad de uso del software, a la proteccin de los datos, procesos y programas, as como la del ordenado y autorizado acceso de los usuarios a la informacin.
Se ha tratado con anterioridad la doble condicin de la Seguridad Informtica: Como rea General y como rea Especfica (seguridad de Explotacin, seguridad de las Aplicaciones, etc.).
As, podrn efectuarse Auditorias de la seguridad global de una Instalacin Informtica Seguridad General, y Auditorias de la Seguridad de un rea informtica de terminada Seguridad Especfica.
Las agresiones a instalaciones informticas ocurridas en Europa y Amrica durante los ltimos aos, han originado acciones para mejorar la Seguridad Informtica a nivel fsico. Los accesos y conexiones indebidos a travs de las Redes de Comunicaciones, han acelerado el desarrollo de productos de Seguridad lgica y la utilizacin de sofisticados medios criptogrficos. La decisin de abordar una Auditoria Informtica de Seguridad Global en una empresa, se fundamenta en el estudio cuidadoso de los riesgos potenciales a los que est sometida.
Tal estudio comporta con frecuencia la elaboracin de "Matrices de Riesgo" en donde se consideran los factores de las "Amenazas" a las que est sometida una instalacin y de los "Impactos" que aquellas pueden causar cuando se presentan. Las matrices de riesgo se presentan en cuadros de doble entrada "Amenazas\Impacto", en donde se evalan las probabilidades de ocurrencia de los elementos de la matriz.
Conclusin
Principalmente, con la realizacin de este trabajo prctico, la principal conclusin a la que hemos podido llegar, es que toda empresa, pblica o privada, que posean Sistemas de Informacin medianamente complejos, deben de someterse a un control estricto de evaluacin de eficacia y eficiencia. Hoy en da, el 90 por ciento de las empresas tienen toda su informacin estructurada en Sistemas Informticos, de aqu, la vital importancia que los sistemas de informacin funcionen correctamente. La empresa hoy, debe/precisa informatizarse. El xito de una empresa depende de la eficiencia de sus sistemas de informacin.
Una empresa puede tener un staff de gente de primera, pero tiene un sistema informtico propenso a errores, lento, vulnerable e inestable; si no hay un balance entre estas dos cosas, la empresa nunca saldr a adelante. En cuanto al trabajo de la Auditoria en s, podemos remarcar que se precisa de gran conocimiento de Informtica, seriedad, capacidad, minuciosidad y responsabilidad; la Auditoria de Sistemas debe hacerse por gente altamente capacitada, una Auditoria mal hecha puede acarrear consecuencias drsticas para la empresa auditada, principalmente econmicas.