La_auditoria_informatica_La_auditoria_in

Vista previa del material en texto

<p>especial auditoría</p><p>La auditoría informática</p><p>Su necesidad y metodología</p><p>Es importante que las organizaciones se planteen la necesidad de solicitar</p><p>una auditoría informática, teniendo en cuenta que los datos de que</p><p>disponen, que se recogen y almacenan en sistemas informáticos, son un</p><p>recurso primordial en la toma de decisiones</p><p>La auditoría informática</p><p>Su necesidad y metodología</p><p>Es importante que las organizaciones se planteen la necesidad de solicitar</p><p>una auditoría informática, teniendo en cuenta que los datos de que</p><p>disponen, que se recogen y almacenan en sistemas informáticos, son un</p><p>recurso primordial en la toma de decisiones</p><p>pág</p><p>105</p><p>1. LA INFORMACIÓN EN LAS</p><p>EMPRESAS</p><p>L</p><p>a mayoría de los datos de que dis-</p><p>ponen las sociedades (ya sean da-</p><p>tos contables, de presupuestos, de</p><p>fabricación, de recursos humanos,</p><p>de inversiones, etc.) se recogen, tra-</p><p>tan y almacenan en sistemas informáti-</p><p>cos para, principalmente, prestar el servi-</p><p>cio que es objeto de su negocio y, secun-</p><p>dariamente, para tomar decisiones (es-</p><p>tratégicas o no) dentro de dicho negocio.</p><p>Por este motivo, los datos deben ser</p><p>considerados como un recurso primor-</p><p>dial, que deberían:</p><p>• Ser exactos y completos, tal y como</p><p>en su día se introdujeron en los siste-</p><p>mas informáticos. No se pueden to-</p><p>mar decisiones acertadas si los datos</p><p>se han perdido en parte o si un mismo</p><p>dato (al pasar por “n” aplicaciones dis-</p><p>tintas) no es idéntico en todos los sis-</p><p>temas en los que se incluye.</p><p>• Estar disponibles cuando se nece-</p><p>sitan. De nada sirve tener mucha in-</p><p>formación si cuando tienes que tomar</p><p>una decisión los datos no son accesi-</p><p>bles. Tomar una decisión tardía, por-</p><p>que no se dispone de información,</p><p>puede ser crítico para un negocio.</p><p>• Ser confidenciales. Si los competi-</p><p>dores han podido tener acceso a ba-</p><p>ses de datos confidenciales, esto les</p><p>puede aventajar en la posición de</p><p>mercado.</p><p>Por ello, es importante hacer las siguiente</p><p>preguntas:</p><p>• ¿Está segura la información de la so-</p><p>ciedad en la que trabajo?</p><p>• ¿Cómo se ha protegido dicha infor-</p><p>mación?</p><p>• ¿Qué procedimientos de seguridad</p><p>están en vigor?</p><p>• ¿Qué controles se han establecido</p><p>para verificar que se cumplen los pro-</p><p>cedimientos anteriores?</p><p>• ¿Podría estar registrada tres veces la</p><p>misma transacción?</p><p>• ¿Qué legislación en materia de segu-</p><p>ridad de la información tengo que</p><p>cumplir?</p><p>• ¿Qué hemos establecido en caso de</p><p>un desastre en el centro de proceso</p><p>de datos?</p><p>• ¿Quien, dónde y cómo se custodian</p><p>las copias de seguridad?</p><p>• ¿Quién tiene acceso a los datos que</p><p>están siendo manejados en el depar-</p><p>tamento de Recursos Humanos? ¿Y</p><p>al escandallo de costes por producto?</p><p>• ¿Cómo se ha asegurado la informa-</p><p>ción de acceso a través del servidor</p><p>web?</p><p>• ¿Qué seguridad se ha establecido en</p><p>las comunicaciones con nuestras su-</p><p>cursales, delegaciones o filiales?</p><p>• ¿Se han establecido procedimientos</p><p>ante los virus en mis sistemas?</p><p>• ¿Pueden los sistemas soportar el nú-</p><p>mero de transacciones que se prevén</p><p>hacer para dentro de 2 años?</p><p>Rocío Troyano Rovayo</p><p>Directora-Asociada Auditoría Infomática</p><p>BDO Audiberia</p><p>FICHA RESUMEN</p><p>Autor:</p><p>Rocío Troyano Rovayo</p><p>Título:</p><p>La auditoría informática.</p><p>Su necesidad y metodología</p><p>Fuente:</p><p>Partida Doble, núm. 180, páginas 104 a 107 ,</p><p>septiembre 2006</p><p>Localización: PD 06.09.08</p><p>Resumen:</p><p>La información que es tratada en una</p><p>organización es un recurso crítico que debería</p><p>ser protegido, ya que la misma es la base de la</p><p>mayoría de las decisiones que son adoptadas a</p><p>lo largo del tiempo.</p><p>Para tener una seguridad razonable sobre si la</p><p>información es exacta y completa, está</p><p>disponible cuando se necesita y es confidencial,</p><p>se realizan Auditorías Informáticas, que ayudan</p><p>a evaluar el control interno informático</p><p>existente, a cumplir con las exigencias legales</p><p>en materias de Derecho Informático y a</p><p>asegurar que los sistemas automáticos de</p><p>procesamiento de la información funcionan</p><p>como se espera de ellos.</p><p>Descriptores ICALI:</p><p>Auditoría informática. Riesgos Informáticos.</p><p>Informática.</p><p>www.partidadoble.es</p><p>pd</p><p>especial auditoría nº 180 septiembre 2006</p><p>Si no tenemos respuesta concreta a</p><p>todas ellas, con evidencias reales que so-</p><p>porten cada pregunta, recomendaría se-</p><p>guir leyendo el presente artículo. Adicio-</p><p>nalmente, podrían existir indicios que le</p><p>hagan plantearse la necesidad de solicitar</p><p>una Auditoría Informática, como por ejem-</p><p>plo: desviaciones importantes del presu-</p><p>puesto de inversión del departamento de</p><p>informática (y no se tiene claro por qué se</p><p>está invirtiendo tanto); insatisfacción de</p><p>usuarios, ya que se siente desatendido</p><p>(no se están resolviendo las incidencias</p><p>informáticas en plazos razonables, no se</p><p>atienden peticiones de cambios de aplica-</p><p>tivos, etc).</p><p>2. SEGURIDAD INFORMÁTICA,</p><p>CONTROL INFORMÁTICO Y</p><p>AUDITORÍA INFORMÁTICA</p><p>La seguridad informática la podríamos</p><p>definir como el conjunto de hardware,</p><p>software y procedimientos establecidos</p><p>para asegurar que:</p><p>• Personas no autorizadas no accedan</p><p>a lo que no deberían ver.</p><p>• Personas autorizadas no ponen en</p><p>peligro el sistema y los datos.</p><p>Control informático sería el conjunto de</p><p>políticas y prácticas establecidos en una</p><p>organización para prevenir, detectar o co-</p><p>rregir fallos en la seguridad informática.</p><p>Estos controles podrían ser:</p><p>• Preventivos: evitan o previenen pro-</p><p>blemas antes de que aparezcan (p.ej.</p><p>controlar el acceso a las instalaciones</p><p>físicas o segregar funciones en los ac-</p><p>cesos a los datos).</p><p>• Detectivos: el problema o error se</p><p>produce, pero es detectado para que</p><p>posteriormente se subsane (p.ej.</p><p>mensajes de error programados en el</p><p>sistema o totales de comprobación en</p><p>interfaces).</p><p>• Correctivos: el problema o error ya</p><p>se ha producido y el control trata de</p><p>reducir el impacto que dicho problema</p><p>ha tenido (por ejemplo, una copia de</p><p>seguridad).</p><p>Auditoría Informática: según la ISACA</p><p>(Asociación de Auditoría y Control de Sis-</p><p>temas de Información), es la “Auditoría de</p><p>Sistemas de Información (sistemas infor-</p><p>matizados), es decir, cualquier revisión y</p><p>evaluación de todos los aspectos (o cual-</p><p>quier porción de ellos) de los sistemas au-</p><p>tomáticos de procesamiento de la infor-</p><p>mación, incluidos los procedimientos no</p><p>automáticos relacionados con ellos y los</p><p>interfaces correspondientes”.</p><p>Por lo tanto, la Auditoría Informática</p><p>engloba tanto la revisión de los procedi-</p><p>mientos y controles relativos a seguridad</p><p>informática como otros no relativos a se-</p><p>guridad (el rendimiento y capacidad de</p><p>los sistemas, el funcionamiento adecuado</p><p>de una aplicación concreta, el servicio</p><p>prestado por el departamento de help-</p><p>desk, controles de Sarbanes Oxley, etc).</p><p>La auditoría informática no es una</p><p>auditoría de cuentas realizada con la</p><p>ayuda de un ordenador, sino que es la</p><p>revisión de los sistemas informáticos y</p><p>su entorno operativo con el objetivo de</p><p>constatar el control interno informático</p><p>existente, con el objetivo de detectar o</p><p>prevenir fraudes o con el objetivo que</p><p>la dirección de una sociedad haya</p><p>marcado (mejora de la rentabilidad o</p><p>eficacia de un sistema, revisar el in-</p><p>ventario de hardware existente, verifi-</p><p>car que los programas hacen lo que se</p><p>espera de ellos, verificación de cumpli-</p><p>miento de la legislación de protección</p><p>de datos, análisis de riesgos tecnológi-</p><p>cos, etc). No obstante, ello no obsta a</p><p>que se emplee, en el desarrollo del tra-</p><p>bajo, programas o técnicas asistidas</p><p>por ordenador.</p><p>3. METODOLOGÍA DE</p><p>DESARROLLO DE UNA</p><p>AUDITORÍA INFORMÁTICA</p><p>Al igual que en la auditoría de cuentas,</p><p>tenemos que distinguir 3 fases: Planifi-</p><p>cación, Ejecución/Supervisión y Conclu-</p><p>siones.</p><p>Fase 1: Planificación</p><p>En esta fase el auditor debe fijar con</p><p>claridad:</p><p>• Finalidad de la Auditoría, destinatario</p><p>de las conclusiones, documentación</p><p>a entregar y fechas clave.</p><p>• Alcance del Trabajo (sistemas, proce-</p><p>sos, aplicativos y áreas a revisar, lo-</p><p>calidades que hay que visitar, etc). Es</p><p>importante fijar qué queda fuera de la</p><p>Auditoría, para no crear falsas expec-</p><p>tativas.</p><p>• Información y documentación previa a</p><p>solicitar: informes de auditoría previos,</p><p>organigrama funcional y departamen-</p><p>tal, esquema</p><p>de arquitecturas, proce-</p><p>sos o interfaces, etc).</p><p>• Programas de trabajo detallados y es-</p><p>tándares que se van a seguir (internos</p><p>de la Sociedad, COBIT, ISO, etc).</p><p>pág</p><p>106</p><p>Auditoría Informática: cualquier</p><p>revisión de los sistemas con el objetivo</p><p>de constatar el control interno</p><p>informático existente</p><p>«</p><p>«</p><p>pd</p><p>La auditoría informática</p><p>• Equipo de trabajo y reparto de los pro-</p><p>gramas entre los mismos, con fechas</p><p>de ejecución de cada apartado o área.</p><p>• Identificación de interlocutores (admi-</p><p>nistradores de bases de datos, res-</p><p>ponsable de seguridad, etc).</p><p>• Identificación de Herramientas tecno-</p><p>lógicas para hacer el trabajo.</p><p>Fase 2: Ejecución</p><p>En esta fase se realizan todos los proce-</p><p>dimientos detallados en los programas de</p><p>la fase anterior para obtener las eviden-</p><p>cias del desarrollo del trabajo. Estas evi-</p><p>dencias se obtienen a través de:</p><p>• Estudio de procesos concretos (do-</p><p>cumentación, flujogramas, verifica-</p><p>ciones in situ con el usuario final del</p><p>proceso, etc).</p><p>• Entrevistas y análisis de la documen-</p><p>tación obtenida en las mismas (proce-</p><p>dimientos escritos, manuales, configu-</p><p>raciones de máquina, parametrizacio-</p><p>nes, etc).</p><p>• Pruebas de cumplimiento de procedi-</p><p>mientos (con muestreos).</p><p>• Verificaciones físicas (p.ej: visita al</p><p>centro de proceso de datos).</p><p>• Revisión de contratos de prestaciones</p><p>de servicios y Acuerdos de nivel de</p><p>servicio (SLA).</p><p>Fase 3: Conclusiones</p><p>Esta última fase suele tener dos partes,</p><p>una para conclusiones preliminares (para</p><p>contrastar con el Cliente) y otra para con-</p><p>clusiones definitivas (ya contrastadas y</p><p>corregidas las conclusiones previas).</p><p>El output de esta fase suele ser un Infor-</p><p>me de Auditoría, de Recomendaciones o</p><p>de Resultados que, una vez discutido con</p><p>los afectados, es elevado a Definitivo. En</p><p>dicho Informe, aparte del Alcance del tra-</p><p>bajo realizado y de los Procedimientos</p><p>que se han seguido, se suele incluir un In-</p><p>forme Ejecutivo y una relación detallada</p><p>de las Recomendaciones de Mejora por</p><p>área analizada, con los siguientes pará-</p><p>metros y Plan de Acción:</p><p>• Riesgo asociado</p><p>• Prioridad</p><p>• Dificultad de Implantación</p><p>• Área afectada y comentarios de dicha</p><p>área al punto de mejora</p><p>• Fecha prevista de solución</p><p>• Persona/departamento responsable</p><p>de la implantación</p><p>4. ASPECTOS LEGALES EN UNA</p><p>AUDITORÍA INFORMÁTICA Y</p><p>CERTIFICACIÓN CISA</p><p>En nuestro ordenamiento jurídico existe</p><p>una rama que regula el trabajo que haría</p><p>un auditor informático, que es el Derecho</p><p>Informático (existen delitos informáticos,</p><p>existe la Ley de Propiedad Intelectual, se</p><p>protegen los datos personales de las per-</p><p>sonas físicas, etc.), que debería ser cono-</p><p>cido por el auditor para conocer el alcan-</p><p>ce y consecuencias del conjunto de debili-</p><p>dades detectadas en el transcurso de su</p><p>trabajo.</p><p>En relación al tema de protección de</p><p>datos personales, simplemente mencio-</p><p>nar que la legislación actualmente en vi-</p><p>gor, principalmente la Ley Orgánica</p><p>15/1999 y el Real Decreto 994/1999, es-</p><p>tablecen la obligatoriedad de pasar cada</p><p>dos años una auditoría informática de</p><p>cumplimiento de dicho Real Decreto pa-</p><p>ra los ficheros de nivel medio y alto de</p><p>los que sean titulares las distintas socie-</p><p>dades (art. 17 del Real Decreto), lo que</p><p>hace imprescindible contar con la figura</p><p>de un auditor informático. Dicha audito-</p><p>ría, que puede ser interna o externa, no</p><p>está definida en cuanto a quién debería</p><p>realizarla, por lo que podría ser realizada</p><p>por el Departamento de Auditoría Interna</p><p>Informática, o por una empresa subcon-</p><p>tratada al efecto.</p><p>La Agencia Española de Protección</p><p>de Datos (ente de Derecho Público que</p><p>vela por el cumplimiento de la legislación</p><p>de protección de datos, entre otras funcio-</p><p>nes), en su Memoria del año 2002 esta-</p><p>blece que “no se puede informar de qué</p><p>empresas pueden estar autorizadas para</p><p>realizar dichas auditorías, dado que no</p><p>existe ningún registro de las mismas, si</p><p>bien cabe mencionar que existe una certi-</p><p>ficación, aunque no vinculante, que es la</p><p>“Certified Information System Auditor”</p><p>(CISA), que se expide desde una asocia-</p><p>ción de Estados Unidos denominada</p><p>“Information Systems Audit And Control</p><p>Association (ISACA)”</p><p>Por lo tanto, no sólo debe de ser</p><p>cuestionada la necesidad de pasar o no</p><p>una Auditoría Informática en el desarrollo</p><p>y evolución de los negocios, sino también</p><p>el decidir si el auditor informático sería in-</p><p>terno o externo. ✽</p><p>Informe de</p><p>Auditoría,</p><p>suele incluir</p><p>una relación</p><p>detallada de las</p><p>recomendaciones</p><p>de mejora</p><p>por área</p><p>«</p><p>«</p><p>pág</p><p>107</p><p>www.partidadoble.es</p>