UNIVERSIDAD DE COLIMA ENSAYO

Transcripción

1 UNIVERSIDAD DE COLIMA FACULTAD DE INGENIERÍA MECÁNICA Y ELÉCTRICA LA AUDITORIA EN LA INFORMÁTICA ENSAYO QUE PARA OBTENER EL GRADO DE: MAESTRA EN CIENCIAS COMPUTACIONALES PRESENTA: LORENA CARMINA MORENO JIMÉNEZ ASESOR: MC. ANDRÉS GERARDO FUENTES COVARRUBIAS COQUIMATLÁN, COLIMA, ABRIL DE 2003

2 UNIVERSIDAD DE COLIMA FACULTAD DE INGENIERÍA MECÁNICA Y ELÉCTRICA EXPEDIENTE: 510 NUM MORENO JIMÉNEZ LORENA CARMINA AVE. NIÑOS HÉROES #427 VILLA DE ÁLVAREZ, COLIMA Informo a usted que ha sido APROBADO por el H. CONSEJO TÉCNICO DE LA MAESTRÍA EN COMPUTACIÓN, como tema de titulación para obtener el grado de MAESTRA EN CIENCIAS COMPUTACIONALES. El solicitado por usted bajo el título: Desarrollado bajo los siguientes puntos: "LA AUDITORIA EN LA INFORMÁTICA (ENSAYO)" 1. ANTECEDENTES 2. TERMINOLOGÍA DE LA AUDITORIA INFORMÁTICA 3. AUDITORIA INFORMÁTICA 4. TIPOS DE AUDITORIAS 5. PLANEACIÓN DE LA AUDITORIA EN INFORMÁTICA 6. AUDITORIA DE LA FUNCIÓN DE INFORMÁTICA 7. EVALUACIÓN DE SISTEMAS 8. EVALUACIÓN DEL PROCESOS DE DATOS Y DE LOS EQUIPOS DE COMPUTO 9. EVALUACIÓN DE LA SEGURIDAD 10. INFORME FINAL 11. DIFERENTES ENFOQUES DE LA AUDITORIA 12. CONCLUSIONES BIBLIOGRAFÍA Al mismo tiempo, informo a usted que ha sido designado como DIRECTOR DE TESIS el C. M.C. ANDRÉS GERARDO FUENTES COVARRUBIAS. En cada uno de los ejemplares de titulación que presente para examen, deberá aparecer en primer termino copia del presente oficio. C.c.p. EXPEDIENTE ALUMNO RFC7AGFC/laal* Km 9 Carretera Colima-Coquimatlán, Colima, Colima, México, Cp Tel. 01 (3) , Ext , Ext Fax 51454

3 H. CONSEJO TÉCNICO DE POSGRADO EN COMPUTACIÓN FACULTAD DE INGENIERÍA MECÁNICA Y ELÉCTRICA UNIVERSIDAD DE COLIMA Por medio del presente conducto informo que la C. MORENO JIMÉNEZ LORENA CARMINA, terminó su período de revisión de tesis. El trabajo al cual se hace mención fue denominado: LA AUDITORIA EN LA INFORMÁTICA (ENSAYO) Cuyo contenido es el siguiente: 1. ANTECEDENTES 2. TERMINOLOGÍA DE LA AUDITORIA INFORMÁTICA 3. AUDITORIA INFORMÁTICA 4. TIPOS DE AUDITORIAS 5. PLANEACIÓN DE LA AUDITORIA EN INFORMÁTICA 6. AUDITORIA DE LA FUNCIÓN DE INFORMÁTICA 7. EVALUACIÓN DE SISTEMAS 8. EVALUACIÓN DEL PROCESOS DE DATOS Y DE LOS EQUIPOS DE COMPUTO 9. EVALUACIÓN DE LA SEGURIDAD 10. INFORME FINAL 11. DIFERENTES ENFOQUES DE LA AUDITORIA 12. CONCLUSIONES BIBLIOGRAFÍA El cual cumple con los requisitos necesarios para su aprobación, por lo cual lo autorizo para su impresión. C.c.p. Expediente

4 EXPEDIENTE: 510 FECHA: Acta No. :23 MORENO JIMÉNEZ LORENA CARMINA AVE. NIÑOS HÉROES #427 VILLA DE ÁLVAREZ, COLIMA TEL: En cumplimiento a lo dispuesto por los artículos 13 y 14 del reglamento de titulación vigente, al artículo 40, inciso A del reglamento de estudios de posgrado vigente y al artículo 46 de las normas complementarias al reglamento de posgrado, correspondiente al Posgrado de la Facultad de ingeniería Mecánica y Eléctrica. Informamos a usted que ha sido AUTORIZADO por este Consejo Técnico su tema de tesis para obtener el grado de MAESTRA EN CIENCIAS COMPUTACIONALES el denominado: "LA AUDITORIA EN LA INFORMÁTICA (ENSAYO)". Para ser desarrollado bajo los siguientes puntos: 1. ANTECEDENTES 2. TERMINOLOGÍA DE LA AUDITORIA INFORMÁTICA 3. AUDITORIA INFORMÁTICA 4. TIPOS DE AUDITORIAS, 5. PLANEACIÓN DE LA AUDITORIA EN INFORMÁTICA 6. AUDITORIA DE LA FUNCIÓN DE INFORMÁTICA 7. EVALUACIÓN DE SISTEMAS 8. EVALUACIÓN DEL PROCESOS DE DATOS Y DE LOS EQUIPOS DE COMPUTO 9. EVALUACIÓN DE LA SEGURIDAD 10. INFORME FINAL 11. DIFERENTES ENFOQUES DE LA AUDITORIA 12. CONCLUSIONES BIBLIOGRAFÍA Así mismo, hacemos de su conocimiento que de acuerdo con la línea de investigación en la cual se enmarca C su proyecto ha sido designado como DIRECTOR DE TESIS el C. M.C. ANDRÉS GERARDO FUENTES COVARRUBIAS. A partir de la fecha de aprobación tendrá como plazo un año para presentar su examen de grado, en caso contrario tendrá usted derecho a una prorroga única de seis meses so pena de perder el registro de su proyecto, lo anterior bajo la consideración del Consejo Técnico y la aprobación de su director de tesis. Una vez concluidos los tramites de revisión de su documento de tesis e integrado su expediente de titulación deberá recoger el oficio que acompañara el visto bueno de su director de tesis, los cuales encabezarán cada uno de los ejemplares de sus tesis.

5 DEDICATORIA Agradezco, a mi familia por el apoyo incondicional y el aliciente que me proporcionan para seguir adelante, en particular a mi esposo el Dr. Nicandro Farias Mendoza, que formo parte importante en la culminación de mi trabajo. A la Universidad de Colima por brindarme la oportunidad de seguir preparándome. A mis maestros por trasmitir sus conocimientos. Al maestro Andrés Gerardo Fuentes Covarrubias por haberme brindado la oportunidad de trabajar con él en el desarrollo del trabajo.

6 CONTENIDO INTRODUCCIÓN CAPITULO 1 ANTECEDENTES CAPITULO 2 TERMINOLOGÍA DE LA AUDITORIA INFORMÁTICA 2.1 Informática Auditoria Tareas principales de la auditoria Auditoria en informática 13 CAPITULO 3 AUDITORIA INFORMÁTICA 3.1 Importancia de la auditoria informática Formas de llevar a cabo una auditoria informática Síntomas de necesidad de una auditoría informática Herramientas y técnicas para la auditoría informática Cuestionarios Entrevistas Checklist Trazas y/o huellas Software de interrogación 23 CAPITULO 4 TIPOS DE AUDITORIAS 4.1. Concepto de auditoría en informática Auditoria interna y auditoría contable/financiera Definición de control interno Objetivos del control interno Clases de controles internos Atendiendo al momento que se actúa Controles de supervisión Auditoria administrativa Concepto de auditoría con informática Concepto de auditoría de programas Concepto de auditoria de seguridad Consideraciones inmediatas Consideraciones para elaborar un sistema de seguridad integral Etapas para implementar un sistema de seguridad Etapas para implementar un sistema de seguridad en marcha Beneficios de un sistema de seguridad 51

7 CAPITULO 5 PLANEACIÓN DE LA AUDITORIA EN INFORMÁTICA 5.1 Planeación de la auditoría en informática Investigación preliminar Personal participante 56 CAPITULO 6 AUDITORIA DE LA FUNCIÓN DE INFORMÁTICA 6.1 Recopilación de la información organizacional Evaluación de la estructura orgánica Evaluación de los recursos humanos Entrevistas con el personal de informática Situación presupuestal y financiera 80 CAPITULO 7 EVALUACIÓN DE SISTEMAS 7.1 Evaluación de sistemas Evaluación del análisis Evaluación del diseño lógico del sistema Evaluación del desarrollo del sistema Control de proyectos Control de diseño de sistemas de información Instructivos de operación Forma de implantación Equipo y facilidades de programación Entrevistas a usuarios 100 CAPITULO 8 EVALUACIÓN DEL PROCESO DE DATOS Y DE LOS EQUIPOS DE COMPUTO 8.1 Controles Controles de los datos fuente y manejo de cifras de control Control de operación Controles de salida Control de asignación de trabajo Control de medios de almacenamiento masivos Control de mantenimiento Orden en el centro de cómputo Evaluación de la configuración del sistema de cómputo Productividad 126

8 CAPITULO 9 EVALUACIÓN DE LA SEGURIDAD 9.1 Seguridad lógica y confidencialidad Seguridad en el personal Seguridad física Seguros Seguridad en la utilización de equipo Procedimiento de respaldo en caso de desastre Condiciones, procedimientos y controles para otorgar soporte a otras instituciones 155 CAPITULO 10 INFORME FINAL 10.1 Técnicas para la interpretación de la información Análisis crítico de los hechos Metodología para obtener el grado de madurez del sistema Uso de diagramas Evaluación de los sistemas Evaluación de los sistemas de información Controles Confección y redacción del informe final 167 CAPITULO 11 DIFERENTES ENFOQUES DE LA AUDITORIA 11.1 Introducción 170 CAPITULO 12 CONCLUSIONES 202 BIBLIOGRAFÍA 206 ANEXOS 207

9 Introducción A finales del siglo XX, los Sistemas Informáticos se han constituido en las herramientas más poderosas para materializar uno de los conceptos más vitales y necesarios para cualquier organización empresarial, los Sistemas de Información de la empresa. La Informática hoy, está subsumida en la gestión integral de la empresa, y por eso las normas y estándares propiamente informáticos deben estar, por lo tanto, sometidos a los generales de la misma. En consecuencia, las organizaciones informáticas forman parte de lo que se ha denominado el "management" o gestión de la empresa. Cabe aclarar que la Informática no gestiona propiamente la empresa, ayuda a la toma de decisiones, pero no decide por sí misma. Por ende, debido a su importancia en el funcionamiento de una empresa, existe la Auditoria Informática. El término de Auditoría se ha empleado incorrectamente con frecuencia ya que se ha considerado, como una evaluación cuyo único fin es detectar errores y señalar fallas. A causa de esto, se ha tomado la frase "Tiene Auditoría" como sinónimo de que, en dicha entidad, antes de, realizarse la auditoría, ya se habían detectado fallas. El concepto de auditoría es mucho más que esto. La palabra auditoría proviene del latín auditorius, y de esta proviene la palabra auditor, que se refiere a todo aquel que tiene la virtud de oír. Por otra parte, el diccionario Español Sopena lo define como: Revisor de Cuentas colegiado. En un principio esta definición carece de la explicación del objetivo fundamental que persigue todo auditor: evaluar la eficiencia y eficacia. Si consultamos el Boletín de Normas de auditoría del Instituto mexicano de contadores nos dice: " La auditoría no es una actividad meramente mecánica que implique la aplicación de ciertos procedimientos cuyos resultados, una vez llevado a cabo son de carácter indudable." De todo esto sacamos como deducción que la auditoría es un examen crítico pero no mecánico, que no implica la preexistencia de fallas en la entidad auditada y que persigue el fin de evaluar y mejorar la eficacia y eficiencia de una sección o de un organismo. El auditor informático ha de velar por la correcta utilización de los amplios recursos que la empresa pone en juego para disponer de un eficiente y eficaz Sistema de Información. Claro está, que para la realización de una auditoría informática eficaz, se debe entender a la empresa en su más amplio sentido, ya que una Universidad, un Ministerio o un Hospital son tan empresas como una 1

10 Sociedad Anónima o empresa Pública. Todos utilizan la informática para gestionar sus "negocios" de forma rápida y eficiente con el fin de obtener beneficios económicos y reducción de costos. Por eso, al igual que los demás órganos de la empresa (Balances y Cuentas de Resultados, Tarifas, Sueldos, etc.), los Sistemas Informáticos están sometidos al control correspondiente, o al menos debería estarlo. La importancia de llevar un control de esta herramienta se puede deducir de varios aspectos. He aquí algunos: Las computadoras y los Centros de Proceso de Datos se convirtieron en blancos apetecibles no solo para el espionaje, sino para la delincuencia y el terrorismo. En este caso interviene la Auditoría Informática de Seguridad. Las computadoras creadas para procesar y difundir resultados o información elaborada pueden producir resultados o información errónea si dichos datos son, a su vez, erróneos. Este concepto obvio es a veces olvidado por las mismas empresas que terminan perdiendo de vista la naturaleza y calidad de los datos de entrada a sus Sistemas Informáticos, con la posibilidad de que se provoque un efecto cascada y afecte a Aplicaciones independientes. En este caso interviene la Auditoría Informática de Datos. Un Sistema Informático mal diseñado puede convertirse en una herramienta peligrosa para la empresa: como las máquinas obedecen ciegamente a las órdenes recibidas y la modelización de la empresa está determinada por las computadoras que materializan los Sistemas de Información, la gestión y la organización de la empresa no puede depender de un Software y Hardware mal diseñados. Estos son solo algunos de los varios inconvenientes que puede presentar un Sistema Informático, por eso, la necesidad de la Auditoría de Sistemas. 2

11 1 Antecedentes La información es inherente a la existencia de las personas y de las sociedades. Permite conocer la realidad, interactuar con el medio físico, apoyar en la toma de decisiones, y evaluar las acciones de individuos y grupos el aprovechamiento de la información propicia la mejoría de los niveles de bienestar y permite aumentar la productividad y competitividad de las naciones. El importante aporte de la información se ha visto acrecentado por la posibilidad que ha traído consigo la informática, surgida de la convergencia tecnológica de la computación, la microelectrónica y las telecomunicaciones, para producir información en grandes volúmenes, y para consultarla y transmitirla a través de enormes distancias. De hecho, el mundo de fin de siglo XX esta inmerso en una nueva Revolución tecnológica basada en la informática. Esta encuentra su principal impulso en el acceso expedito y en la capacidad de procesamiento de información sobre prácticamente todos los temas y sectores. La nueva Revolución tecnológica ha contribuido a que culturas y sociedades se transformen aceleradamente, tanto económica como social y políticamente, con el objetivo fundamental de alcanzar la plenitud de sus potencialidades. En el mundo, hoy la informática es de carácter estratégico sus aplicaciones, ya han afectado prácticamente todas las actividades humanas de la manera siguiente: permitiendo la comunicación instantánea de conocimiento a distancia. (por ejemplo permitir integrar grupos de personas que radiquen en distintos sitios, con afinidades o necesidades especifica, para resolver problemas que les son comunes, generando los que se denomina inteligencia colectiva, etc..) ampliando las capacidades intelectuales del hombre. estableciendo al conocimiento como factor productivo. facilitando la generación de nuevas tecnologías y la automatización de procesos. permitiendo la reducción de tiempos y costos de producción. 3

12 impulsando la aparición de nuevos productos. propiciando nuevos servicios y de mejor calidad. (en el sector publico, algunos, como los de salud, enseñanza y seguridad social prestándose en mayor escala y de manera mas eficaz. las computadoras y las telecomunicaciones pueden coadyuvar en el suministro de estos servicios a comunidades marginadas, etc... todo esto se traduce a beneficios tangibles para la población.) generando nuevos empleos, principalmente en los servicios (mantenimiento, instalación y reparación de equipo, capacitación, etc...) modificando la composición y estructuras de los sectores productivos. (se efientizan estructuras, se redefinen responsabilidades de los directivos y trabajadores, etc...) da lugar a la noción del mundo como aldea global. (ya que los avances tecnológicos que se perfilan, hacen posible la transformación de los servicios para acercarlos a las necesidades particulares de las personas. (por ejemplo, la conexión a redes de computadoras nacionales e internacionales.) A estos efectos se están sumando transformaciones igualmente importantes, en el ámbito social, al cambiar la manera en que se llevan a cabo innumerables actividades cotidianas. Por la magnitud de sus efectos, esta Revolución tecnológica es comparable a dos importantes acontecimientos históricos de desarrollo tecnológico estratégico: Imprenta (siglo XV) permitió una mayor comunicación de ideas a distancia en forma impresa. impulso la generación del conocimiento. propicio el surgimiento de la escritura y la lectura como habilidad social. motivo la evolución cultural, social, política y económica. Revolución Industrial (siglo XVIII) Incremento capacidades productivas y la disponibilidad de satisfactores. Amplio opciones de empleo y de organización productiva. Causo desplazamiento del campo a la ciudad. Motivo desarrollo heterogéneo entre las naciones redefiniendo la arquitectura del mundo. En conclusión las sociedades que han incorporado la informática a su forma de vida cuentan con una ventaja económica y social invaluable en el contexto de la globalización debido a ello, múltiples naciones están enfocando sus esfuerzos a diseñar políticas y estrategias en informática. 4

13 El mundo no puede sustraerse de este contexto: los futuros niveles de bienestar y la viabilidad competitiva, dependen en gran medida de una estrategia informática que permita aprovechar el potencial que representa esta tecnología, haciendo de ella un instrumento eficaz que sirva para resolver problemas y para enfrentar con optimismo renovado los retos que el presente y el futuro presenten, por lo que es necesario en definitiva, para obtener un buen aprovechamiento evitar que por una falta de estándares y metodologías, y por una falta de formación y cultura generalizada, sobre todo en los aspectos de control y de seguridad informática, a pesar de los grandes adelantos tecnológicos, se produzca en las áreas de informática islotes de mecanización y de procesos manuales difíciles de controlar y caros de mantener por una falta de asimilación de las nuevas tecnologías, por una infrautilización de los equipos informáticos, por un descontento generalizado de los usuarios, por una obsolescencia de las aplicaciones informáticas actuales, por una falta de planificación de los Sistemas de Información, por falta de seguridad física y lógica y por soluciones planteadas parcialmente que, todo esto puede ser resueltos mediante la auditoría en Informática que es válida para cualquier tamaño de empresa y que teniéndola como un ejercicio práctico y formal, brindará a sus ejecutantes, así como a los negocios, un sentimiento de satisfacción justificado por el entendimiento y compromiso que implica asegurar la utilización correcta de los recursos de informática para lograr los objetivos de la organización. Todo lo que se planea debe ejecutarse con formalidad y oportunidad, lo que se relaciona con el hecho de que cualquier organización desea mantener sus activos en las mejores condiciones posibles y salvaguardar su integridad. La función de del auditor en informática no es fungir como capataz o policía del negocio, como tantas veces se ha planteado en forma sarcástica o costumbrista en las organizaciones. Este profesionista se orienta a funcionar como un punto de control y confianza para la alta dirección, además de que se busca ser un facilitador de soluciones. Por analogía el auditor se asemeja al médico que evalúa al paciente y le recomienda el tratamiento idóneo para estar en óptimas condiciones de salud. Según la situación del enfermo, recomendará tratamientos ligeros o fuertes y estrictos. Lo importante es que el paciente sepa que puede mejorar su salud. Esa es la orientación del auditor en informática: conducir a la empresa a la búsqueda permanente de la "salud" de los recursos de informática y de aquellos elementos que se relacionan con ella. No hay que pensar que este proceso cambiará la cultura organizacional de la noche a la mañana, los métodos de trabajo, la mala calidad, ni la improductividad en las áreas relacionadas con la informática; es un elemento estratégico directo que apoya la eliminación de cada una de las debilidades mencionadas. Sin embargo ha de coexistir con el personal responsable y profesional, así como con directores ya accionistas comprometidos con la productividad, calidad y otros factores recomendados para ser empresas de clase mundial. Se espera que cada auditor sea un profesional, un experto, pero sobre todo que sea un ser sensible, humano, que entienda el contesto real del negocio. Su 5

14 principal objetivo es conferir la dimensión justa a cada problemática, convirtiéndola en un área de oportunidad y orientándola hacia la solución del negocio. En los años cuarenta empezaron a presentarse resultados relevantes en el campo de la computación, a raíz de los sistemas de apoyo para estrategias militares; posteriormente se incrementó el uso de las computadoras y sus aplicaciones y se diversificó el apoyo a otros sectores de la sociedad: educación, salud, industria, política, banca, aeronáutica, comercio, etc. En aquellos años la seguridad y control de ese medio se limitaba a proporcionar custodia física a los equipos y a permitir la utilización de los mismos al personal altamente calificado (no existía un gran número de usuarios, ya fueran técnicos o administrativos). En el presente, la informática se ha extendido a todas las ramas de la sociedad, es decir, resulta factible controlar un vuelo espacial por medio de una computadora, así como seleccionar las compras del hogar en una computadora personal con acceso a internet, por ejemplo. Esta rapidez en el crecimiento de la informática permite deducir que los beneficios se han incrementado con la misma velocidad, algunos con mediciones tangible -como reducción de costos e incremento porcentual en ventas- y otros con aspectos intangibles -como mejoría en la imagen o satisfacción del cliente-, pero ambos con la misma importancia para seguir impulsando la investigación y actualización constante de la tecnología. La idea de que se obtienen mayores beneficios que antes no se halla muy lejos de la realidad; no obstante, también es válido afirmar que los costos han sido altos y en muchas ocasiones han rebasado los límites esperados, ocasionando grandes pérdidas y decepciones en los negocios. Las empresas y organismos interesados en que la informática continúe creciendo para beneficio de la humanidad (educación, productividad, calidad, ecología, etc.) desean que este incremento se controle y oriente de manera profesional: se debe obtener el resultado planeado y esperado en cada inversión de esta rama. Asegurar que las inversiones y proyectos inherentes a la función de informática sean justificados y brinden los resultados esperados es una responsabilidad de quien administre dicha función y, de igual manera, es responsabilidad de la dirección no aprobar proyectos que no aseguren la rentabilidad de la inversión. Con el paso de los años la informática y los elementos tecnológicos que la rodean han creado necesidades en cada sector social y se han tornado en un requerimiento permanente para alcanzar soluciones. El incremento persistente de las expectativas y necesidades relacionadas con la informática, al igual que la actualización continua de los elementos que componen la tecnología de este campo, obligan a las entidades que la aplican a disponer de controles, políticas y procedimientos que aseguren la alta dirección de los recursos humanos, materiales y financieros involucrados para que se protejan adecuadamente y se oriente a la rentabilidad y competitividad del negocio. Si se pregunta por qué preocuparse de cuidar esa caja etiquetada con el nombre de informática, y la respuesta que brinde a cualquiera de las siguientes preguntas es negativa, le convendría reafirmar o considerar la necesidad de 6

15 asumir la responsabilidad del control y otorgamiento de seguridad permanente a los recursos de informática? Los usuarios y la alta dirección conocen la situación actual de la función de informática en la empresa (organización, políticas, servicios, etc.)? Se aprueba formal y oportunamente el costo / beneficio de cada proyecto relacionado en forma directa con la informática? La informática apoya las áreas críticas del negocio? El responsable de la informática conoce los requerimientos actuales y futuros del negocio que necesitan apoyo de los servicios y productos de su área? Cada uno de los elementos del negocio conoce las políticas y procedimientos inherentes al control y seguridad de la tecnología informática? Existen dichas políticas y procedimientos de manera formal? Hay un plan de seguridad en la informática? Se ha calculado el alcance e impacto de la informática en la empresa? Hay un plan estratégico de informática alineado al negocio? Existen responsables que evalúen formal e imparcialmente la función de informática? Se cuenta con un control formal de cada proyecto relativo al área? Es importante para usted la informática? Evalúa periódica y formalmente dicha función de la informática? Auditan sólo sistemas de información y no otras áreas de la información? Cada una de las preguntas encierra una importancia específica para el buen funcionamiento informático de cualquier negocio; están interrelacionadas y la negación de alguna es una pequeña fuga de gas que, con el tiempo y un pequeño chispazo, puede ocasionar graves daños a los negocios, ya sean fraudes, proyectos cancelados con alto porcentaje de costos no recuperables, rechazo de los servicios de informática por los usuarios clave del negocio, improductividad y baja calidad de los recursos de informática, planes de informática no orientados a las metas y estrategias del negocio, piratería de software, fuga de información hacia la competencia o proveedores, entre otros daños. La improductividad, el mal servicio y la carencia de soluciones totales de la función informática fueron, son y pueden continuar siendo mal de muchas organizaciones. El problema real radica en que los proyectos prioritarios hacen gala del apoyo que obtienen de la informática; entonces, por qué no cuidarla? Algunos de los problemas por las debilidades o fallas de la informática son: Debilidades en la planeación del negocio al no involucrar la informática generan inconsistencias. Resultados negativos (improductividad, duplicidad de funciones, etc.) en el desarrollo, operación y mantenimiento de sistemas de información. Falta de actualización del personal de informática y técnico donde se encuentran instalados los sistemas y las soluciones del negocio. Mínimo o nulo involucramiento de los usuarios en el desarrollo e implantación de soluciones de informática. Capacitación deficiente en el usos de los sistemas de información, el 7

16 software (base de datos, procesadores de palabras, hojas de cálculo, graficadores, etc.) y el hardware (equipos de cómputo, impresoras y otros periféricos, etc.). Administración de proyectos que no es formal ni completa (no se alinea a los objetivos del negocio) Carencia de un proceso de análisis costo / beneficio formal previo al arranque de cada proyecto de informática. Metodologías de planeación y desarrollo de sistemas informales no estandarizadas y en muchos casos inexistentes. Uso y entendimiento mínimo o inexistente de técnicas formales para el desempeño de funciones en las áreas de informática: Análisis y diseño de sistemas de información Entrevistas a usuarios operativos y ejecutivos Cuestionarios Modelación de procesos Modelación de datos Costo / beneficio, etcétera. Control de proyectos. Trabajo en equipo de desempeño. Involucramiento mínimo o informal de la alta dirección en los proyectos de informática. Proyectos de auditoría o evaluación de informática esporádicos e informales y en muchos casos inexistente. Otros. 8

17 2 Terminología de la auditoría en informática 2.1 Informática La informática se desarrolla con base en normas, procedimientos y técnicas definidas por institutos establecidos a nivel nacional e internacional. La informática es el campo que se encarga del estudio y aplicación práctica de la tecnología, métodos, técnicas y herramientas relacionados con las computadoras y el manejo de información por medios electrónicos, el cual comprende las áreas de la tecnología de información orientadas al buen uso y aprovechamiento de los recursos computacionales para asegurar que la información de las organizaciones fluya(entidades internas y externas de los negocios) de manera oportuna y veraz; además es el proceso metodológico que se desarrolla de manera permanente en las organizaciones para el análisis, evaluación, selección, implantación y actualización de los recursos humanos (conocimientos, habilidades, normas, etc), tecnológicos (hardware, software, etc.) materiales (escritorios, edificios, accesorios. etc.) y financieros (inversiones) encaminados al manejo de la información, buscando que no se pierdan los propósitos confiabilidad, oportunidad, integridad y veracidad entre otros propósitos. Hardware se refiere a los componentes físicos y tangibles de las computadoras, generalmente clasificados en cuatro grandes ramas: computadoras personales Redes (locales, abiertas, etc.) Minicomputadoras Supercomputadoras (mainframes) Software implica la parte no física de las computadoras. Esto significa que es la porción intangible de los equipos de cómputo, es decir, programas con 9

18 orientaciones específicas para la administración de la informática y el uso eficiente de los recursos de cómputo. Su clasificación se puede resumir en los siguientes términos: Software de aplicaciones (sistemas de información) Administrativos. Financieros. De manufactura. Otros. Software de paquetes computacionales (paquetería) Hojas electrónicas. Procesadores de palabras. Otros. Software de programación Lenguajes de tercera generación Lenguajes de cuarta generación Software de sistemas operativos Para computadoras personales. Para minicomputadoras. Para supercomputadoras. Productos CASE (ComputerAided Software Enaineering) Para planeación de sistemas de información. Para análisis de sistemas de información. Para diseño de sistemas de información. Para todo ciclo de desarrollo e implantación de sistemas de información (CDISI). Para Propósitos específicos Arquitectura. Auditoría. Ingeniería. Medicina. Otras ciencias. Sistemas de información: Son el conjunto de módulos computacionales o manuales organizados e interrelacionados de manera formal para la administración y uso eficiente de los recursos (humanos, materiales, financieros, tecnológicos, etc.) de un área específica de la empresa (manufactura, administración, dirección, etc.), con la finalidad de representar los procesos reales del negocio y orientar los procedimientos, políticas y funciones inherentes para lograr las metas y objetivos del negocio de forma eficiente. Los sistemas de información pueden orientarse al apoyo de los siguientes aspectos: - Niveles operativos del negocio - Niveles tácticos del negocio - Niveles estratégicos del negocio Sistemas de información estratégica (SIE): Son aquellos que de manera permanente proporcionan a la alta dirección una serie de parámetros y acciones encaminadas a la toma de decisiones que apoyarán al negocio en el seguimiento 10

19 de la rentabilidad y competitividad respecto a la competencia. Metodología: Es un conjunto de etapas (fases o módulos) formalmente estructurados, de manera que brinden a los interesados los siguientes parámetros de acción en el desarrollo de sus proyectos: Plan general y detallado. Tareas y acciones. Tiempos. Aseguramiento de calidad. Involucrados. Etapas (fases o módulos). Revisiones de avance. Recursos requeridos. Otros. Una buena metodología debe responder a los siguientes cuestionamientos: qué hacer?, Dónde debo hacerlo?, cómo plantearlos?, por qué aprobarlo?, cuándo revisarlo?, cuándo empezarlo?, quién debe hacerlo?, por qué debo hacerlo?, cómo aprobarlo?, quiénes deben comprometerse?, por qué revisarlo?, cuándo terminarlo?, cómo justificarlo?, etcétera. Técnicas: Es el conjunto de procedimientos y pasos ordenados que se usan con el desarrollo de un proyecto con el propósito de finalizar las etapas, fases o módulos definidos en el proceso metodológico. Algunas de las técnicas generalmente aceptadas son: Análisis estructurado Diseño estructurado Gráficas de Pert Gráficas de Gantt Documentación Programación estructurada Modulación de datos y procesos Entrevistas Otras Las técnicas son el conjunto de pasos ordenados lógicamente para apoyarse en la terminación (cómo hacerlo) de las acciones o tareas estimadas en el proyecto emanado de la metodología. Herramientas: Es el conjunto de elementos físicos utilizados para llevar a cabo las acciones y pasos definidos en la técnica. Antes del auge de las computadoras, así como de otros elementos tecnológicos relacionados con la ingeniería, arquitectura, etc., dichas herramientas eran simples máquinas o utensilios manuales que apoyaban el desarrollo de las tareas de cada uno de los proyectos. Herramientas de productividad: Ayudan a optimizar el tiempo de los recursos en el desarrollo de un proyecto; así mismo, se encaminan a proporcionar 11

20 resultados de alta calidad para apoyar el logro de las actividades administrativas relacionadas con procesos de información, por ejemplo; Procesadores de palabras (documentación, entrevistas y cuestionarios entre otros) Diagramadores (diagramas de flujo, diagramas organizacionales, etc) Graficadores (estadísticas, estimación de actividades en tiempo, costos, etcétera) Productos CASE (modelación de datos, modelación de procesos, validación de datos y procesos, generadores de diccionarios de datos, por citar algunos casos) Impresoras (láser, por ejemplo) Computadoras personales Otros. Las herramientas de productividad no se asocian necesariamente con inversiones elevadas en la compra de hardware y software especializado; se relacionan con los recursos mecánicos o automatizados que apoyan al personal en la obtención de productos de calidad en niveles de productividad aceptados por los líderes de proyectos, o definidos por los estándares de trabajo del negocio. 2.2 Auditoria Con frecuencia la palabra auditoria se ha empleado incorrectamente y se ha considerado como una valuación cuyo único fin es detectar errores y señalar fallas; por eso se ha llegado a acuñar la frase "tiene auditoria" como sinónimo de que, desde antes de realizarse, ya se encontraron fallas y por lo tanto se esta haciendo la auditoria. El concepto de auditoria es más amplio: no sólo detecta errores, sino que es un examen crítico que se realiza con objeto de evaluar la eficiencia y eficacia de una sección o de un organismo. La palabra auditoría viene del latín auditorius, y de ésta proviene auditor, que tiene la virtud de oír, y el diccionario lo define como "revisor de cuentas auditor". El auditor tiene la virtud de oír y revisar cuentas, pero debe estar encaminado a un objetivo específico que es el de evaluar la eficiencia y eficacia con que se está operando para que, por medio del señalamiento de recursos alternativos de acción, se tome decisiones que permitan corregir los errores, en caso de que existan, o bien mejorar la forma de actuación. Si consultamos nuevamente el diccionario encontramos que eficacia es: "virtud, actividad, fuerza, para poder obrar" mientras que eficiencia es: "virtud y facultad para lograr un efecto determinado", por lo que eficiencia es el poder lograr lo planeado con los menores recursos posibles, mientras que eficacia es lograr los objetivos. El Boletín "C" de Normas de Auditoria del Instituto Mexicano de Contadores nos dice. "La auditoria no es una actividad meramente mecánica que implique la aplicación de ciertos procedimientos cuyos resultados, una vez llevados a cabo, son de carácter indudable. La auditoría requiere el ejercicio de un juicio profesional, sólido y maduro, para juzgar los procedimientos que debe de seguir y 12

21 estimar los resultados obtenidos". Así como existen normas y procedimientos específicos para la realización de auditorias contables, debe haber también normas y procedimientos para la realización de auditorias en informática como parte de una profesión. Pueden estar basadas en las experiencias de otras profesiones pero con algunas características propias y siempre detección de errores, y además la auditoría debe evaluar para mejorar lo existente, corregir errores y proponer alternativas de solución. 2.3 Tareas principales de la auditoría Estudiar y actualizar permanentemente las áreas susceptibles de revisión. Apegarse a las tareas que desempeñen las normas, políticas, procedimientos y técnicas de auditoría establecidas por organismos generalmente aceptados a nivel nacional e internacional. Evaluación y verificación de las áreas requeridas por la alta dirección o responsables directos del negocio. Elaboración del informe de auditoría (debilidades y recomendaciones). Otras recomendadas para el desempeño eficiente de la auditoría. 2.4 Auditoría en informática La auditoría en informática se desarrolla en función de normas, procedimientos y técnicas definidas por institutos establecidos a nivel nacional e internacional; por ello, nada más se señalarán algunos aspectos básicos para su entendimiento. Así, la auditoría en informática es: a) Un proceso formal ejecutado por especialistas del área de auditoría y de informática; se orienta a la verificación y aseguramiento para que las políticas y procedimientos en la organización se realicen de una manera oportuna y eficiente. b) Las actividades ejecutadas por profesionales del área de informática y de auditoría encaminadas a evaluar el grado de cumplimiento de políticas, controles y procedimientos correspondientes al uso de los recursos de informática por el personal de la empresa (usuarios, informática, alta dirección, etc.).dicha evaluación deberá ser la pauta para la entrega del informe de auditoría en informática, el cual debe contener las observaciones, recomendaciones y áreas de oportunidad para el mejoramiento y optimización permanente de la tecnología de informática en el negocio. c) El conjunto de acciones que realiza el personal especializado en las áreas de auditoría y de informática para el aseguramiento continuo de que los recursos de informática operen en un ambiente de seguridad y control eficientes, con la finalidad de proporcionar a la alta dirección o 13

22 niveles ejecutivos la certeza de que la información que circula por el área se maneja con los conceptos básicos de integridad, totalidad, exactitud, confiabilidad, etcétera. d) Proceso metodológico que tiene el propósito principal de evaluar los recursos (humanos, materiales, financieros, tecnológicos, etc.) relacionados con la función de informática para garantizar al negocio que dicho conjunto opere con un criterio de integración y desempeño de niveles altamente satisfactorios, para que a su vez apoyen la productividad y rentabilidad de la organización. 14

23 3 Auditoría informática 3.1 La importancia de la auditoría en informática La tecnología de informática, traducida en hardware, software, sistemas de información, investigación tecnológica, redes locales, base de datos, ingeniería de software, telecomunicaciones, servicios y organización de informática, es una herramienta estratégica que brinda rentabilidad y ventajas competitivas a los negocios frente a sus similares en el mercado, pero puede originar costos y desventajas si no es bien administrada por el personal encargado. Para darse cuenta si se está administrando de manera correcta la función de la informática es necesario que se evalúe dicha función mediante evaluaciones oportunas y completas por personal calificado consultores externos, auditores en informática o evaluaciones periódicas realizadas por el mismo personal de informática, entre otras estrategias. 3.2 Formas de llevar a cabo una auditoria en informática La auditoría interna es la realizada con recursos materiales y personas que pertenecen a la empresa auditada. Los empleados que realizan esta tarea son remunerados económicamente. La auditoría interna existe por expresa decisión de la empresa, o sea, que puede optar por su disolución en cualquier momento. Por otro lado, la auditoría externa es realizada por personas afines a la empresa auditada; es siempre remunerada. Se presupone una mayor objetividad que en la auditoría Interna, debido al mayor distanciamiento entre auditores y auditados. La auditoría en informática interna cuenta con algunas ventajas adicionales muy importantes respecto de la auditoría externa, las cuales no son tan perceptibles como en las auditorias convencionales. La auditoría interna tiene la ventaja de que puede actuar periódicamente realizando revisiones globales, como parte de su Plan Anual y de su actividad normal. Los auditados conocen estos planes y se habitúan a las auditorias, especialmente cuando las consecuencias de 15

24 las recomendaciones habidas benefician su trabajo. En una empresa, los responsables de Informática escuchan, orientan e informan sobre las posibilidades técnicas y los costos de tal sistema. Con voz, pero a menudo sin voto, el área de informática trata de satisfacer lo más adecuadamente, posible aquellas necesidades. La empresa necesita controlar su Informática y ésta; necesita que su propia gestión esté sometida a los mismos procedimientos y estándares que el resto de aquella. La conjunción de ambas necesidades cristaliza en la figura del auditor interno en informática. En cuanto a empresas se refiere, solamente las más grandes pueden poseer una auditoría propia y permanente, mientras que el resto acuden a las auditorias externas. Puede ser que algún profesional informático sea trasladado desde su puesto de trabajo a la auditoría Interna de la empresa cuando ésta existe. Finalmente, la propia Informática requiere de su propio grupo de control interno, con implantación física en su estructura, puesto que si se ubicase dentro de la estructura Informática ya no sería independiente. Hoy, ya existen varias organizaciones Informáticas dentro de la misma empresa, y con diverso grado de autonomía, que son coordinadas por órganos corporativos de Sistemas de Información de las Empresas. Una Empresa o Institución que posee auditoría interna puede y debe en ocasiones contratar servicios de auditoría externa. Las razones para hacerlo suelen ser: Necesidad de auditar una materia de gran especialización, para la cual los servicios propios no están suficientemente capacitados. Contrastar algún Informe interno con el que resulte del externo, en aquellos supuestos de emisión interna de graves recomendaciones que chocan con la opinión generalizada de la propia empresa. Servir como mecanismo protector de posibles auditorias en informática externas decretadas por la misma empresa. Aunque la auditoría interna sea independiente del Departamento de Sistemas, sigue siendo la misma empresa, por lo tanto, es necesario que se le realicen auditorias externas como para tener una visión desde afuera de la empresa. La auditoría en informática, tanto externa como interna, debe ser una actividad exenta de cualquier contenido o matiz "político" ajeno a la propia estrategia y política general de la empresa. La función de auditoria puede actuar de oficio, por iniciativa del propio órgano, o a instancias de parte, esto es, por encargo de la dirección o cliente. 3.3 Síntomas de necesidad de una Auditoria Informática: Las empresas acuden a las auditorias en informática cuando existen síntomas bien perceptibles de debilidad. Estos síntomas pueden agruparse en clases: Síntomas de descoordinación y desorganización: No coinciden los objetivos de la Informática de la empresa y de la propia 16

25 empresa. Los estándares de productividad se desvían sensiblemente de los promedios conseguidos habitualmente. [Puede ocurrir con algún cambio masivo de personal, o en una reestructuración fallida de alguna área o en la modificación de alguna norma importante] Síntomas de mala imagen e insatisfacción de los usuarios: No se atienden las peticiones de cambios de los usuarios. Ejemplos: cambios de Software en los terminales de usuario, refrescamiento de paneles, variación de los ficheros que deben ponerse diariamente a su disposición, etc. No se reparan las averías de Hardware ni se resuelven incidencias en plazos razonables. El usuario percibe que está abandonado y desatendido permanentemente. No se cumplen en todos los casos los plazos de entrega de resultados periódicos. Pequeñas desviaciones pueden causar importantes desajustes en la actividad del usuario, en especial en los resultados de Aplicaciones críticas y sensibles. Síntomas de debilidades económico-financiero: Incremento desmesurado de costos. Necesidad de justificación de Inversiones Informáticas (la empresa no está absolutamente convencida de tal necesidad y decide contrastar opiniones). Desviaciones Presupuestarias significativas. Costos y plazos de nuevos proyectos (deben auditarse simultáneamente a Desarrollo de Proyectos y al órgano que realizó la petición). Síntomas de Inseguridad: Evaluación de nivel de riesgos Seguridad Lógica Seguridad Física Confidencial dad [Los datos son propiedad inicialmente de la organización que los genera. Los datos de personal son especialmente confidenciales] Continuidad del Servicio. Es un concepto aún más importante que la Seguridad. Establece las estrategias de continuidad entre fallos mediante Planes de Contingencia' Totales y Locales. Centro de Proceso de Datos fuera de control. Si tal situación llegara a percibirse, seria prácticamente inútil la auditoria. Esa es la razón por la cual, en este caso, el síntoma debe ser sustituido por el mínimo indicio. * Planes de Contingencia: Por ejemplo, la empresa sufre un corte total de energía o explota, Cómo sigo operando en otro lugar? Lo que generalmente se pide es que se hagan Backups de la información diariamente y que aparte, sea doble, para tener un Backup en la empresa y otro afuera de ésta. Una empresa puede tener unas oficinas paralelas que posean servicios básicos (luz, teléfono, agua) distintos de los de la empresa principal, es decir, si a la empresa principal le proveía 17

26 teléfono Telecom, a las oficinas paralelas, Telefónica. En este caso, si se produce la inoperancia de Sistemas en la empresa principal, se utilizaría el Backup para seguir operando en las oficinas paralelas. Los Backups se pueden acumular durante dos meses, o el tiempo que estipule la empresa, y después se van reciclando. 3.4 Herramientas y Técnicas para la Auditoria Informática: Cuestionarios: Las auditorias en informática se materializan recabando información y documentación de todo tipo. Los informes finales de los auditores dependen de sus capacidades para analizar las situaciones de debilidad o fortaleza de los diferentes entornos. El trabajo de campo del auditor consiste en lograr toda la información necesaria para la emisión de un juicio global objetivo, siempre amparado en hechos demostrables, llamados también evidencias. Para esto, suele ser lo habitual comenzar solicitando la complementación de cuestionarios preimpresos que se envían a las personas concretas que el auditor cree adecuadas, sin que sea obligatorio que dichas personas sean las responsables oficiales de las diversas áreas a auditar. Estos cuestionarios no pueden ni deben ser repetidos para instalaciones distintas, sino diferentes y muy específicos para cada situación, y muy cuidados en su fondo y su forma. Sobre esta base, se estudia y analiza la documentación recibida, de modo que tal análisis determine a su vez la información que deberá elaborar el propio auditor. El cruzamiento de ambos tipos de información es una de las bases fundamentales de la auditoría. Cabe aclarar, que esta primera fase puede omitirse cuando los auditores hayan adquirido por otro medios la información que aquellos preimpresos hubieran proporcionado Entrevistas: El auditor comienza a continuación las relaciones personales con el auditado. Lo hace de tres formas: 1. Mediante la petición de documentación concreta sobre alguna materia de su responsabilidad, 2. Mediante "entrevistas" en las que no se sigue un plan predeterminado ni un método estricto de sometimiento a un cuestionario. 3. Por medio de entrevistas en las que el auditor sigue un método preestablecido de antemano y busca unas finalidades concretas. La entrevista es una de las actividades personales más importante del 18

27 auditor; en ellas, éste recoge más información, y mejor matizada, que la proporcionada por medios propios puramente técnicos o por las respuestas escritas a cuestionarios. Aparte de algunas cuestiones menos importantes, la entrevista entre auditor y auditado se basa fundamentalmente en el concepto de interrogatorio; es lo que hace un auditor, interroga y se interroga a sí mismo. El auditor informático experto entrevista al auditado siguiendo un cuidadoso sistema previamente establecido, consistente en que bajo la forma de una conversación correcta y lo menos tensa posible, el auditado conteste sencillamente y con pulcritud a una serie de preguntas variadas, también sencillas. Sin embargo, esta sencillez es solo aparente. Tras ella debe existir una preparación muy elaborada y sistematizada, y que es diferente para cada caso particular Checklist: El auditor profesional y experto es aquél que reelabora muchas veces sus cuestionarios en función de los escenarios auditados. Tiene claro lo que necesita saber, y por qué. Sus cuestionarios son vitales para el trabajo de análisis, cruzamiento y síntesis posterior, lo cual no quiere decir que haya de someter al auditado a unas preguntas estereotipadas que no conducen a nada. Muy por el contrario, el auditor conversará y hará preguntas "normales", que en realidad servirán para la complementación sistemática de sus Cuestionarios, de sus Checklists. Hay opiniones que descalifican el uso de las Checklists, ya que consideran que leerle una pila de preguntas recitadas de memoria o leídas en voz alta descalifica al auditor informático. Pero esto no es usar Checklists, es una evidente falta de profesionalismo. El profesionalismo pasa por un procesamiento interno de información a fin de obtener respuestas coherentes que permitan una correcta descripción de puntos débiles y fuertes. El profesionalismo pasa por poseer preguntas muy estudiadas que han de formularse flexiblemente. El conjunto de estas preguntas recibe el nombre de Checklist. Salvo excepciones, las Checklists deben ser contestadas oralmente, ya que superan en riqueza y generalización a cualquier otra forma. Según la claridad de las preguntas y el talante del auditor, el auditado responderá desde posiciones muy distintas y con disposición muy variable. El auditado, habitualmente informático de profesión, percibe con cierta facilidad el perfil técnico y los conocimientos del auditor, precisamente a través de las preguntas que éste le formula. Esta percepción configura el principio de autoridad y prestigio que el auditor debe poseer. Por ello, aun siendo importante tener elaboradas listas de preguntas muy sistematizadas, coherentes y clasificadas por materias, todavía lo es más el modo y el orden de su formulación. Las empresas externas de Auditoría Informática guardan sus Checklists, pero de poco sirven si el auditor no las utiliza adecuada y oportunamente. No debe olvidarse que la función auditora se ejerce sobre bases de autoridad, prestigio y ética. El auditor deberá aplicar el Checklist de modo que el audítado responda 19