Asistente para la realización de auditorías de sistemas en organismos Públicos o Privado. Proyecto de Tesis de Magíster en Ingeniería del Software Maestrando: Lic.Horacio Kuna Director: Dr. Ramón García Martínez 1. Introducción El actual estado de desarrollo de los sistemas de información hace que los mismos sean cada vez más complejos, integrados y relacionados. Esto hace que sea cada vez más necesario en todas las organizaciones y no solo en las grandes, el garantizar el cumplimiento de las normas y procedimientos establecidos para el manejo de las políticas relacionadas con la Tecnología de la Información. La auditoría de sistemas aporta métodos, técnicas y procedimientos que permiten controlar el uso eficaz y eficiente de los sistemas de información, se la puede definir como: La auditoría de sistemas es el proceso de revisión y evaluación, parcial o completo de los aspectos relacionados con el procesamiento automatizado de la información [ISACA, 2002] La auditoría de sistemas es fundamental para garantizar el correcto funcionamiento de los Sistemas de Información al proporcionar los controles necesarios que permiten garantizar la seguridad, integridad, disponibilidad y confiabilidad de los mismos [Rivas Gonzalo Alonso, 1988]. La información es uno de los principales activos con los que cuentan las organizaciones, este recurso crítico involucra los siguientes elementos que deben ser protegidos [COBIT, 1996]: Proyecto de Tesis de Maestría en Ingeniería del Software ITBA UPM 2004 Pág. 1
Datos, que son todos los objetos de la información. Aplicaciones, son el conjunto de sistemas de información. Tecnología, es el conjunto de hardware y software de base. Instalaciones, son los recursos necesarios para alojar a los sistemas de información. Recursos Humanos, es el personal relacionado directamente con el desarrollo y producción de los sistemas de información. La palabra auditoría proviene del latín y etimológicamente significa oír, y en los orígenes la función del auditor de sistemas estaba relacionada con detectar errores en los procedimientos relacionados con el procesamiento de la información a través del uso de ordenadores, en la actualidad se entiende al auditor como un consultor especializado en los riesgos que emergen del procesamiento de datos en este nuevo contexto caracterizado por los constantes cambios que se producen en esta verdadera revolución tecnológica en la que estamos sumergidos. Los Objetivos de la auditoría de sistemas son [Castello Ricardo, 1998]: Que el procesamiento de datos cumpla con las normas y procedimientos institucionales y legales vigentes. Que existan procedimientos adecuados para la selección, uso y resguardo de los recursos informáticos de la organización. Que la consistencia, confiabilidad y seguridad de los datos sean suficientes. Que este asegurada la adecuada y eficaz operación de los sistemas informáticos de la organización. Los auditores de sistemas de información [ISACA, 2002] examinan y evalúan el desarrollo, implementación, mantenimiento y operación de los componentes de sistemas automatizados y sus interfaces con sistemas externos y no automatizados. Proyecto de Tesis de Maestría en Ingeniería del Software ITBA UPM 2004 Pág. 2
Se establecen tres tipos de funciones para los auditores de sistemas [PIATTINI MARIO, 2003]: Participar en la revisión del diseño, realización, implantación y explotación de las aplicaciones informáticas. Revisar y evaluar los controles implementados en los sistemas informáticos. Revisar y evaluar la eficacia, utilidad, fiabilidad y seguridad de los equipos e información. 2. Estado de la tecnología A nivel internacional y nacional existen diferentes normas que intentan estandarizar el proceso de la auditaría de sistemas, algunas de ellas son: 2.1. COBIT (Control Objectives for Information and related Technology) La misión y objetivos de COBIT [ISACA, 2004] es investigar, desarrollar, publicar y promover un conjunto de objetivos de control en tecnología de la información (TI) con autoridad, actualizados, de carácter internacional y aceptados generalmente para el uso cotidiano de gerentes de empresas y auditores. La Information Systems Audit and Control Foundation y los patrocinadores de COBIT, han diseñado este producto principalmente como una fuente de instrucción para los auditores de sistemas. COBIT ha sido desarrollado como estándares para mejorar las prácticas de control y seguridad de las TI que provean un marco de referencia para la Administración, Usuarios y Auditores. Proyecto de Tesis de Maestría en Ingeniería del Software ITBA UPM 2004 Pág. 3
COBIT define los siguientes elementos: Dominios: Agrupación natural de procesos, se definen en cuatro: o Planificación y organización, o Adquisición e implementación, o Prestación y soporte, y o Monitoreo. Procesos: Conjuntos o series de actividades unidas con delimitación o cortes de control. En cada proceso se definen objetivos de control. Actividades: Acciones requeridas para lograr un resultado medible. Se definen 34 objetivos de control generales, uno para cada uno de los procesos de las TI, estos procesos están agrupados en los cuatro grandes dominios citados. 2.2. ISACA La Information Systems audit. And Control Association (ISACA) estableció un conjunto de normas generales para los sistemas de auditoría de la información [ADACSI, 2004], las mismas son: 010 Título de auditoría 010.010 Responsabilidad, autoridad y rendimiento de cuentas 020 Independencia 020.010 Independencia profesional 020.020 Relación organizativa 030 Ética y normas profesionales 030.010 Código de Ética Profesional 030.020 Atención profesional correspondiente Proyecto de Tesis de Maestría en Ingeniería del Software ITBA UPM 2004 Pág. 4
040 Idoneidad 040.010 Habilidades y conocimientos 040.020 Educación profesional continua 050 Planificación 050.010 Planificación de la auditoría 060 Ejecución del trabajo de auditoría 060.010 Supervisión 060.020 Evidencia 070 Informes 070.010 Contenido y formato de los informes 080 Actividades de seguimiento 080.010 Seguimiento 2.3. SIGEN A nivel nacional la SIGEN (Sindicatura General de la Nación) [SIGEN, 2004] establece un conjunto de normas y procedimientos generales relacionados con el proceso de Auditoría financiera, no encontrándose ninguna específica relacionada con la Auditoría de Sistemas. 3. Identificación del problema En la actualidad la auditoría de sistemas asistida por computadora es muy limitada y parcial en particular se destaca el uso de software especifico para la auditoría de datos como por ejemplo el IDEA [IDEA, 2004] desarrollado en Canadá, o el MAGERIT [MAGERIT, 2004] desarrollado en España para automatizar la gestión de riesgos que se integra con la metodología METRICA 3. También se utilizan Proyecto de Tesis de Maestría en Ingeniería del Software ITBA UPM 2004 Pág. 5
herramientas software generales para la gestión de los proyectos de auditoría, pero los mismos no son específicos. La auditoría asistida por computadora tiene en la actualidad un desarrollo incipiente, en particular es muy escasa la utilización de herramientas relacionadas con sistemas expertos [PIATTINI MARIO, 2003]. La deficiencia fundamental de lo que se denomina Computer Aided Assisted Audit Technique Tool (CAAT) se relaciona con la inexistencia de herramientas software integradas, que permitan automatizar una auditoría de sistemas. Por lo tanto el proceso de adaptación de la planificación y ejecución de un proceso de auditoría de sistemas a una organización en particular se relaciona con la expertis del auditor, sin que el mismo pueda utilizar herramientas que lo guíen en este proceso. 4. Esbozo de la solución El objetivo del proyecto es diseñar la primer versión de una herramienta standalone que asista desde el punto de vista metodológico [HERNADEZ HERNANDEZ, 1998] al proceso de auditoría en lo relacionado con la determinación de alcances y objetivos, estudio preliminar, determinación de recursos necesarios, planificación, desarrollo, y presentación de conclusiones y permita la generación automática de documentación, considerando lo estándares existentes y adecuándolos al entorno a auditar. Permitiendo: Asistir al auditor en el proceso de determinación del alcance y objetivos, guiándolo a través de cuestionarios específicos, de acuerdo al tipo de organización que se trate, que permitan orientarlo metodológicamente en el proceso de definición del alcance y los objetivos generales y específicos. Proyecto de Tesis de Maestría en Ingeniería del Software ITBA UPM 2004 Pág. 6
Asistir al auditor en el estudio preliminar, proponiéndole cuestionarios que permitan definir, considerando el alcance y objetivos definidos en el punto anterior, la estructura interna del Área de Informática a auditar, las aplicaciones existentes, el personal relacionado con la tarea, el inventario y arquitectura del hardware y software, la documentación existente, las características de las telecomunicaciones, la cantidad y características de las bases de datos, etc. El asistente en función de los objetivos, alcance y el estudio preliminar deberá sugerirle al auditor los recursos necesarios para realizar la tarea. Asistir al proceso de planificación adaptando la misma a la organización específica donde se intenta realizar la tarea, proponiendo de acuerdo a los pasos anteriormente desarrollados un plan de trabajo tentativo. Asistir en el desarrollo de la auditoría, sugiriendo distintos cuestionarios y cheklist para cada una de las áreas a auditar (desarrollo, producción, redes, gestión, etc.), definiendo los objetivos de control de acuerdo a las características de la organización. El asistente deberá orientar al auditor en la elaboración del informe final considerando las tareas realizadas anteriormente. Se debe considerar el dominio de empresas donde podrá aplicarse el desarrollo, las mismas podrán realizar actividades de servicios y/o producción, que desarrollan, adquieren, operan y mantienen sistemas relacionados con circuitos administrativos estándares, quedando fuera de los limites del presente trabajo, los sistemas empotrados, sistemas en tiempo real, sistemas de manufactura integrada por computadora, empresas que brinden servicios de telecomunicaciones Se analizará la factibilidad de integrar en el futuro, el asistente a desarrollar con otros softwares específicos como por ejemplo el IDEA, MAGERiT, MSPROJECT, Bases de datos y Procesador de Textos, con el objetivo de contar con una Proyecto de Tesis de Maestría en Ingeniería del Software ITBA UPM 2004 Pág. 7
herramienta software que provea un entorno de trabajo único e integrado de manera de optimizar y facilitar la CAAT. 5. Planificación tentativa Para el desarrollo de la herramienta propuesta se utilizará la Metodología MÉTRICA Versión 3 [Métrica V3, 2000]. De acuerdo al siguiente plan de trabajo: Tarea Descripción Tiempo estimado PSI Plan De Sistemas de Información No se aplica EVS Estudio de viabilidad del sistema 30 horas ASI Análisis del sistema de Información 140 horas DSI Diseño del sistema de Información 150 horas CSI Construcción del sistema de Información 210 horas IAS Implantación y aceptación del sistema 70 horas MSI Mantenimiento del sistema de No se aplica información Gestión del proyecto Seguridad Gestión de Configuración Aseguramiento de la calidad 80 horas 20 horas 30 horas 70 horas Preparación de la tesis TOTAL 100 horas 900 horas La herramienta se desarrollará dentro del ambiente Open Source, se utilizará el lenguaje PHP y el motor de base de datos Firebird, la misma será del tipo standalone. Proyecto de Tesis de Maestría en Ingeniería del Software ITBA UPM 2004 Pág. 8
Aclaraciones: En la planificación no se prevé la actividad PSI, esto se debe a que se trata de un sistema que no se desarrolla para una organización en particular, siendo objetivo de la tesis que pueda ser aplicado en cualquier organización, por lo tanto no es necesario realizar un Plan de Sistemas de Información. El alcance de la tesis se refiere a construir una primer versión del sistema por lo tanto no se contemplan actividades relacionadas con el mantenimiento del sistema (MSI) La etapa de Implementación y aceptación del sistema (IAS) solo contempla las pruebas del sistema ya que se trata del desarrollo de un prototipo. Con una dedicación semanal de 20 horas, el tiempo total estimado se traduce en 45 semanas, lo que significa aproximadamente 11 meses. 6. Referencias ADACSI, 2004. Disponible en http://www.adacsi.org.ar pagina vigente al 11 de setiembre de 2004 Castello Ricardo, 1998. Auditoría en entornos informáticos. 125 páginas. Editorial Universidad Nacional de Córdoba. ISBN en trámite COBIT, 1996. Disponible en http://www.cobit.org pagina vigente al 16 de abril de 2004. Hernández Hernando, Enrique. Auditoría en Informática, un enfoque práctico. 315 páginas. Editorial CECSA, México. ISBN: 968-26-1283-7 ISACA, 2002. Disponible en http://www.isaca.org pagina vigente al 16 de abril de 2004. IDEA, 2004. Disponible en www.usd.edu/idea/audit/, página vigente al 26 de abril de 2004. ISACA, 2004. Disponible en http://www.isaca.org.cl pagina vigente al 16 de abril de 2004. MAGERIT, 2004. Disponible en www.csi.map.es/csi/pg5m20.htm, página vigente al 26 de abril de 2004. Proyecto de Tesis de Maestría en Ingeniería del Software ITBA UPM 2004 Pág. 9
Métrica V3, 2000. Metodología de Planificación, Desarrollo y Mantenimiento de sistemas de información. Ministerio de Administraciones Públicas Español. Disponible en http://www.csi.map.es/csi/metrica3/index.html, página vigente al 16 de abril de 2004. Piattini Mario y del Peso Emilio, 2003. Auditoría Informática, un enfoque práctico. 659 páginas. Editorial Alfaomega-Rama. ISbn: 958-682-455-1 Rivas, Gonzalo Alonso. 1988. Auditoría Informática. 198 páginas. Ediciones Díaz de Santos. ISBN 84-87189-13 SIGEN, 2004. Disponible en http://www.sigen.gov.ar pagina vigente al 16 de abril de 2004. Proyecto de Tesis de Maestría en Ingeniería del Software ITBA UPM 2004 Pág. 10