Capítulo 4.htm

Free Web Hosting Provider - Web Hosting - E-commerce - High Speed Internet - Free Web Page

Dentro de las áreas generales, es posible establecer las siguientes divisiones:

Auditoría Informática de Explotación, Auditoría Informática de Sistemas, Auditoría Informática de Comunicaciones, Auditoría Informática de Desarrollo de Proyectos y Auditoría Informática de Seguridad, siendo esta última también un área general.

Nos faltaba definir y detallar la Auditoría Informática de Desarrolo de Proyectos y Auditoría de Seguridad.

Son estas últimas, las cinco Areas Específicas de la Auditoría Informática más importantes.

Debe evaluarse la diferencia entre la generalidad y la especificación que posee la Seguridad. Según ella, realizarse una Auditoría Informática de la Seguridad del entorno global de la informática, mientras en otros casos puede auditarse una aplicación concreta, en donde será necesario analizar la seguridad de la misma.

Como consecuencia cada Area específica puede ser auditada desde los siguientes criterios generales, que detallamos :

b) Con el apoyo que recibe de la Dirección, y en forma ascendente, del grado de cumplimiento de las directrices de que ésta imparte.

c) Desde la visión de los usuarios, destinatarios verdaderos de la informática.

d) Desde el punto de vista de la seguridad, que ofrece la Informática en general o la rama auditada.

Las combinaciones descriptas pueden ser ampliadas o reducidas, según las características de la empresa auditada. Ponemos de manifiesto que las auditorías más usuales son las referidas a las actividades específicas e internas de la propia actividad informática.

El área de Desarrollo de Proyectos o de Aplicaciones es objeto frecuente de la auditoría informática.

Indicando inmediatamente que la función de Desarrollo es una evolución del llamado Análisis y Programación de Sistemas y Aplicaciones, término presente en los últimos años. La función Desarrollo engloba a su vez muchas áreas, tantas como sectores informatizables tiene la empresa.

De esta enumeración se deduce fácilmente la importacia de la metodología utilizada en el desarrollo de los Proyectos informáticos. Esto metodología debe ser semejante al menos en los Proyectos correspondientes a cada área de negocio de la empresa, aunque preferiblemente debería extenderse a la empresa en su conjunto.

Supuesta utilizada una metodología común o similar, el Desarrollo de una Aplicación debe estar sometido a un exigente control interno de todas las fases antes nombradas.

En caso contrario, además del aumento significativo de los costos, podrá producirse fácilmente la insatisfacción del usuario, si éste no ha participado o no ha sido consultado periódicamente en las diversas fases del mismo, y no solamente en la fase de prerrequisitos.

Finalmente, la auditoría informática deberá comprobar la seguridad de los programas, en el sentido de garantizar que los ejecutados por la máquina son totalmente los previstos y no otros.

Una razonable auditoría informática de Aplicaciones pasa indefectiblemente por la observación y el análisis de estas tres consideraciones.

Se analizarán éstas, de modo que se asegure la modularidad de las posibles futuras ampliaciones de la Aplicación y el fácil mantenimiento de las mismas.

La auditoría informática de Desarrollo de Aplicaciones deberá revisar las mismas fases que presuntamente ha debido seguir el área correspondiente de Desarrollo. Las principales son:

1.- Estudio de Viabilidad de la Aplicación. Es muy importante para los casos de Aplicaciones largas, complejas y de alto costo.

2.- Definición Lógica de la Aplicación. Se analizará que se han observado los postulados lógicos de actuación, en función de la metodología elegida y la finalidad que persigue el proyecto.

3.- Desarrollo Técnico de la Aplicación. Se verificará que éste es ordenado y correcto. Las herramientas técnicas utilizadas en los diversos programas deberán ser compatibles.

4.- Diseño de Programas. Deberán poseer la máxima modularidad, sencillez y economía de recursos.

5.- Métodos de Pruebas. Se realizarán de acuerdo a las Normas de la Instalación. Se utilizarán juegos de ensayo de datos, sin que sea permisible el uso de datos reales.

Cuando existan entornos diferenciados de Pruebas y Explotación, se realizarán en el entorno de Pruebas; sólo cuando éstas hayan terminado con éxito, se realizarán pruebas finales en Explotación, al tiempo de la entrega de dicha Aplicación en Explotación para su ejecución periódica.

6.- Documentación. Cumplirá la Normativa establecida en la Instalación, tanto la de Desarrollo como la de entrega de Aplicaciones a Explotación.

7.- Equipo de Programación. Deben fijarse las tareas de análisis puro, de programación, y las intermedias. En Aplicaciones complejas, se producirán variaciones en la composición del grupo, pero éstas deberán estar previstas.

La coordinación de actividades corresponde al Jefe del Proyecto, el cual reporta al responsable del Area de Desarrollo.

Una Aplicación técnicamente eficiente y bien desarrollada teoricamente, deberá considerarse un fracaso si no sirve a los intereses del usuario que la solicitó. Surgen nuevamente las premisas fundamenales de la informática eficaz: fines y utilidad. No puede desarrollarse de espaldas al usuario, sino contando con sus puntos de vista durante todas las etapas del Proyecto. La presencia del usuario proporcionará además grandes ventajas posteriores, ya que evitará reprogramaciones y disminuirá el mantenimiento de la Aplicación.

El auditor no debe descartar la posibilidad de que se esté ejecutando un módulo lo que no se corresponde con el programa fuente que desarrolló, codificó y probó el área de Desarrollo de Aplicaciones.

Se está diciendo que el auditor habrá de comprobar fehaciente y personalmente la correspondencia biunívoca y exclusiva entre el programa codificado y el producto obtenido como resultado de su compilación y su conversión en ejecutables mediante la linkeditación ( Linkage Editor).

Obsérvense las consecuencias de todo tipo que podrían derivarse del hecho de que los programas fuente y los programas módulos no coincidieran: desde errores de bultos que producirán graves retrasos y altos costos de mantenimiento, hasta fraudes de incalculables dimensiones, pasando por acciones de sabotaje, espionaje industrial-informático, etc.

Esta problemática ha llevado a establecer una normativa muy rígida en todo lo referente al acceso a las Librerías de programas.

Una Informática medianamente desarrollada y eficiente dispone de un solo juego de Librerías de Programas de la Instalación. En efecto, Explotación debe recepcionar programas fuente, y solamente fuente. ¿Cuáles? Aquellos que Desarrollo haya dado como buenos.

Solamente entonces Explotación, y sólo Explotación, asumirá la responsabilidad de:

1.-Copiar el programa fuente que Desarrollo de Aplicaciones ha dado por bueno en la Librería de Fuentes de Explotación, a la que nadie más tiene acceso.

2.- Compilar y linkeditar ese programa, depositándolo en la Librería de Módulos de Explotación, a la que nadie más tiene acceso.

3.- Copiar los programas fuente que les sean solicitados para modificarlos, arreglarlos, etc, en el lugar que se le indique. Cualquier cambio exigirá pasar nuevamente al punto 1.

Ciertamente, hay que considerar las cotas de honestidad exigible a Explotación. Además de su presunción, la informática se ha dotado de herramientas de seguridad sofisticadas que permiten identificar la personalidad del que accede a las Librerías. No obstante, además, el equipo auditor intervendrá los programas críticos, compilando y linkeditando nuevamente los mismos para verificar su biunivocidad.

Se ocupa de analizar la actividad propia de lo que se conoce como "Técnica de Sistemas" en todas sus facetas. En la actualidad, la importancia creciente de las telecomunicaciones ha propiciado que las Comunicaciones, Líneas y Redes de las instalaciones informáticas, se auditen por separado, aunque formen parte del entorno general de "Sistemas".

Se entienden por tales, los proporcionados por el fabricante junto con la máquina. Engloba los Subsistemas de Teleproceso, Entrada/Salida, etc. Debe verificarse en primer lugar que los Sistemas están actualizados con las últimas versiones del fabricante, indagando las causas de las omisiones si éstas se han producido. El análisis de las versiones de los SS.OO. permite descubrir las posibles incompatibilidades entre algunos otros productos de Software Básico adquiridos por la instalación y determinadas versiones de aquéllos.

Deben revisarse los parámetros variables de las Librerías más importantes de los Sistemas, especialmente si difieren de los valores habituales aconsejados por el constructor.

Lo constituye el conjunto de productos que, sin pertenecer al Sistema Operativo, configuran completamente los Sistemas Informáticos, haciendo posible la reutilización de funciones básicas no incluídas en aquél. ¿ Cómo distinguir ambos conceptos? ¿ Cuáles son las razones por las que se plantea la pregunta anterior? La respuesta a ambas tiene un definido carácter económico.

En efecto, el Software básico, o una gran parte de él, es abonado por el cliente a la firma constructora, mientras el Sistema Operativo y algunos programas muy básicos, se incorporan a la máquina sin cargo alguno al cliente.

Ciertamente, es difícil decidir si una función concreta debe estar incluída en el Sistema Operativo o puede ser omitida de él. A título de ejemplo, una función tan repetitiva e importante como la clasificación de registros, ¿es un producto software o forma parte del Sistema? Iguales dudas podrías establecerse respecto a una serie de utilidades (copias, exportaciones e importaciones de archivos, reasignación dinámica de recursos internos, etc.).

Con independencia del interés teórico que pueda tener la discusión de si una función concreta es o no integrante del Sistema Operativo, para el auditor es fundamental conocer los productos de software básico que han sido facturado aparte del propio Ordenador. Ello, por razones económicas y por razones de comprobación de que el Ordenador "podría funcionar" sin el producto adquirido por el cliente.

Resumiendo, los conceptos de Sistema Operativo y Software Básico tienen fronteras comunes y que, con independencia de a qué entorno correspondan, la política comercial de cada Compañía constructora y sus relaciones con los clientes determinan finalmente el precio y los productos gratuitos y facturables.

Otra parte importante del Software Básico es el desarrollado e implementado en los Sistemas Informáticos por el personal informático de la empresa, por el propio personal de sistemas. Son desarrollos internos que permiten mejorar la instalación.

El auditor, en este punto, debe verificar que es software no agrede no condiciona al Sistema. Igualmente, debe considerar el esfuerzo realizado en términos de costos, por si hubiera alternativas más económicas.

Se ha agregado del apartado anterior de Software Básico por su especialidad e importancia. Son válidas las consideraciones anteriores, Nótese la especial dependencia que el Software del Tiempo Real tiene respecto a la arquitectura de los Sistemas.

Es el conjunto de técnicas de observación y de medidas encaminadas a la evaluación del comportamiento de los subsistemas y del Sistema en su conjunto. Las acciones de Tunning deben diferenciarse de los controles y medidas habituales que realiza el presonal de Técnica de Sistemas.

El Tunning posee una naturaleza más revisora, estableciéndose previamente planes y programas de actuación según los síntomas observados.

*.- Cuando existe la sospecha de deterioro del comportamiento parcial o general del Sistema.

**.- De modo sitemático y periódico, por ejemplo cada seis meses. En este último caso, las acciones de Tunning son repetitivas y están planificadas y organizadas de antemano.

El auditor informático deberá conocer el número de Tunning realizados en el último año, así como los resultados. Deberá analizar los modelos de carga utilizados y los niveles e índices de confianza de las observaciones.

Técnica de Sistemas deber realizar acciones permanentes de optimización como consecuencia de la información diaria obtenida a través de Log, Account-ing, etc. Actúa igualmente como consecuencia de la realización de Tunnings preprogramados o específicos.

El auditor verificará que las acciones de optimización fueron efectivas y no comprometieron la Operatividad de los Sistemas ni el "plan crítico de producción diaria" de Explotación.

Es un Area que ha adquirido una gran importancia a causa de la proliferación de usuarios y de las descentralizaciones habidas en las informáticas de las empresas.

El diseño de las bases de datos, ya sean relacionales o jerárquicas, se ha convertido en una actividad muy compleja y sofisticada, por lo general desarrollada en el ámbito de Técnica de Sistemas, y de acuerdo con las áreas de Desarrollo y los usuarios de la empresa.

El conocimiento de diseño y arquitectura de dichas Bases de Datos por parte de los Sistemas, ha cristalizado en la administración de las mismas les sea igualmente encomendada. Aunque esta adcripción es la más frecuente en la actualidad, los auditores informáticos han observado algunas disfunciones derivadas de la relativamente escasa experiencia que Técnica de Sistemas tiene sobre la problemática general de los usuarios de las Bases de Datos.

Comienzan a percibirse hechos tendentes a separar el diseño y la construcción de las Bases de Datos, de la administración de las mismas, administración ésta que sería realizada por Explotación. Sin embargo, esta tendencia es aún poco significativa.

El auditor informático de Bases de Datos deberá asegurarse que Explotación conoce suficientemente las que son accedidas por los Procedimientos que ella ejecuta. Analizará los sistemas de salvaguarda existentes, que competen igualmente a Explotación. Revisará finalmente la integridad y consistencia de los datos, así como la ausencia de redundancias entre ellos.

El campo informático sigue evolucionando rapidamente. Multitud de Compañías, de Software mayoritariamente, aparecen en el mercado.

Sólo muy recientemente, las empresas que necesitan de informáticas desarrolladas han comprendido que sus propios efectivos están desarrollados Aplicaciones y utilidades que, concebidas inicialmente para su uso interno, pueden ser susceptibles de adquisición por otras empresas, haciendo la competencia a las Compañías del ramo.

Como consecuencia, algunas empresas no dedicadas en principio a la venta de productos informáticos, están potenciando la investigación de sus equipos de Técnica de Sistemas y Desarrollo, de forma que sus productos puedan convertirse en fuentes de ingresos adicionales.

La auditoría informática deberá cuidar de que la actividad de Investigación mas la de desarrollo de las empresas no vendedoras, no interfiera ni dificulte las tareas fundamentales internas.

En todo caso, el auditor advertirá en su Informe de los riesgos que haya observado. No obstante, resultaría muy provechoso comercializar alguna Aplicación interna, una vez que está terminada y funcionando a satisfacción.

Los archivos "accounting", "syslog", "Contabilizadores de errores recuperados o permanentes del Sistema y de sus periféricos", etc., proporcionan al auditor avezado información valiosísima e insustituible.

La propia existencia de aplicativos para la obtención de estadísticas desarrollados por los técnicos de Sistemas de la empresa auditada, y su calidad, proporcionan al auditor experto una visión bastante exacta de la eficiencia y estado de desarrollo de los Sistemas. La correcta elaboración de esta información conlleva el buen conocimiento de la carga de la instalación, así como la casi certeza de que existen Planes de Capacidad, etc.

La creciente importancia de las Comunicaciones ha determinado que se estudien separadamente del ámbito de Técnica de Sistemas. Naturalmente, siguen siendo términos difíles en los conceptos generales de Sistemas y de Arquitecturas de los Sistemas Informáticos.

Se ha producido un cambio conceptual muy profundo en el tratamiento de las comunicaciones informáticas y en la construcción de los modernos Sistemas de Información, basados principalmente en Redes de Comunicaciones muy sofisticadas.

Para el informático y para el Auditor Informático, el entramado conceptual que constituyen las Redes Nodales, Líneas, Concentradores, Multiplexores, Redes Locales, etc., no son sino el soporte físico-lógico del Tiempo Real. El lector debe reflexionar sobre este avanzado concepto, que repetimos: Las Comunicaciones son el Soporte Físico-Lógico de la Informática en Tiempo Real.

El auditor informático tropieza con la dificultad técnica del entorno, pues ha de analizar situaciones y hechos alejados entre sí, y está condicionado a la participación del monopolio telefónico que presta el soporte en algunos lugares.

Ciertamente, la tarea del auditor es ardua en este contexto. Como en otros casos, la auditoría de este sector requiere un equipo de especialistas, expertos simultáneamente en Comunicaciones y en Redes Locales. No debe olvidarse que en entornos geográficos reducidos, algunas empresas optan por el uso interno de Redes Locales, diseñadas y cableadas con recursos propios.

El entorno del Online tiene un especial relevancia en la Auditoría Informática debido al alto presupuesto anual que los alquileres de líneas significan.

El auditor de Comunicaciones deberá inquirir sobre los índices de utilización de las líneas contratadas, con información abundante sobre tiempos de desuso.

Deberá proveerse de la topología de la Red de Comunicaciones, actualizada. La desactualización de esta documentación significaría una grave debilidad.

La inexistencia de datos sobre cuántas líneas existen, cómo son y dónde están instaladas, supondría que se bordea la Inoperatividad Informática.

Sin embargo, y como casi siempre, las debilidades más frecuentes e importantes en la informática de Comunicaciones se encuentran en las disfunciones organizativas. La contratación e instalación de líneas va asociada a la instalación de los Puestos de Trabajo correspondientes (Monitores, Servidores de Redes Locales, Ordenadores Personales con tarjetas de Comunicaciones, impresoras, etc.). Todas estas actividades deben estar muy coordinadas y a ser posible, dependientes de una sola organización.

La seguridad en la informática abarca los conceptos de seguridad física y seguridad lógica.

La Seguridad física se refiere a la protección del Hardware y de los soportes de datos, así como los edificios e instalaciones que los albergan. Contempla las situaciones de incendios, sabotajes, robos, catástrofes naturales, etc. Igualmente, a este ámbito pertenece la política de Seguros.

La seguridad lógica se refiere a la seguridad de uso del software, a la protección de los datos, procesos y programas, así como la del ordenado y autorizado acceso de los usuarios a la información.

Se ha tratado con anterioridad la doble condición de la Seguridad Informática: Como Area General y como Area Específica ( seguridad de Explotación, seguridad de las Aplicaciones, etc.).

Así, podrán efectuarse auditorías de la seguridad global de una Instalación Informática- Seguridad General-, y auditorías de la Seguridad de un área informática de terminada- Seguridad Específica-.

Las agresiones a instalaciones informáticas ocurridas en Europa y América durante los últimos años, han originado acciones para mejorar la Seguridad Informática a nivel físico. Los accesos y conexiones indebidos a través de las Redes de Comunicaciones, han acelerado el desarrollo de productos de Seguridad lógica y la utilización de sofisticados medios criptográficos.

La decisión de abordar una Auditoría Informática de Seguridad Global en una empresa, se fundamenta en el estudio cuidadoso de los riesgos potenciales a los que está sometida.

Tal estudio comporta con frecuencia la elaboración de "Matrices de Riesgo" en donde se consideran los factores de las "Amenazas" a las que está sometida una instalación y de los "Impactos" que aquellas pueden causar cuando se presentan.

Las matrices de riesgo se presentan en cuadros de doble entrada "Amenazas\Impacto", en donde se evalúan las probabilidades de ocurrencia de los elementos de la matriz.

A título de ejemplo, se ilustra el concepto de matriz de riesgos en forma de cuadro de doble entrada.

\\\\\\\\\\\\\\\\\amenaza impacto\\\\\\\\\\\\\\\\\\	*ERROR*	*INCENDIO*	*SABOTAJE*	---------
Destrucción del software	--	1	1
Borrado de información	3	1	1

El cuadro muestra que si por error codificamos un parámetro que ordene borrado de archivo , éste se borrará con certeza.