1.- Introducción.

    La auditoria informática es el conjunto de técnicas, actividades y procedimientos, destinados a analizar, evaluar, verificar y recomendar en asuntos relativos a la planificación, control, eficacia, seguridad y adecuación del servicio informático en la empresa, por lo que comprende un examen metódico, puntual y discontinuo del servicio informático.
    Tradicionalmente, en el entorno del proceso de datos, cuando se habla de software, de un modo genérico, se está haciendo referencia a los programas que se ejecutan en el ordenador. Cuando se trata de auditar el software el concepto puede generalizarse más y extenderse con la parte “que no se ve” de una instalación de proceso de datos. Estos aspectos lógicos de la informática son: software del sistema, utilidades, datos, programas, bases de datos, etc...
 

2.- Objetivos de la Auditoría.

    A continuación veremos una lista de los objetivos de la auditoria del entorno software:
        * Revisar la seguridad del logical sobre ficheros de datos y programas.
        * Revisar las librerías utilizadas por los programadores.
        * Examinar que los programas realizan lo que realmente se espera de ellos.
        * Revisar el inventario de software.
        * Comprobar la seguridad de datos y software.
        * Examinar los controles sobre los datos.
        * Revisar los procedimientos de entrada y salida.
        * Verificar las previsiones y procedimientos de back-up.
        * Revisar los procedimientos de planificación, adecuación y mantenimiento del software del sistema.
        * Revisar la documentación sobre software de base.
        * Revisar los controles sobre programas producto (paquetes externos).
        * Examinar la utilización de estos paquetes.
        * Verificar periódicamente el contenido de los ficheros de usuario.
        * Determinar que el proceso para usuarios está sujeto a los controles adecuados.
        * Examinar los cálculos críticos.
        * Supervisar el uso de las herramientas potentes al servicio de los usuarios.
        * Comprobar la seguridad e integridad de las bases de datos.
 

3.- Auditoría informática del entorno software.

     Software del sistema.

    Para un eficiente funcionamiento del ordenador y garantizar su continuidad es importante la puesta en marcha y el control de todas las modificaciones al sistema operativo, y en general, de todo el software de base del sistema. Garantizando así la no interrupción por falta de actualización en las diferentes versiones que con frecuencia lanzan las casas constructoras. También es necesario establecer controles y restricciones adecuados para evitar los cambios desautorizados en el software del sistema y el uso incontrolado de determinadas utilidades potentes,  y que no dejan la menor huella para auditoría tras su ejecución.
    El auditor, revisará la forma en que se está realizando el proceso de modificación o alteración del software de base: es necesario que tal operación esté organizada y dotada del nivel de seguridad que requiere una operación de esta  índole, con una correcta normativa al respecto y contemplando las oportunas autorizaciones por parte de la dirección informática. La supervisión en este sentido es fundamental dada la propia importancia del software a modificar.
    Las instalaciones de proceso de datos disponen de potentes utilidades que acceden a datos y programas prácticamente sin ningún tipo de control ni restricción, permitiendo la modificación directa de estos al margen de cualquier sistemática. Esto supone un gran riesgo para la información almacenada. Por ello se hace necesario establecer controles sobre su utilización. Como primera medida se catalogarían “sensibles” aquellas utilidades peligrosas para la integridad de la información (accesos a ficheros, copias de ficheros, etc...) y que, sólo podrán ser utilizadas por personal autorizado. Si por necesidades de la instalación alguna de estas rutinas deben permanecer “on-line” se dispondrá de un sistema de passwords para su utilización.
    Al igual que las utilidades, determinados comandos del sistema deben tener un carácter de uso restringido, por lo que se examinará la corrección en la definición de los perfiles de usuario para evitar el uso indiscriminado de tales comandos.

    El control de los datos.

    Una frase muy utilizada en informática viene a decir que “a un sistema al que se le proporcione basura a la entrada, nos dará basura a la salida”. El tratamiento automático de los datos ignora su significado y atiende tan sólo a su contenido y estructura. Ello implica que el control informático debe vigilar no sólo el valor de la información sino también su forma. El control de los datos a la entrada es fundamental y en la auditoría se examinará la forma en que se han establecido los programas de control de datos en las diferentes aplicaciones productivas, verificando que, estos programas permitan detectar:

* Inverosimilitudes en los datos, con lo que se captan algunas posibilidades de error.
* Errores en los indicativos que están aportando falsa información sobre un ítem erróneo o una falta de información sobre el verdadero. La mayoría de los métodos utilizados para este fin se basan en la utilización de una letra o dígito de control que se añade al dispositivo a depurar.
* Errores en la zona de enunciado que, al no ser muy graves, en la mayoría de los casos puede no ser necesaria su detección por el excesivo coste de las redundancias necesarias para tal fin. El criterio del auditor dilucidará sobre la necesidad de este tipo de control.
* Errores en campos de importe que por su naturaleza deben cuidarse sobremanera. Desgraciadamente, no existen procedimientos infalibles que estén exentos de rechazar datos que sí son correctos o que, por el contrario, permitan el paso a los incorrectos. Se pueden establecer test programados basándose en la experiencia previa y utilizando, por ejemplo, técnicas estadísticas, pero sin perder de vista en ningún momento la falibilidad de estos procedimientos.
* Errores por pérdida de información. Estos fallos son más fáciles de detectar y prevenir, ya que por ejemplo se pueden programar la obligatoriedad de lleno de campos.

    Control periódico de ficheros y programas.

    Dentro del marco de seguridad integral de la instalación hay que contemplar una revisión regular de ficheros y programas, detectando, por ejemplo, que procesos que concluyan anormalmente alteren información contenida en los ficheros, o que las versiones disponibles de los programas fuente son las adecuadas y no han sufrido modificación alguna.

    Con el objetivo de eliminar este tipo de problemas es conveniente que en la auditoría se revisen ciertos puntos:

* La auditabilidad de las aplicaciones, lo que se consigue proporcionando cuadros de valores numéricos, totales de registros, con indicación de su tipo y, en suma, toda una serie de medidas que permitan un mejor seguimiento.
* El procesamiento regular de los ficheros, investigando cualquier tipo de información que proporcione una noción del estado de los mismos.
* El cotejo aleatorio de la coherencia entre los datos contenidos en los ficheros antes y después de su procesamiento.
* Implantación de un software que permita un control de las versiones de los programas, impidiendo que se obtenga copia de un programa mientras no se “devuelva” otra copia previa y manteniendo un fichero histórico de las modificaciones.
* La adecuada concienciación ante la importancia de registros y documentos de forma que éstos estén clasificados al menos en las siguientes categorías:
    - Vitales: por lo que deberá existir una copia exterior, es decir, almacenada en un local diferente a aquel en que se asienta el centro de informática.
    - Importantes: En esta caso su salvaguarda se almacenará en una sala diferente de aquellas utilizadas por informática.
    - Utiles: estos registros necesitarán también de una copia de seguridad que se puede guardar en la propia sala del servicio informático.

    Un elemento clave en la auditoría del entorno de datos y programas lo constituye la revisión de los procedimientos de obtención de copias de seguridad.
    La necesidad de la obtener copias de ficheros y programas es más que evidente y cualquier instalación ha de intervenir unos minutos del tiempo de los operadores al final de la jornada para obtener tales copias, como mínimo de los ficheros y/o programas que hayan sufrido alguna modificación a lo largo del día. Además de estas copias diarias se obtendrá otra con una periodicidad marcada por la propia naturaleza de los procedimientos en explotación.
    Si en la instalación auditada existen ordenadores personales bajo control directo de los departamentos de usuarios, el auditor comprobará que se han adoptado medidas según los cuales los usuarios son conscientes de la necesidad de obtención de copias de seguridad de una manera regular, así como capaces de obtener y almacenar dichas copias.
    En todo caso es necesario que los procedimientos de back-up estén debidamente documentados.

    Selección de paquetes.

    En un examen de este tipo, no debe descuidarse la revisión de la metodología que tenga la empresa auditada en lo que se refiere a la selección y adquisición de paquetes de software. Esta metodología de selección deberá incluir una evaluación técnica que nos asegure que efectivamente el programa que vamos a adquirir podrá funcionar en la empresa y evalué los aspectos de seguridad, documentación, mantenimiento, etc.
    El proceso de selección deberá concluir con un informe detallado que incluya todos los posibles análisis efectuados, así como las razones que indujeron a tomar una u otra alternativa.

    Desarrollos con herramientas evolucionadas.

    Los lenguajes de cuarta generación constituyen una importante línea de evolución de la informática de gestión. Ahora bien, la utilización de estas técnicas no debe hacerse perdiendo de vista algunos puntos de importancia de cara a las aplicaciones ya existentes y a los futuros desarrollos, por lo cual la revisión y seguimiento que se realice sobre el uso de estas herramientas se fijara en:

* La coordinación necesaria entre el staff de proceso de datos y los departamentos de usuarios. Se trata así de evitar el uso indiscriminado de estas herramientas de desarrollo,  pues de lo contrario no sería nada anormal encontrarse con aplicaciones alternativas a las convencionales desarrolladas por informática para solucionar problemas puntuales.
* La documentación y formación facilitadas a los usuarios. Se trata de evitar los individualismos de los usuarios cuando estos estén realizando desarrollos valiéndose de las técnicas evolucionadas que se les han facilitado. Además de la adecuada formación que requiere la óptima explotación del paquete, es necesario imbuir al usuario las normas imprescindibles de seguridad y documentación que conlleva cualquier desarrollo.
* La fiabilidad e  integridad de la información que los usuarios consiguen con estos procedimientos. A tal fin se hace necesario la implantación de procedimientos de seguridad que restrinjan la libre disposición de la información por cualquier tipo de usuario.

    En definitiva se trata de que el auditor se fije en la forma en que se está utilizando el software evolucionado y cómo puede esto repercutir en el nivel de eficiencia y seguridad general de datos y programas de la instalación.

    Seguridades en bases de datos.

    Los sistemas de bases de datos soportan hoy en día los sistemas de información de la mayoría de las empresas mecanizadas. Son, por tanto, un elemento a tener en cuenta a la hora de dictaminar sobre la situación de la informática de una empresa.
    Las características de construcción de las bases de datos motivan la aparición de nuevos riesgos por lo que el auditor debe conocer los principios y conceptos fundamentales de diseño de una base de datos (más concretamente del sistema de gestión de la base de datos). Esto, de forma global y en particular obtendrá una visión preliminar de la base de datos a examinar, en sus aspectos de implementación y soporte físicos, de administración, etc.
    Principales riesgos a los que está sometida una base de datos:

* Inadecuada asignación de responsabilidades.
* Inexactitud de los datos.
* Pérdida de actualizaciones.
* Adecuación de los “audit trail”.
* Accesos desautorizados a los datos.
* Actualizaciones en el software base.
* Documentación no actualizada.

* Mantenimiento de programas que manejan datos de la base.
* Controles de la validación en la entrada de datos.
* Autorizaciones de acceso
* Procedimiento de manejo de datos erróneos.
* Objeto del procesamiento.
* Datos concurrentes o compartidos.
* Prevención y detecciones de los interbloqueos.
* Asignación de funciones y responsabilidades.
* Controles de salida.
* Situación del diccionario de datos.
* Documentación del sistema y de sus configuraciones
* Entrenamiento del personal.

4.- Etapas de la auditoria de una aplicación informática.

- Recogida de información y documentación Sobre la aplicación: se realiza un estudio preliminar en el que recogemos toda aquella información que nos pueda ser útil para determinar los puntos débiles existentes y aquellas funciones  de la aplicación que puedan entrañar riesgos.
- Determinación de los objetivos y alcance de la auditoria: Es preciso conseguir una gran claridad y precisión en la definición de objetivos de la auditoria, del trabajo y pruebas que se proponen realizar, delimitando perfectamente su alcance de manera que no ofrezca dudas de interpretación.
- Planificación de la auditoria: en este caso es de crucial importancia acertar con el momento mas adecuado para su realización. No es conveniente que coincida con el periodo de implantación porque los usuarios no están muy familiarizados con la aplicación, pero al mismo tiempo el retraso excesivo puede alargar el periodo de exposición a riesgos.
- Trabajo de campo, informe e implantación de mejoras: consiste en la ejecución del programa de trabajo establecido. Respecto al informe se recogerán las características del trabajo realizado, sus conclusiones, recomendaciones o propuestas de mejora. La implentación de las mejoras identificadas en la auditoria.
 

5.- Herramientas de uso más común en la auditoria de una aplicación.

- Entrevistas: son de larga utilización a lo largo de toda la auditoria.
- Encuestas: pueden ser de utilidad tanto para determinar el alcance y objetivos de la auditoria, como para la materialización de los objetivos relacionados con el nivel de satisfacción de los usuarios.
- Observación del trabajo realizado por los usuarios: es necesario observar como trabajan los usuarios: Puede ayudar a detectar que el trabajo final sea bueno y por lo tanto los controles establecidos sean efectivos.
- Pruebas de conformidad: son actuaciones orientadas específicamente a comprobar que determinados procedimientos, normas o controles internos, se cumplen o funcionan de acuerdo a lo previsto o esperado.
- Pruebas substantivas o de validación: orientadas a detectar la presencia o ausencia de errores o irregularidades en procesos, controles o actividades internos integrados en ellos.
- Uso de ordenador: es el uso de las aplicaciones software que se pueden utilizar para realizar la auditoria, los cuales son de gran ayuda para facilitar el trabajo.
 
 

BIBLIOGRAFIA.

 Auditoria Informática.
 Gonzalo Alonso Rivas.
 Ediciones DÍAZ DE SANTOS, S.A.