trabajo final
TRANSCRIPT
“UNIVERSIDAD PRIVADA ADA A. BYRON”
FACULTAD DE INGENIERÍA, CIENCIAS Y ADMINISTRACIÓN
INGENIERÍA DE SISTEMAS X CICLO
Herramientas para la Auditoría de los Sistemas de Información
Chincha, 06 de Julio del 2012
Docente: Ing. Armando Moreno Heredia, M. Sc.
INTEGRANTES:
1. Canelo Gonzales, Wilmer
2. Huaroto de la Cruz, Karen
3. Salazar Magallanes, Omar
4. Torres Cahuana, Marco
5. Tasayco, Evelyn
Auditoría de Base de Datos
Contratos de Auditoría
ÍNDICE Introducción……………………………………………………………………………………..Pág. 02
HERRAMIENTAS PARA LA AUDITORÍA DE S.I.
1. Herramientas, Maquinas y sistemas……………………………………………......Pág. 03
2. Importancia………………………………………………………………….................Pág. 03
3. Herramientas Específicas, Substitutivas y Multipropósito……………...................Pág. 03
4. Herramienta Perfecta………………………………………………………...............Pág. 04
5. Herramientas de Auditoría SITIC…………………………………………………....Pág. 04
6. Tipos de Herramientas………………………………………………………………...Pág. 05
7. Técnicas de Auditoría asistida por computadoras…………..................................Pág.15
AUDITORÍA DE BASE DE DATOS
1. Definición………………………………………………………………………………Pág. 17
2. Puntos en los que se enfoca el auditor…………………..........................................Pág.17
3. Objetivos………………………………………………………………………............Pág. 18
4. Planificación…………………………………………………………………............... ...Pág. 18
5. Importancia………………………………................................................................Pág. 19
6. Auditoría Oracle………………………………………………………………............Pág.20
7. Niveles de Auditoría…………………………………………………………………....Pág. 20
8. Tipos de Auditoría…………………………………………………………….............Pág. 23
9. Políticas de Auditoría…………………………………………………………............Pág. 26
10. Implementación de Auditoría………………………………………………...............Pág. 28
SOFTWARE PARA AUDITORÍA……………………………………………………………..Pág. 38
CONTRATOS DE AUDITORÍA
1. Referencias…………………………………………………………………………….Pág. 45
2. Partes……………………………………………………………………………………Pág. 47
3. Objetivos……………………………………………………………………………......Pág. 53
4. Causa………………………………………………………………………….…….....Pág. 63
5. El informe de Auditoría……………………………………………………….……....Pág. 63
6. Contratos de Auditoría……………………………………………………….…….....Pág. 65
Conclusiones…………………………………………………………...................................... ..Pág.78
Bibliografía……………………………………………………………………………………....Pág.81
ÍNTRODUCCIÓN
La auditoría y la auditoria informática tienen una demanda creciente y crecientes exigencias de
cobertura y granularidad. El auditor es un recurso limitado, escaso, relativamente caro.Hay gran
variedad de herramientas de auditoria más o menos elementales o sofisticadas, especializadas o
multipropósito, aisladas o integradas; que el auditor puede utilizar para posibilitar / facilitar su
tarea, mejorando su productividad, aumentando la cobertura de su estudio, reduciendo el riesgo,
con mayores posibilidades de automatización e integración.
Esa gran variedad admite muchos modos de clasificación. Entre los tipos principales cabe
destacar las Herramientas “embebidas” (EAM), las “Verticales de Gestión de la Auditoria”, las
GAT / CAAT - cuyos referentes son IDEA y ACL-, las muchas de hacking ético y las de
compliance.
Por otra parte con respecto a la Auditoria de Base de Datos, considerando la importancia del
manejo y datos e información en la actualidad, se cuenta con eficientes recursos como los
sistemas de gestión de base de Datos (SGBD). Una de las herramientas más poderosas e
integrales es Oracle en el ámbito de las Bases de Datos relacionales, debido a que poseen una
serie de características que las hacen sólidas frente a gran volumen de datos e incluso
diversificación de los mismos.
Justamente esta posibilidad de manejar de almacenamiento masivo de la información que nos
brinda ORACLE, trae consigo la necesidad ineludible de establecer controles que permitan
prevenir, detectar, corregir y hast0061 mitigar los riesgos asociados con acceso y uso de la base
de datos a nivel de objetos (tablas, vistas usuarios), incluyendo creación, modificación y
eliminación, también lo que son tiempos de conexión, crecimiento controlado de la BD, privilegios
de usuarios, roles y un sin fin de aspectos que puedan representar cambios en mayor o menor
magnitud al repositorio de datos.
Una de las funcionalidades que permite al administrador y a los usuarios autorizados abordar
estos elementos de control es la herramienta de Auditoría que posee ORACLE, permitiendo
establecer un monitoreo y seguimiento del uso de la base de datos en conjunto con una gama de
posibilidades y niveles para auditar las acciones, según las necesidades de la empresa o
usuarios de la BD.
AUDITORIA DE SISTEMAS DE INFORMACIÓN
INGENIERIA DE SISTEMAS X CICLO Página 3 de 81
1. HERRAMIENTAS, MÁQUINAS, SISTEMAS, DEMONIOS
Las herramientas – por evolución, innovación, complejidad y especialización – se han
transformado en los “artefactos tecnológicos” de que nos servimos para hacer nuestro
trabajo; por tanto herramientas – maquinas – sistemas – demonios –arañas – equipos
son denominados genéricamente “Herramientas”.
Cuando se habla de herramientas se debe tener en cuenta en función de la
disponibilidad de la misma, de la adecuación de ésta al objeto (objetivo y entorno) de la
auditoria y del conocimiento (habilidad del auditor con ella).
2. IMPORTANCIA
Las herramientas de Auditoria SITIC hacen viable y más llevadera y económica la
auditoria de ciertos objetos o campos a auditar. En un mundo plagado de dudas,
sospechas, quejas y escándalos sobre la auditoria, hacer posibles o simplificar ciertas
comprobaciones es de una gran trascendencia. Es ahí donde radica fundamentalmente
la importancia de las herramientas de auditoría SITIC
3. HERRAMIENTAS ESPECÍFICAS, SUBSTITUTIVAS Y MULTIPROPÓSITO
Las herramientas suelen ser específicas, pueden ser substitutivas e incluso ser
multiproceso.Sin embargo, generalmente el mejor coste-eficiencia se obtiene con
herramientas específicas, no multipropósito. Salvo, claro está, que los costes de
formación, su frecuencia e intensidad de uso y el propio coste directo de cada
herramienta aconsejen una multipropósito.
Los grandes maestros y los artesanos, tradicionalmente han dedicado la mayoría de su
tiempo con sus aprendices a:
i. Evitar que se dañaran con las herramientas
ii. Evitar que dañaran las obras con las herramientas
Herramientas para la Auditoría de los Sistemas de Información
AUDITORIA DE SISTEMAS DE INFORMACIÓN
INGENIERIA DE SISTEMAS X CICLO Página 4 de 81
En ambos casos, el objetivo era enseñarles una técnica; porque una herramienta sin
técnica es como un ordenador sin software.
.
4. LA HERRAMIENTA PERFECTA
No existe la herramienta “perfecta”, “óptima”. Dependedel cristal con que se mire:
depende de cada enfoque con el que se enfrente su uso.Toda herramienta tiene sus
ventajas e inconvenientes, posibilidades y limitaciones, formas de uso normales y
excepcionales.Los grandes artistas y científicos, en ocasiones han usado las
herramientas de modo anormal, con resultados revolucionarios.
5. HERRAMIENTAS DE AUDITORIA (SOLAMENTE) SITIC
La auditoría SITIC tiene mucho en
común con otras auditorias
(financiera, operativa, de
procesos, etc.); más aún con el
inexorable tsunami de la
informática.
No se puede ignorar la que
parece irreversible tendencia a la
“integración de la auditoría”.
Ilustración 1 : Principio temario de las Herramientas
Ilustración 2: Integración de la Auditoría
AUDITORIA DE SISTEMAS DE INFORMACIÓN
INGENIERIA DE SISTEMAS X CICLO Página 5 de 81
6. TIPOS
Hay una gran variedad de Herramientas de Auditoría SITIC. Según los diversos
criterios, que facilitan su compresión puede ser:
6.1. HERRAMIENTAS DE AUDITORIA SEGÚN SU PROCEDENCIA
Un número importante aunque decreciente de ASITIC son profesionales de la
informática, por lo que sus opiniones de herramientas son normalmente las más
amplias. Según sus diversos conocimientos y habilidades, Los ASITIC con
habilidades informáticas pueden recurrir a usar:
§ Herramientas del entorno adquisición-construcción.-
Con lenguajes de programación, debuggers, analizadores de path se han
construido todos los Sistemas de Información. Con las mismas herramientas
se pueden auditar dichos sistemas.
§ Herramientas de Prueba.
Pueden considerarse a caballo de los entornos de adquisición-construcción y
explotación-operación (mantenimiento).Las herramientas de prueba pueden
usarse y se usan ampliamente, como mecanismo de vigilancia y auditoria
“continuada”.
§ Herramientas del entorno Explotación – Operación.
Es donde están los “datos vivos” la cual puede explotar el ASITIC que sea
capaz de manejar JCL, SMF Logs, etc. Este tipo de acceso debe ser
controlado y supervisado, pues el riesgo de impacto de un acceso intrusivo en
un entorno de producción es muy alto. § Herramientas del Software de Sistema
Aunque, todo está en el Sistema Operativo. Lo que el ASITIC capaz de lograr
acceso privilegiado a SO, software de red, logs, etc. puede explotar es
enorme. La complejidad del acceso es directamente proporcional a su criticidad, ya que
las herramientas del sistema se ejecutan en modo privilegiado.
AUDITORIA DE SISTEMAS DE INFORMACIÓN
INGENIERIA DE SISTEMAS X CICLO Página 6 de 81
Por ello para evitar un descenso de la productividad de la auditoria, se pueden
segregar dos enfoques:
ü Intentos de Instrucción en modo privilegiado
ü A partir de un usuario auditor con acceso privilegiado de lectura, se audita
el software del sistema.
§ Utilidades
Son una potente herramienta- fundamentalmente de extracción de datos –
para el ASITIC de formación informática, pero sobre todo son la “bestia negra”
de cualquier ASITIC, quien debe comprobar que el acceso a utilidades por el
personal auditado está restringido al máximo y totalmente trazado como se
usan.
§ Herramientas de TCP/IP e Internet.
Las herramientas para el hacking “blanco” o “ético”, hoy día muchas
herramientas empresas y servicios de hacking “ético” se denominan de
“auditoria”: proponen la parte como un todo.
El hacking “blanco” o “ético” tiene a su disposición las mismas herramientas y
técnicas que el hacking de “sombreo negro” (crackers): todo el catálogo de
software y malware. Quizá la diferencia está en la autolimitación, por el
“sombrero blanco”, de la “carga de pago”: al investigador le interesa más
identificar las vulnerabilidades que explotarlas en los diversos modos posibles.
6.2. HERRAMIENTAS DE AUDITORIA SEGÚN SU PROCEDENCIA
FUNCIÓN
La auditoría es una actividad profesional tan amplia y compleja, y en entornos y
circunstancias tan diversas que los simplifica en los siguientes tipos:
§ Captura de DatosEste primer tipo de herramienta recoge información,
captura de datos, que serán usados (analizados, interpretados, utilizados)en
una fase posterior o simultánea
AUDITORIA DE SISTEMAS DE INFORMACIÓN
INGENIERIA DE SISTEMAS X CICLO Página 7 de 81
Muestras: El muestro de una población de datos (transacciones, registros
en un log, accesos) es una técnica estadística de la que se sabe mucho y
por desgracia se abusa mucho.
La única exigencia de un procedimiento de muestreo, para que genere la
máxima productividad, es que sea un muestreo estocástico aleatorio.
Las buenas prácticas de muestreo han contribuido e enormes economías y
aumentos de productividad en gestión de la producción, control de la
calidad, marketing y auditoría.
Las herramientas para obtener muestras pueden ser de procedencia,
naturaleza, complejidad o ubicación muy diversa. Puede tratarse de:
ü Una rutina de “diezmado” de un log
ü Un filtro que selecciona ciertas transacciones, según reglas más o
menos complejas;
ü Simplemente colocar una “bandera” (flag) en un campo de la Base de
Datos para marcar ciertas entidades (clientes, productos, cuentas, etc.)
§ Análisis de DatosEl análisis o interpretación y evaluación de la información
recogida puede ser complementada con la recogida de la información
(alertas y gestión de incidencias) o ser diferidas, incluso con horizontes muy
amplios.
ü Un ejemplo de escenario de “análisis diferido” es el análisis de ficheros
con motivo de una auditoria anual o semestral.
ü Un ejemplo de escenario de “análisis muy diferido” puede ser el caso en
que una auditoría rutinaria detecte una debilidad importante en una
prueba de cumplimiento y ello mueva al ASITIC a desencadenar una
prueba sustantiva (total o por muestreo) sobre el histórico, desde hace
tres año, de un determinado grupo de fichero.
AUDITORIA DE SISTEMAS DE INFORMACIÓN
INGENIERIA DE SISTEMAS X CICLO Página 8 de 81
6.3. HERRAMIENTAS DE AUDITORIA SEGÚN SU USO O PROPÓSITO
§ Auditoria SITICEs la utilización normal § Otras Auditorias, coordinadas o no con la SITIC Se dan frecuentes e
importantes solapes entre auditoria interna y externa, Auditoria Operativa,
Auditoría de cuentas, Auditoria SITIC, Auditoría ISO 9000, ISO 2000, ISO
27001, ISO 14000; aparte de las intervenciones de control de directivos y
supervisores CSA y círculos de calidad § Otros usos, legítimos o ilegítimos
ü Legítimos.- ajenos a la auditoria: detección de fraudes, investigación
demoscópica, etc.
ü Ilegítimos.- del “lado claro”, realizado por empresas aparentemente
correctas, dedicadas a tráfico de direcciones, perfilado de clientes, etc. Y
del “lado oscuro”, donde las herramientas de auditoria pasan a ser un todo
con el malware
6.4. HERRAMIENTAS DE AUDITORIA SEGÚN SU UBICACIÓN
Se propone tratar las herramientas de
auditoría en función de su ubicación o
integración mayor o menor en las
aplicaciones o sistemas auditados.Se
clasifica en dos grandes categorías:
§ Embebidas, como módulos de una
aplicación o sistema.
§ Exentas, interactuando
sincrónicamente o no, con
elementos (fundamentalmente
archivos de datos) de una
aplicación o sistema.
Ilustración 3: Naturaleza “Cíclica” y “administradora” del ciclo de vida de la ASITIC
AUDITORIA DE SISTEMAS DE INFORMACIÓN
INGENIERIA DE SISTEMAS X CICLO Página 9 de 81
La ilustración 3, propone una triple reflexión:
§ La de la naturaleza cíclica de la auditoría discreta.
§ El muy importante peso relativo de las tareas administrativas en la totalidad de
la carga de trabajo de la auditoría
§ Señalar el elevado acoplamiento que existe entre la fase 1 “evaluación de
riesgos” y la fase 3 “Presupuesto”.
De la ilustración 3 puede concluirse que se tenderá hacia un uso creciente de:
§ Auditoría integral, que minimice solapes y lagunas de unas y otras
intervenciones.
§ Auditoria continua, que acorte los ciclos detección – corrección y con ello
facilite reducir el riesgo.
§ Paquetes integrales de auditoría que “integren” las labores administrativas y
las técnicas.
§ HERRAMIENTAS EMBEBIDAS Se trata de herramientas construidas/adquiridas al tiempo que la
aplicación/sistema principal, normalmente por requerimiento de un ASITIC que
ha participado en el proyecto o por el buen hacer de los desarrolladores.
Automatizada
Continua
Integrada Ámbito
Embebida
Ilustración 4: Prospectiva Auditoría SITIC 2007 - 2017
AUDITORIA DE SISTEMAS DE INFORMACIÓN
INGENIERIA DE SISTEMAS X CICLO Página 10 de 81
Las herramientas embebidas representan probablemente la mejor apuesta por la
“sostenibilidad” de la presión auditora.
Herramientas intrusivas y no intrusivas
ü Intrusivas, en el sentido que insertan en el sistema algún servicio para
generar logs.
ü No intrusivas, se limitan a leer y reprocesar
Auditoría continua / auditoria en línea El objetivo simplemente, es asegurar
que las transacciones en tiempo real se benefician de monitorización y controles
también en tiempo real.
La auditoría continua exige servicios en línea. Puede ser total o por muestreo.
Puede abarcar el ciclo completo “captura de información-emisión del informe” o
ser más continua, en la captura y más discreta en la periodificación del informe
que será más frecuente que trimestral, lo que podría demandar recursos y
trabajo significativos. Las condiciones de éxito para una auditoría continua son
estrictas:
ü Alta automatización de la detección, con filtros sofisticados y alarmas en
tiempo real
ü Herramientas de auditoría avanzadas y paramétricas
ü Excelente y ágil interfaz con los auditores altamente calificados
ü Mínimo estorbo al auditado
La mayor dificultad, naturalmente está en la redacción de las reglas de los filtros
automáticos.Las técnicas de auditoría continua recorren:
ü El registro de transacciones
ü Las herramientas de consulta (query)
ü Los SGBD (DBMS), los Datawarehouses y el Dataminig
ü La Inteligencia Artificial y las redes Neuronales
AUDITORIA DE SISTEMAS DE INFORMACIÓN
INGENIERIA DE SISTEMAS X CICLO Página 11 de 81
Auditoría diferida “cooperativa”
La siguiente ilustración representa un ejemplo de Auditoría Cooperativa
ü El ASITIC, empleando una CAAT, extrae (en tiempo real o diferido) del
universo de transacciones una muestra de aquellas que según un “criterio”
son presuntamente anormales (por importe inusualmente alto o por
sospecha de fragmentación).
ü Una aplicación Web envía al auditado la transacción acompañada de una
solicitud de explicación y un formulario de respuesta.
ü El Auditado cooperativamente retorna el formulario desarrollado al ASITIC,
quien tabula las respuestas y las incorpora a su informe.
Selecciona con CAAT y Criterio una muestra de
transacciones
Aplicación Web remite la transacción seleccionada al
auditado e incorpora “máscara” (petición y cuestionario)
Tabula respuestas
Emite informe
AUDITADO
Universo de Transacciones
Todo este proceso puede desencadenarse en tiempo real o algo
muy diferido
1
2
3 5
4
6
7
Muestra
AUDITOR
Responde el cuestionario
AUDITORIA DE SISTEMAS DE INFORMACIÓN
INGENIERIA DE SISTEMAS X CICLO Página 12 de 81
§ HERRAMIENTAS EXENTAS Se propone plantear principalmente:
ü El amplio uso por los ASITIC de herramientas ofimáticas
ü De Herramientas específicamente diseñadas como de auditoría
Las herramientas exentas constituyen en conjunto de herramientas más usado
por ahora por los ASITIC.
Herramientas Horizontales (Ofimáticas) Todas las herramientas ofimáticas se
usan ampliamente por los auditores.
ü Groupwareson aplicaciones particularmente diseñadas para el trabajo en
equipo (basadas fundamentalmente, en un SGBD y una aplicación de
workflow), sobre las que pueden hacerse “integraciones” de productos
comerciales específicos de auditoría. El ejemplo más conocido de groupware
es Lotus Notes; hay en el mercado “integraciones” para auditoría SITIC.
ü GRC el software de Governance, Risk and Compliance (GRC) puede
considerarse parcialmente incluido en esta categoría ofimática, si bien en
general admite entradas propias de los sistemas de vigilancia.
Herramientas Verticales de Gestión Algunas ejemplos de productos y
empresas por tipos:
ü Audinfor, el decano producto español, actualmente Gesia 2001
ü BindViewsoftware de cumplimiento de seguridad, adquirida en el 2005 por
Symantec
ü Paisley, se define como una empresa de GRC, su producto AutoAudit es
una conocida herramienta vertical de gestión.
ü Protiviti Inc. Consultores de gestión de riesgos. Entre sustecnologías
Internal Audit Workflow Technology
ü RVR SystemsEmpresa de GRC. Se declaran especialistas en cumplimiento,
gestión del riesgo, rendimiento operativo y gobernanza TIC. Su plataforma
RVR admite cualquier colección de marcos estándares y normativas
internas y soporta COSO y COBIT.
ü Sistemas Expertos Demasiados numerosos y dispersos
ü TeamMate Herramientas de gestión de papeles de trabajo de
PricewaterhouseCoopers.
ü TripwireSe declaran líderes en auditoría y control de configuración.
AUDITORIA DE SISTEMAS DE INFORMACIÓN
INGENIERIA DE SISTEMAS X CICLO Página 13 de 81
Herramientas Verticales Técnicas
Las herramientas verticales técnicas son las GAS y otras más genéricas, pero
aplicables a Auditorías SITIC.
Las herramientas GAS(Generalized Audit Software) o CAAT (Computer Assisted
Audit Tools) se aplicanparagestionarlas CAATT (Computer Assisted Audit Tools
and Techniques). En la práctica los tres términos se usan como sinónimos,
siendo CAAT el más usado.
Son herramientas especializadas (verticales, ocasionalmente integradas en
suites). En general atacan a los archivos de datos y no a los programas de
aplicación, por lo que suelen ser invariantes de los programas y más objetivas en
cuantos a los datos (que es lo que importa en primer lugar).
Las más conocidas son ACL e IDEA ambas canadienses, buen ejemplo de un
nicho de especialización- IDEA y ACL se reparten el mercado profesional de los
ASITIC. Ambas tienen funcionalidades similares, que pueden resumirse en
capacidad de:
ü Importación de Datos, (no intrusiva) de archivos en una gran variedad
de soportes y codificación según una gran variedad de estándares,
opción de que la extracción sea completa o siga automáticamente una de
muy diversas pautas de muestreo.
ü Cálculo, creando “campos lógicos“, resultado de aplicar una fórmula a los
campos originalmente importados.
IDEA parece más moderno y productivo (menor carga de formación para el
usuario final, mas intuitivo y orientado a usuarios finales no técnicos) que ACL,
quien está más basado en comandos y orientado a usuarios con mayor nivel de
conocimientos técnicos. La palabra clave, una vez más es “productividad”.
Otras herramientas (no específicas de auditoría, pero de sólida tradición) son
SAS y SPSS. Se trata de software estadístico y estadístico- sociológico, muy
potente, con el que se pueden realizar parte de las tareas CAAT, con potencia y
productividad no tan alejadas de las herramientas GAS; es cuestión de la
capacitación de los ASITIC.
AUDITORIA DE SISTEMAS DE INFORMACIÓN
INGENIERIA DE SISTEMAS X CICLO Página 14 de 81
6.5. HERRAMIENTAS DE AUDITORIA SEGÚN SU PRODUCTIVIDAD
La naturaleza recurrente, generalmente cíclica de la auditoría y el peso relativo
de las labores administrativas y de gestión aconsejan cautela en la evaluación de
herramientas “técnicas” no integradas o fácilmente integradas en “paquetes de
gestión”.
“El auditor ejecutivo de auditoría debe asegurar que los recursos de auditoría
interna sean adecuados, suficientes y efectivamente asignados para cumplir con
el plan aprobado”.
Standardsfor IS Auditing (SISA)(Normas Generales para la Auditoria de los Sistemas de Información)
CÓDIGO TÍTULO PUNTOS CONCRETOS
S6 Realización de Labores de Auditoría 04, 05, 07, 08, 09 y 10
S7 Reporte 03, 07
S8 Actividades de Seguimiento 08, 09
IS Auditing Guidelines (ISAG)(Directrices de Auditoría)
CÓDIGO TÍTULO PUNTOS CONCRETOS
G3 Uso de CAAT Todo
G8 Documentación de la Auditoría Todo
G10 Muestras de Auditoría Todo
G15 Actividades de Seguimiento 2.3.1, 2.3.2, 2.6 y 4.1.2
Fuente: elaboración propia a partir de Normas y
Directrices publicadas por ISACA en su portal, a 24/06/2007
La Information SystemAudit and Control Association – ISACA ha generado
normas y directrices de particular autoridad.
6.6. HERRAMIENTAS DE AUDITORIA SEGÚN SU COBERTURA
Se refiere al ámbito, alcance o cobertura de casos, archivos, registros.
Claramente es deseable una gran cobertura (incluso total) cobertura coste –
eficaz y a veces se considera necesaria. Conseguirla depende de una hábil
combinación de herramientas embebidas y GAS/ CAAT.
AUDITORIA DE SISTEMAS DE INFORMACIÓN
INGENIERIA DE SISTEMAS X CICLO Página 15 de 81
7. TÉCNICAS DE AUDITORIA ASISTIDA POR COMPUTADORAS
Son de suma importancia para el auditor de TI cuando realiza una auditoría. CAAT
incluyen distintos tipos de herramientas, las que más se utilizan son los software de
auditoría generalizado, software utilitario, los datos de prueba y sistemas expertos de
auditoría. Las CAAT se pueden utilizar para realizar varios procedimientos de auditoría
incluyendo:
· Prueba de los detalles de operaciones y saldos.
· Procedimientos de revisión analíticos.
· Pruebas de cumplimiento de los controles generales de sistemas de información.
· Pruebas de cumplimiento de los controles de aplicación.
7.1. PLANIFICACIÓN DE CAAT
En la planificación de auditoría, el auditor de sistemas de información debe
considerar una combinación apropiada de las técnicas manuales y las técnicas
de auditoría asistidas por computadora. Cuando se determina utilizar CAAT los
factores a considerar son los siguientes:
— Conocimientos computacionales, pericia y experiencia del auditor de
sistemas de información.
— Disponibilidad de los CAAT y de los sistemas de información.
— Eficiencia y efectividad de utilizar los CAAT en lugar de las técnicas
manuales
— Restricciones de tiempo
7.2. UTILIZAR CAAT
El uso de los CAAT debe ser controlado por el auditor de sistemas de
información para asegurar razonablemente que se cumple con los objetivos de
la auditoría y las especificaciones detalladas de los CAAT.
El auditor debe:
· Realizar una conciliación de los totales de control.
· Realizar una revisión independiente de la lógica de los CAAT
AUDITORIA DE SISTEMAS DE INFORMACIÓN
INGENIERIA DE SISTEMAS X CICLO Página 16 de 81
· Realizar una revisión de los controles generales de los sistemas de
información de la organización que puedan contribuir a la integridad de
los CAAT.
Documentación CAAT Una descripción del trabajo realizado, seguimiento y las conclusiones acerca de
los resultados de los CAAT deben estar registrados en los papeles de trabajo de
la auditoria para permitir que el proceso se mantenga y se repita por otro auditor
de sistemas de información.
Informe CAAT
La sección del informe donde se tratan los objetivos, la extensión y metodología
debe incluir una clara descripción de los CAAT utilizados. Esta descripción no
debe ser muy detallada, pero debe proporcionar una buena visión general al
lector.
7.3. TIPOS DE HERRAMIENTAS CAAT
IDEALa herramienta IDEA, se puede disminuir costos de análisis, realzar la
calidad del trabajo y adquirir nuevos roles. Con esta herramienta se puede leer,
visualizar, analizar y manipular datos; llevar a cabo muestreos y extraer archivos
de datos desde cualquier origen ordenadores centrales a PC, incluso reportes
impresos.
ÁREAS DE USO DE LAS HERRAMIENTAS
• Auditoría externa de estados financieros.
• Auditoria Interna
• Detección de Fraude
• Informes y Análisis de gestión
• Transferencias de Archivos
• Industria
• Organizaciones de ventas al por menor
• Entes gubernamentales
• Bancos e instituciones financieras
AUDITORIA DE SISTEMAS DE INFORMACIÓN
INGENIERIA DE SISTEMAS X CICLO Página 17 de 81
1. DEFINICIÓN
Es el proceso que permite medir, asegurar, demostrar, monitorear y registrar los accesos
a la información almacenada en las bases de datos incluyendo la capacidad de
determinar:
· Quién accede a los datos
· Cuando se accedió a los datos
· Desde que dispositivo / aplicación
· Desde que ubicación en la Red
· Cuál fue la sentencia SQL ejecutada
· Cuál fue el efecto del acceso a la base de datos
La auditoría de base de datos es uno de los procesos fundamentales para apoyar la
responsabilidad delegada a la IT frente a las regulaciones y su entorno de negocios o
actividad.
2. PUNTOS A LOS QUE SE ENFOCA EL AUDITOR
2.1. Control y Seguridad de la Base de Datos Que se tenga siempre una lista de los usuarios así como también diferentes
perfiles, tipos de usuarios, documentación sobre cambios, accesos limitados,
buscar e identificar que cada uno esté en su puesto, que administradores tienen
acceso, los programadores no deben tener acceso a la base real, que usuarios
tienen acceso a toda la base de datos, en caso de que no tenga los perfiles el
auditor debe de identificarlos e identificar que cada persona esté en su puesto.
2.2. Diseño Identificar que realmente se deje una trayectoria o documentación sobre la base
de datos, que tenga diccionario de base de datos y cada uno tenga los datos
adecuados, lista de los objetos.
Auditoría de Base de Datos
AUDITORIA DE SISTEMAS DE INFORMACIÓN
INGENIERIA DE SISTEMAS X CICLO Página 18 de 81
2.3. La investigación de la arquitectura Se refiere al sistema operativo y el software para crear una base de datos,
además de que deban ser compatible, chequear estudios previos para escoger el
software adecuado, verificar que los componentes que se compren sean los
adecuados para la compatibilidad) el ciclo de vida de una base de datos (cuánto
tiempo durará el sistema o base de datos que se diseñó), estudio de la
información este realmente de acuerdo con la empresa que está utilizando en este
momento, si se cuenta con la documentación de la reingeniería aplicada, tener
almacenados ciertos archivos que se modifican, verificar que exista un oficio para
poder hacer la modificación con las autorizaciones necesarias, verificar que exista
registro de todo.Dentro de la auditoría de base de datos tenemos dos formas de
auditoría, éstas son auditoría del cliente y auditoría en el motor de base de datos.
3. OBJETIVOS GENERALES DE AUDITORÍA DE BASE DE DATOS Disponer de mecanismos que permitan tener trazas de auditorías completas y
automáticas relacionadas con el acceso a las bases de datos, incluyendo la capacidad
de generar alertas con el objetivo de:
· Mitigar los riesgos asociados con el manejo inadecuado de los datos.
· Apoyar el cumplimiento regulatorio.
· Satisfacer los requerimientos de los auditores.
· Evitar las acciones criminales.
· Evitar las multas por incumplimiento.
La importancia de la auditoría del entorno de base de datos radica en que es el punto de
partida para poder realizar la auditoría de las aplicaciones que utiliza esta tecnología.
4. PLANIFICACIÓN DE LA AUDITORÍA DE BASES DE DATOS
Cuando se habla de planificación, generalmente no enfocamos a un plan, metódicamente
organizado y frecuentemente de gran amplitud, para obtener un objetivo determinado.
En este sentido, la planificación de la auditoría de base de datos, se va a referir a la serie
de pasos que debemos cubrir para determinar los aspectos e identificar los recursos y así
establecer el plan de trabajo, para lograr el alcance esperado.
AUDITORIA DE SISTEMAS DE INFORMACIÓN
INGENIERIA DE SISTEMAS X CICLO Página 19 de 81
Por lo tanto, el auditor de base de datos debe:
· Identificar todas las bases de datos de la Organización.
· Clasificar los niveles de riesgos de los datos en las bases de datos.
· Analizar los permisos de acceso.
· Analizar los controles de acceso existentes a las bases de datos.
· Establecer los modelos de auditoría de bases de datos a utilizar.
· Establecer las pruebas a realizar para cada base de datos, aplicación y/o usuario.
5. IMPORTANCIA DE LA AUDITORÍA DE BASE DE DATOS
Con la auditoría de base de datos se busca monitorear y garantizar que la
información está segura, además de brindar ayuda a la organización para detectar
posibles puntos débiles y así tomar precauciones para resguardar aún más los
datos.
La auditoría de base de datos es importante porque:
· Toda la información financiera reside en base de datos y deben existir
controles relacionados con el acceso a las mismas.
· Se debe poder mostrar la integridad de la información almacenada en las
bases de datos.
· Las organizaciones deben mitigar los riesgos asociados a la pérdida de datos
y a la fuga de información.
· La información confidencial de los clientes, son responsabilidad de las
organizaciones.
· Los datos convertidos en información a través de bases de datos y procesos
de negocio, representan el negocio.
· Las organizaciones deben tomar medidas mucho más allá de asegurar sus
datos. Deben monitorearse perfectamente, a fin de conocer quién o qué les
hizo exactamente qué, cuándo y cómo.
AUDITORIA DE SISTEMAS DE INFORMACIÓN
INGENIERIA DE SISTEMAS X CICLO Página 20 de 81
6. AUDITORÍA ORACLE
En el caso de Oracle Database, la auditoría es un conjunto de características que
permite al administrador de la base de datos y a los usuarios hacer un seguimiento del
uso de la base de datos.
El administrador de base de datos puede definir la actividad de auditoría
predeterminada, obteniendo el registro a detalle del usuario que ejecutó la operación la
fecha y hora.
La información de las auditorías se almacena en el diccionario de datos, en la
tablaSYS.AUD$ o en la pista de auditoría del sistema operativo llamado con una pista
de auditoría del sistema operativo. Se pueden auditar tres tipos de acciones:
· Intentos de inicio de sesión.
· Accesos a objetos
· Acciones de la base de datos
7. NIVELES DE AUDITORÍA
7.1. NIVEL BÁSICO
Este nivel contempla o corresponde al nivel de seguridad más bajo. Es por esto
recomendable que cualquier base de datos tenga este nivel como mínimo, ya que
así se cubren los aspectos de seguridad básica.
Es por esto recomendable que la organización tenga registrado en un documento
de seguridad ya sea de tipo electrónico o papel, los elementos de la base de
datos y las operaciones que se pueden ejecutar sobre dichos elementos, detalle
de usuarios y sus roles según como lo requiera la organización.
Se requiere indudablemente definir la restricción de acceso a los datos a los
usuarios según las operaciones que se realicen mediante diversos mecanismos y
registrarlas en dicho documento de seguridad.
AUDITORIA DE SISTEMAS DE INFORMACIÓN
INGENIERIA DE SISTEMAS X CICLO Página 21 de 81
Debe existir un administrador de la gestión de seguridad que pueda controlar los
aspectos de auditoria y acceso al sistemas por medio de auditoria genérica,
auditando dicho acceso y controlando el número de intentos. Es la auditoría
mínima que se debería hacer para controlar el acceso del personal.
Con esta información y los horarios de trabajo de los usuarios se pueden
investigar las anomalías mediante alertas y procedimientos almacenados.
Otro aspecto importante es contar con un repositorio activado donde que el
registro de la auditoria y paralelamente establecer un tiempo prudencial que va a
estar almacenados dichos datos en consenso con la gerencia de la organización.
7.2. NIVEL MEDIO
Aquí se habla de un nivel de seguridad mayor si se quiere para empresas
medianas grandes que se manejen datos de mucha importancia y requieren de
herramientas de control a mayor escala.
Es necesario que exista un responsable distinto del administrador que se
encargue de evolucionar las políticas de auditoria y que aplique criterios de
investigación ante los hechos excepcionales y datos de auditoria, apoyados en
las diversas herramientas que ofrezca el manejador en cual tengan su base de
datos.
Adicionalmente es preciso contar con un esquema de respaldo de la base de
datos en donde se ejecuten las debidas copias de seguridad y limpieza de las
tablas de auditoría.Se debe auditar y vigilar los intentos de realización de
operaciones, autorizadas o no, sobre objetos de la base de datos personales con
el objetivo de limitar dichos intentos por parte de un usuario.
Se debe auditar los intentos fallidos de conexión del usuario auditor, único
usuario que puede ver el contenido de las tablas de auditoría, usando el envío de
mensajes tanto al propio auditor como al administrador de la base de datos cada
vez que esto ocurra. Separar el archivo de transacciones o de log en otro disco
dentro del servidor de base de datos para obtener mayor eficiencia, en el caso
de ser una base de datos muy concurrente.
AUDITORIA DE SISTEMAS DE INFORMACIÓN
INGENIERIA DE SISTEMAS X CICLO Página 22 de 81
7.3. NIVEL ALTO
Este corresponde al mayor nivel de seguridad, especial para las grandes
empresas que requieren resguardar su valor más importante, incluyendo no solo
datos de la organización sino datos personales, de mercado, tendencias
económicas, etc., por lo que se requiere una correcta categorización de los datos
sensibles para la empresa.
Se deben auditar los intentos de actualización y borrado de los datos sensibles
para la organización por parte de los usuarios, ya sean autorizados o no
autorizados. Cada vez que se actualicen dichos datos, sin frecuencia límite, el
auditor deberá investigar este hecho sobre quién ha realizado las
modificaciones, desde qué máquina y cuándo, por medio de procedimientos
almacenados, con el objetivo de detectar irregularidades dentro de la plantilla de
la organización.
Manejar herramientas de auditoria como la de grano fino que recoge la
información mediante trazas y que va a permitir vigilar los movimientos
susceptibles de ser investigado y vigilados, utilidades que coloquen alertas con
frecuencia de actualización de datos o detección de procedimientos
almacenados, con el objetivo de detectar irregularidades dentro de la plantilla de
la organización.Se deben tener copias de seguridad en ubicaciones diferentes,
repositorio de tablas de auditoría en servidor externo al de la base de datos.
CUADRO COMPARATIVO ENTRE LOS NIVELES DE AUDITORÍA
NIVELES
VENTAJAS
DESVENTAJAS
BAJO
Se cuenta con documentación que facilita
detección de errores, permisos, cambios.
La Gestión de Privilegios mediante roles
para filtrar acceso a los objetos y
estructuras de la BD.
El control de acceso a la BD permite
controlar las conexiones a la BD, para
investigación de errores o vulnerabilidad
El control de acceso a la BD se
puede descontrolar si sube el
nivel de conexiones y
desconexiones
Los Logs y registros de auditoria
deben ser constantemente
revisados por si ocurren fallas
de espacio.
AUDITORIA DE SISTEMAS DE INFORMACIÓN
INGENIERIA DE SISTEMAS X CICLO Página 23 de 81
MEDIO
Control casi absoluto de las operaciones
de los usuarios.
Cada operación que el auditor considera
importante es auditada.
Permite detectar y configurar infracciones
Mejora el rendimiento del servidor debido
a que se separan los archivos de
transacciones en discos diferentes-
Alto nivel de gasto económico
en personal e infraestructura de
auditoría, por esto la
organizaciones debe ser
rentable con un nivel medio o
alto del flujo de información.
ALTO
Rápida recuperación de los datos en
virtud del esquema de respaldo
con el que se cuenta.
Mejora del rendimiento de la BD por tener
externos los logs de auditoría
Detección Rápida de operaciones que
pueden hacer vulnerable el sistema son
detectadas gracias a los elementos de
auditoría como políticas de auditoría y
procedimientos almacenados.
Mejora de la seguridad debido al uso de
múltiples alertas, que permiten la
detección inmediata en caso de ataques.
El costo en infraestructura es
mayor.
Configuración de alertas de
forma manual, representa altos
costos en tiempo y personal; y
la creación de alertas usando
herramientas de auditoría, con
un coste económico
relativamente alto
8. TIPOS DE AUDITORÍA
Dentro de la auditoría de base de datos tenemos varias formas de ejecutar la auditoría,
entre estas tenemos:
8.1. Auditoría del Cliente
La auditoría de cliente es la que no pertenece al motor de la base de datos.
Es aquella cuyo desarrollo es realizado por el programador de la aplicación o de
la base de datos, no por el administrador o auditor de la base de datos.
Podemos distinguir dos subtipos de auditoría de cliente: auditoría de aplicativo y
auditoría de disparadores.
AUDITORIA DE SISTEMAS DE INFORMACIÓN
INGENIERIA DE SISTEMAS X CICLO Página 24 de 81
Auditoría de aplicativo
La auditoría de aplicativo es el servicio que permite analizar las aplicaciones
forma independiente a la base de datos, y su ámbito estará delimitado al trabajo
diario de la aplicación y los procesos en los que participe.
Ofrece la ventaja de la independencia, puesto que se puede desarrollar en el
ámbito de nuestra aplicación informática los controles necesarios y adecuados a
nuestras necesidades de auditoría sin necesidad de tener que acceder al motor
de la base de datos; esta manera de auditar permite crear procesos de control
más concretos y por tanto más eficaces.
Si se hablan de desventajas se tendrán aplicaciones menos flexibles dado que el
desarrollo de soluciones de control para la auditoria de bases de datos será más
laborioso y tendremos más problemas para el mantenimiento y actualización de la
aplicación.
Auditoría de Disparadores
Los disparadores son rutinas o procedimientos que se activan cuando se
producen un evento en la base de datos y que se usan para añadir lógica o
restricciones a la misma.
Pueden ser utilizados para establecer reglas de integridad como base de datos
externas como por ejemplo (no grabar un pedido si el cliente no se encuentra
registrado en la base de datos de pedido).
Para el caso de auditoría, va a ser de utilidad para la programación de
disparadores que nos permitan registrar en una tabla de auditoría los cambios
que ejecutan los usuarios como inserción, actualización o eliminación de datos, la
identidad de quien los llevó a cabo y otros datos de interés: cómo?, cuándo se
realizaron?, desde dónde?, etc., para que posteriormente el auditor pueda
analizar las operaciones
Usar este recurso nos aporta grandes ventajas, ya que de una manera muy
sencilla y directa va quedando un registro de estas operaciones tan frecuentes en
una base de datos.
AUDITORIA DE SISTEMAS DE INFORMACIÓN
INGENIERIA DE SISTEMAS X CICLO Página 25 de 81
8.2. Auditoría en el motor de la base de datos
La auditoría del entorno de base de datos corresponde al punto de partida de
para realizar la auditoria de aplicaciones. Es por esto que muchos auditores
dentro de las organizaciones están tomando cada vez mayor interés con respeto
a las operaciones que se ejecutan sobre los objetos de la base de datos. Es por
esto que este tipo de auditoría está basada en políticas diseñadas de tal forma
que sea posible auditar un objeto de la base de datos en unas determinadas
circunstancias: bajo el uso de una o varias operaciones definidas por el auditor.
De esta forma, se puede definir la política de auditoría como la información que
necesita el motor de la base de datos para auditar. Indica qué hay que auditar,
cómo y cuándo.
De lo que se deriva el inexorable vínculo entre auditoría y seguridad de la
información ya que se crean controles de acceso a los sistemas que después nos
proveen de información auditable en términos de seguridad.
El proceso de auditoría de bases de datos debe ser independiente de las
aplicaciones que hacen uso de la información contenida en ella, así que a la hora
de evaluar los costos de la realización de la auditoría sólo tendremos que tener
en cuenta el coste que se genera en el proceso de recogida de la información y el
costo del procesamiento de la información que sirve de base para el análisis y
estudio del auditor.
Existen niveles diferentes para este tipo de auditoría dependiendo de la forma
que se recopile los datos, distinguiendo de esta forma:
Agregada:Estadísticas sobre el número de operaciones realizadas sobre un
objeto de Base de Datos, por cada usuario. Como cualquier estadística, su
medida puede hacerse con técnicas censales y muestrales.
· Censal El gestor toma datos de todas las operaciones que recibe, según el gestor,
esto se ejecutará en paralelo a las operaciones auditadas.
· Muestral Periódicamente se toman una muestra de datos.
AUDITORIA DE SISTEMAS DE INFORMACIÓN
INGENIERIA DE SISTEMAS X CICLO Página 26 de 81
Detallada:Incluye todas las operaciones realizadas sobre cada objeto.
· Cambios:El contenido de los datos. Debe contener la imagen de los datos
anteriores y posteriores a la operación del cambio.
La estructura de los objetos que componen la aplicación.
· Accesos:Limitada a las operaciones de acceso al contenido de los datos y
tiene dos niveles de detalle:
Operación (sentencia SQL que se ejecutó) y resultado (los datos que se
vieron en la sentencia SQL ejecutada).
Otros:
· Copias de seguridad y recuperaciones.
· Reconstrucción de un estado de los datos.
9. POLÍTICAS DE AUDITORÍA
Las políticas de auditoría son el conjunto de normas, reglas, procedimientos y prácticas
que van a regular la protección de la información de la base de datos, contra la perdida
de confidencialidad, integridad o disponibilidad, tanto de forma intencional como
accidental, por lo tanto corresponde a los mecanismos que permitan resguardar todos
estos elementos, por lo cual se diseñaran los aplicativos necesarios, haciendo la
salvedad que no corresponde de forma estricta a un conjunto de validaciones, sino que
evoluciona según los riesgos detectados por lo tanto también existe la posibilidad de
ejecución de actividades de auditoría producto de la detección de actividades de origen
sospechosos a través de una auditoría más específica con respecto a los eventos que se
quieran controlar.
Por lo tanto existen diversos elementos que pueden establecerse como políticas para la
protección de la información como:
§ Control de Acceso: Mediante estas políticas se establece el control sobre la
autenticación e identificación los usuarios que conectan a la base de datos, con el fin
de otorgar los accesos solos a los usuarios que estén autorizados, se registran los
inicios de o cierres de sesión de un usuario desde otro equipo.
Cuando se decide tener activa esta opción se puede especificar si se quiere auditar:
AUDITORIA DE SISTEMAS DE INFORMACIÓN
INGENIERIA DE SISTEMAS X CICLO Página 27 de 81
ü Aciertos: Generan un entrada cuando el usuario intenta iniciar la sesión y tiene
éxito, lo que ofrece información útil para establecer la responsabilidad y para la
investigación tras el incidente, de forma que se pueda determinar quién consiguió
iniciar sesión y en qué equipo
ü Errores: Generan una entrada de auditoría cuando en un intento de inicio de
sesión de cuenta se produce un error, lo que resulta útil para la detección de
intrusos, intentos de violación de seguridad, también se tiene la posibilidad de
configurar una condición de negación de servicio que limite las veces de intento
de conexión y las entradas de registro de sucesos de seguridad.
§ Niveles de Acceso a la BD: Revisión del tipo de acceso a de los usuarios, si el
acceso es temporal, si está permanentemente conectado en cualquier momento o
rangos de horas en días autorizados. De acuerdo al espacio: desde cualquier
máquina de la red, cualquier máquina registrada, máquinas explícitamente
autorizadas, hora y usuario
§ Uso de Privilegios Aquí se revisaría y regularía el tipo de operaciones que se
pueden ejecutar sobre la base de datos como (insertar, crear, modificar, actualizar,
eliminar) sobre los datos o las estructuras de datos, de acuerdo al usuario que
ejecuta la operación. De esta forma se estarían bloqueando las funciones que no son
inherentes al usuario con respecto a estructuras y datos de la BD
§ Roles: Cuando se habla de roles se refiere a la configuración del conjunto de
privilegios para un usuario que son agrupadas mediante una sola función
denominada rol con el fin de delimitar las acciones que el mismo puede ejecutar
sobre la BD.
§ Acceso a Objetos: Registro de las operaciones realizadas sobre objetos de las
Base de Datos como tablas, vistas, procedimientos etc., con detalle de operaciones
como borrado
§ Aplicaciones de Usuario: Auditoría sobre las medidas de seguridad o validaciones
que se utilizan en las herramientas de interfaz gráficas de usuario con el fin de
proteger la carga de datos errónea provocada por los usuarios.
§ Diccionario de Datos: Corresponde a los procesos de auditoría que resguardan la
integridad de los datos del repositorio.
AUDITORIA DE SISTEMAS DE INFORMACIÓN
INGENIERIA DE SISTEMAS X CICLO Página 28 de 81
Otros procedimientos que respaldarían y otorgarían consistencia a los procesos
definidos como auditables son los siguientes:
· Ejecución de Copias de Seguridad de las Estructuras de datos
· Procedimientos de recuperación de datos que aseguren la disponibilidad
· Políticas de control de los accesos concurrentes según el número de usuarios que
tiene la BD
· Políticas de control de cambio para ejecutar actualizaciones, corrección de errores
y diversos cambios a la BD con la aprobación de su respectivo comité.
10. IMPLEMENTACIÓN DE AUDITORÍA
10.1. Definir que se quiere auditar
En una base de datos hay distintas actividades que se pueden auditar según las
necesidades propias del negocio y el análisis previo realizado.
Justamente para la configuración de los distintos tipos de auditoría, es oportuno y
correcto el uso del comando audit que permite configurar distintos tipos de
Auditoría. Este comando puede utilizarse aunque no esté activada la auditoría de
base de datos, aunque para obtener los resultados de dicha auditoría hay que
definir correctamente el parámetro ya explicado de inicialización audit_trail.
10.2. Pasos para habilitar la auditoría:
1. Identificar los objetos u estructuras de datos que deben ser auditadas con el
fin de satisfacer los requerimientos de información necesarios para su
posterior análisis.
2. Determinar qué elementos y acciones sobre dichos elementos se desea
registrar.
3. Utilizar el módulo de auditoría para registrar la información definida en los
puntos anteriores y de esta manera habilitar la auditoría sobre dichos objetos
4. Verificar que las pistas de auditoría definidas sirvan para el análisis que se
desea realizar mediante pruebas.
5. Repetir los pasos anteriores hasta lograr que se genere la información
deseada en el repositorio de auditoría.
AUDITORIA DE SISTEMAS DE INFORMACIÓN
INGENIERIA DE SISTEMAS X CICLO Página 29 de 81
10.3. Administrar pista de auditoria
La generación de las pista de Auditoría nos permite mantener el historial de los
cambios que se realizan de los datos e identificar que se cambió, quién y cuándo
se ejecutó el cambio. Este es el punto de partida para el análisis de la información
con respecto a cómo se obtuvo el valor actual de cualquier elemento.
10.4. Análisis de la información Recolectada
Consiste en cotejar y razonar la información obtenida mediante el acceso a al
repositorio de la auditoria con herramientas de consulta como el Discoverer que
viene a ser una herramienta que permite generar información propia a partir de los
datos existentes o para solventar problemas específicos con un fin preciso (ad
hoc), esto para el análisis del negocio, crear escenarios, observar tendencias, etc.
Es muy posible que la información que se requiera no se tenga en línea o con la
exactitud que se requiere ya que es necesario depurar la información almacenada
en el repositorio por restricciones de espacio. Es por esto que cuando se requiere
investigar algún elemento en específico se puede solicitar al administrador o al
operador la recuperación de la información.
10.5. Monitorear el crecimiento de la pista de Auditoría
El uso del proceso auditoría a la base datos se tiene falsamente percibido como
complejo y lento y la razón de esto suele ser por desconocimiento, debido a que
es lógico que si se tienen activadas múltiples opciones a auditar, la pista
resultante de dicha auditoría pueden ser grande y compleja para descifrar y
administrar. Por otra parte, si se utiliza auditoría en todas las tablas y vistas de la
BD seguramente se va a ver afectado el rendimiento, ya que por cada operación
se escribe un registro en la tablas de auditoría, lo que sigue contribuyendo a la
ralentización de las operaciones que se ejecuten dentro de la BD.
Por lo tanto es vital que cuando se utilicen los recursos de la herramienta de
auditoría se planifique y ejecute de manera sencilla y prudencial, basados en el
seguimiento de objetos y objetos críticos de la BD, por esto se requieren una
análisis previo de posibles abusos que se pueden realizar y de las acciones que
se van a dictaminar, de forma tal que esto genere un informe que permita filtrar
las pista de auditoría para estas acciones.
AUDITORIA DE SISTEMAS DE INFORMACIÓN
INGENIERIA DE SISTEMAS X CICLO Página 30 de 81
10.6. Proteger la pista de Accesos no autorizados
Es necesaria la aplicación de mecanismos adecuados para proteger datos
sensitivos no solo en este caso de las pistas de auditoría, sino de los datos e
información almacenados y transmitidos a través de las tecnologías de
información, que están sujetos a las amenazas provenientes de accesos, usos,
apropiación y alteración no autorizados, transmisiones fraudulentas, caída o
destrucción del servicio, y requieren de mecanismos adecuados para
salvaguardarlos;
AUDITORIA DE SISTEMAS DE INFORMACIÓN
INGENIERIA DE SISTEMAS X CICLO Página 31 de 81
CheckList e Informes de Auditoria
Empresa: __________________________________________________ Fecha: ____________________ Encargado de la Auditoria: __________________________________ 1) ¿Existe una persona designada para la administración de Base de Datos?
Si ( ) No ( ) En caso de la respuesta ser negativa explique por qué? ______________________________________________________________________________________________________________________________________
¿Cuáles son sus funciones? ___________________________________________________________________ ______________________________________________________________________________________________________________________________________
2) ¿Cuáles personas tienen acceso para hacer cambios a la biblioteca del sistema administrativo de
base de datos? __________________________ ______________________________ __________________________ ______________________________ __________________________ ______________________________
3) ¿Existen restricciones para el ingreso o inclusión de los datos en las estructuras de Base de Datos? SI ( ) NO ( )
4) ¿Cuáles son las restricciones?
_________________________________________________________________________________________________________________________________________________________________________________________________________
5) ¿Cumplen con los lineamientos (documentación, justificación y autorización)? SI ( ) NO ( )
6) Se cuenta con procedimientos escritos para la recuperación de base y estructura de datos en caso de una destrucción total o parcial. ¿Cuáles?
SI ( ) NO ( )Detalle: ______________________________________________________________________________________________________________________________________________________
7) ¿Se dispone de mecanismos de seguridad que garanticen la protección contra la destrucción accidental o deliberada?
SI ( ) NO ( )¿Cuáles? ______________________________________________________________________________________________________________________________________________________
8) ¿Se dispone de mecanismos de seguridad que garanticen la protección contra los accesos no autorizados? ¿Cuáles?
SI ( ) NO ( )¿Cuáles?
AUDITORIA DE SISTEMAS DE INFORMACIÓN
INGENIERIA DE SISTEMAS X CICLO Página 32 de 81
___________________________________________________________________________________________________________________________________________________________________________________________________________________________________
9) ¿Están estos mecanismos avalados por el personal de Auditoría de Sistemas y Seguridad de
Activos de Información? SI ( ) NO ( )
10) ¿Existen mecanismos de custodia?
SI ( ) NO ( ) 11) ¿Existe una persona designada para la administración de Base de Datos?
SI ( ) NO ( ) 12) ¿Cuáles son sus funciones?
_________________________________________________________________________________________________________________________________________________________________________________________________________
13) ¿Cuáles personas tienen acceso para hacer cambios a la biblioteca del sistema administrativo de
base de datos? __________________________ ______________________________ __________________________ ______________________________ __________________________ ______________________________ __________________________ ______________________________
14) ¿Existen restricciones para el ingreso o inclusión de los datos en las estructuras de Base de Datos?
SI ( ) NO ( ) 15) ¿Cuáles son las restricciones?
__________________________ ______________________________ __________________________ ______________________________ __________________________ ______________________________
16) ¿Cumplen con los lineamientos (documentación, justificación y autorización)? SI ( ) NO ( )
17) ¿Se cuenta con procedimientos escritos para la recuperación de base y estructura de datos en
caso de una destrucción total o parcial? ¿Cuáles? SI ( ) NO ( )¿Cuáles?
__________________________ ______________________________ __________________________ ______________________________ __________________________ ______________________________
18) ¿Se dispone de mecanismos de seguridad que garanticen la protección contra la destrucción accidental o deliberada? ¿Cuáles?
SI ( ) NO ( )¿Cuáles? __________________________ ______________________________ __________________________ ______________________________ __________________________ ______________________________
AUDITORIA DE SISTEMAS DE INFORMACIÓN
INGENIERIA DE SISTEMAS X CICLO Página 33 de 81
19) ¿Se dispone de mecanismos de seguridad que garanticen la protección contra los accesos no autorizados? ¿Cuáles?
SI ( ) NO ( )¿Cuáles? __________________________ ______________________________ __________________________ ______________________________ __________________________ ______________________________
20) ¿Están estos mecanismos avalados por el personal de Auditoría de Sistemas y Seguridad de Activos de Información?
SI ( ) NO ( ) 21) ¿Existen mecanismos de custodia?
SI ( ) NO ( )
22) ¿Se aprueban los cambios, modificaciones de los programas e incorporación de nuevas versiones mediante controles de cambio aprobado por los administradores y su respectivo comité de cambios?
SI ( ) NO ( )
23) ¿Se cuenta con controles y procedimientos para prevenir el acceso a la base de datos? SI ( ) NO ( )Cuáles?
__________________________ ______________________________ __________________________ ______________________________ __________________________ ______________________________
24) ¿Se cuenta con controles y procedimientos para prevenir el acceso a la biblioteca de la base de datos? ¿Cuáles?
SI ( ) NO ( )Cuáles? __________________________ ______________________________ __________________________ ______________________________ __________________________ ______________________________
25) ¿Se cuenta con controles y procedimientos para prevenir el acceso programas de la base de
datos? ¿Cuáles? SI ( ) NO ( )Cuáles? __________________________ ______________________________ __________________________ ______________________________ __________________________ ______________________________
26) ¿Se cuenta con controles y procedimientos para prevenir el acceso a las aplicaciones de los
usuarios de la base de datos? ¿Cuáles? SI ( ) NO ( )Cuáles? __________________________ ______________________________ __________________________ ______________________________ __________________________ ______________________________
27) ¿Se cuentan con normas para la definición, control, actualización y monitoreo de las bases y
estructuras de datos? SI ( ) NO ( )
AUDITORIA DE SISTEMAS DE INFORMACIÓN
INGENIERIA DE SISTEMAS X CICLO Página 34 de 81
28) ¿Cuáles son los mecanismos que aseguran el cumplimiento de las normas de definición, control, actualización y monitoreo de las bases estructuras de datos?
__________________________ ______________________________ __________________________ ______________________________ __________________________ ______________________________
29) ¿Cuál es la frecuencia con las que se ejecutan las copias de seguridad de las estructuras y base
de datos? Diarias: ___ Semanales: ___ Trimestrales: ___ Semestrales: ___ Anules: ___
30) ¿Existen procedimientos de recuperación que aseguren la disponibilidad de la base de datos?
¿Cuáles? SI ( ) NO ( )¿Cuáles? __________________________ ______________________________ __________________________ ______________________________ __________________________ ______________________________
31) ¿Cuáles son los niveles de control de acceso a la información? __________________________ ______________________________ __________________________ ______________________________ __________________________ ______________________________
32) ¿Quiénes son las personas autorizadas de actualizar la base de datos?
__________________________ ______________________________ __________________________ ______________________________ __________________________ ______________________________
33) ¿Cuáles personas tienen acceso para hacer cambios a la biblioteca del sistema administrativo de base de datos?
__________________________ ______________________________ __________________________ ______________________________ __________________________ ______________________________
34) ¿Existen restricciones para el ingreso o inclusión de los datos en las estructuras de Base de
Datos? SI ( ) NO ( )¿Cuáles? __________________________ ______________________________ __________________________ ______________________________
35) ¿Se cumplen con los lineamientos (documentación, justificación y autorización)? SI ( ) NO ( )
36) ¿Se cuenta con procedimientos escritos para la recuperación de base y estructura de datos en
caso de una destrucción total o parcial? ¿Cuáles? SI ( ) NO ( )¿Cuáles? __________________________ ______________________________ __________________________ ______________________________
AUDITORIA DE SISTEMAS DE INFORMACIÓN
INGENIERIA DE SISTEMAS X CICLO Página 35 de 81
37) ¿Se dispone de mecanismos de seguridad que garanticen la protección contra la destrucción accidental o deliberada? ¿Cuáles?
SI ( ) NO ( )¿Cuáles? __________________________ ______________________________ __________________________ ______________________________
38) ¿Se dispone de mecanismos de seguridad que garanticen la protección contra los accesos no autorizados? ¿Cuáles?
SI ( ) NO ( )¿Cuáles? __________________________ ______________________________ __________________________ ______________________________
39) ¿Están estos mecanismos avalados por el personal de Auditoría de Sistemas y Seguridad de Activos de Información?
SI ( ) NO ( ) 40) ¿Existen mecanismos de custodia?
SI ( ) NO ( )
41) ¿Se aprueban los cambios, modificaciones de los programas e incorporación de nuevas versiones mediante controles de cambio aprobado por los administradores y su respectivo comité de cambios?
SI ( ) NO ( )
42) ¿Se cuenta con controles y procedimientos para prevenir el acceso a la base de datos? ¿Cuáles? SI ( ) NO ( )¿Cuáles? __________________________ ______________________________ __________________________ ______________________________
43) ¿Se cuenta con controles y procedimientos para prevenir el acceso a la biblioteca de la base de
datos? ¿Cuáles?
SI ( ) NO ( )¿Cuáles? __________________________ ______________________________ __________________________ ______________________________
44) ¿Se cuenta con controles y procedimientos para prevenir el acceso programas de la base de datos? ¿Cuáles?
SI ( ) NO ( )¿Cuáles? __________________________ ______________________________ __________________________ ______________________________ __________________________ ______________________________
45) ¿Se cuenta con controles y procedimientos para prevenir el acceso a las aplicaciones de los usuarios de la base de datos? ¿Cuáles?
SI ( ) NO ( ¿Cuáles? __________________________ ______________________________ __________________________ ______________________________
AUDITORIA DE SISTEMAS DE INFORMACIÓN
INGENIERIA DE SISTEMAS X CICLO Página 36 de 81
46) ¿Se cuentan con normas para la definición, control, actualización y monitoreo de las bases y estructuras de datos?
SI ( ) NO ( )
47) ¿Cuáles son los mecanismos que aseguran el cumplimiento de las normas de definición, control, actualización y monitoreo de las bases estructuras de datos?
__________________________ ______________________________ __________________________ ______________________________
48) ¿Cuál es la frecuencia con las que se ejecutan las copias de seguridad de las estructuras y base de datos?
Diaria___ Semanal___ Mensual___ Trimestral___ Semestral___ Anual___
49) ¿Existen procedimientos de recuperación que aseguren la disponibilidad de la base de datos?
¿Cuáles? SI ( ) NO ( ) ¿Cuáles? __________________________ ______________________________ __________________________ ______________________________
50) ¿Existen mecanismos que garanticen la corrección, integridad y consistencia de las relaciones en la base de datos?
SI ( ) NO ( ) 51) ¿Existe un checklist que ayude a la reactivación del servicio luego de una falla mayor?
SI ( ) NO ( )
52) ¿Se realiza mantenimiento a las bases de datos donde, se realicen organización de la estructura y así administrar mejor el espacio en disco y las relaciones de las relaciones de las tablas?
SI ( ) NO ( )
53) ¿Existencia de un procedimiento que garantice el cumplimiento de los procedimientos definidos para los mantenimientos de las bases de datos?
SI ( ) NO ( )
54) ¿Existe una herramienta de monitoreo que ayude al desempeño óptimo de la base de datos? SI ( ) NO ( )
55) La herramienta de monitoreo se encarga de: o Manejos de accesos y estructura de la base de datos Si ___ No___ o Limitación de acceso por usuario. Si ___ No___ o Limitación de los cambios y actualización de archivos. Si ___ No___ o Registrar las transacciones de accesos y cambios para control, auditoria y
recuperación. Si ___ No___ o Limitación de usuarios a las bases de datos de pruebas. Si ___ No___
56) ¿Se posee una bitácora de acciones en la base de datos y sus estructuras?
SI ( ) NO ( )
AUDITORIA DE SISTEMAS DE INFORMACIÓN
INGENIERIA DE SISTEMAS X CICLO Página 37 de 81
57) La bitácora cuenta con registro de: o Todos los datos borrados de las bases de datos. Si ___ No___ o Origen (interno o externo) de todas las transacciones. Si ___ No___ o Utilización de la base de datos por personas distintas a los usuarios que tienen
accesos autorizados a la aplicación. Si ___ No___ o Violaciones de seguridad con respecto a las bases de datos. Si ___ No___ o Reorganizaciones o sintonizaciones de las bases de datos. Si ___ No___ o Uso de las utilerías de las bases de datos. Si ___ No___ o Estado del sistema que pueda ser requerido para reinicio o cambio de datos erróneos.
Si ___ No___ 58) ¿Existen manuales de procedimientos para todas las aplicaciones del manejo de los programas
que acceden a las estructuras y bases de datos.? SI ( ) NO ( )
59) ¿Se encuentran estandarizados toda la documentación de todos los programas y aplicaciones
desarrolladas internas como externas, antes de que las mismas entren en producción? SI ( ) NO ( )
60) ¿Existe documentación de los estándares de prueba de programas que especifiquen los criterios
para generar, revisar y resguardar datos de pruebas? SI ( ) NO ( )
61) ¿Se utiliza el diccionario de datos para mantener el rastreo de los datos a través de las
aplicaciones que lo emplean? SI ( ) NO ( )
62) ¿Existe control de acceso al lugar en el cual se encuentran almacenados los archivos de las
bases de datos.? SI ( ) NO ( )
63) Las personas autorizadas, ¿tienen dicha autorización por escrito, manual de descripción de cargos y funciones, otro documento?
SI ( ) NO ( )
64) Mostrar la documentación que certifique los procedimientos de respaldo y recuperación que se utilizaran en caso de falla en las bases de datos, o de destrucción parcial o total.
SI ( ) NO ( ) 65) Solicitar documentación donde se verifique que los procesos de respaldo, recuperación y
restauración de la información de las bases de datos fueron probadas incluso antes de entrar en producción?
SI ( ) NO ( )
AUDITORIA DE SISTEMAS DE INFORMACIÓN
INGENIERIA DE SISTEMAS X CICLO Página 38 de 81
SOFTWARE PARA AUDITORÍA INTERNA, AUDITORÍA DE SISTEMASY CALIDAD DE
DATOS
1. ACL: está orientado a soportar integralmente las funciones del auditor interno, del
auditor de sistemas y del investigador de fraudes. ACL es el producto líder en CAATT
(ComputerAssistedAudit Tools and Techniques) con el más alto desempeño y
flexibilidad. Puede barrer, filtrar, seleccionar y combinar grandes volúmenes de
información de grandes bases de datos residentes en Mainframes, UNIX, AS/400 y PC a
la más alta velocidad.
2. Trillium Software: permite la administración continua de la calidad de datos
garantizando su consistencia y estandarización.
3. AudtoAudit: es un sistema completo para la automatización de la función de Auditoría,
soportando todo el proceso y flujo de trabajo, desde la fase de planificación, pasando por
el trabajo de campo, hasta la preparación del informe final. Además del manejo de
documentos y papeles de trabajo en forma electrónica, AutoAudit permite seguir la
metodología de evaluación de riesgos a nivel de entidad o de proceso, la planificación de
auditorías y recursos, seguimiento de hallazgos, reportes de gastos y de tiempo, control
de calidad, y cuenta con la flexibilidad de un módulo de reportes "ad hoc". Todos estos
módulos están completamente integrados y los datos fluyen de uno a otro
automáticamente.
4. Pro AuditAdvisor: Es una herramienta de papeles de trabajo electrónicos (digitales).
Con esta herramienta se puede: Definir el modelo del negocio en múltiples niveles;
Determinar evaluación de procesos, riesgos y control; Identificar y definir riesgos así
como el mantenimiento de los controles; Detallar los programas de trabajo en
procedimientos individuales y desarrollar los papeles de trabajo apropiados; Analizar los
resultados y generar reportes digitales sofisticados en formatos Word o HTML.
5. AuditBuilder: permite crear, estructurar y modificar las auditorías. A fin de reflejar un
cambio en las regulaciones o de política de empresa si lo desea, puede alterar las
preguntas, decenas o del contenido de las secciones de una auditoría en particular.
Usted puede incluso desean eliminar preguntas o secciones que ya no son pertinentes.
AUDITORIA DE SISTEMAS DE INFORMACIÓN
INGENIERIA DE SISTEMAS X CICLO Página 39 de 81
A menudo una organización contará con una biblioteca de preguntas que pueden ser
utilizados para construir nuevas auditorías. AuditBuilder le permite hacer todo esto con
un simple "arrastrar y soltar" interface.
6. Entegra de Lumigent: se utiliza para las actividades de auditoría de la base de datos de
la empresa. Es un software capaz de registrar toda la interacción ejecutada por los
diversos usuarios y aplicaciones de la organización contra el sistema manejador de
bases de datos, ofreciendo la posibilidad de enviar notificaciones / alarmas vía correo
electrónico.
7. Log Explorer de Lumigent: Log Explorer se utiliza para el análisis de transacciones,
auditoría y recuperación de los datos. Es un software que identifica la fuente de cualquier
cambio en los datos, los esquemas o permisos. Usa poderosos filtros para localizar y
resolver rápidamente los errores de usuario y de aplicación. Audita sin la necesidad de
gastos en desencadenadores (triggers).
8. IDEA: es un Software líder en el mundo que permite tomar datos de cualquier aplicación
o base de datos y auditar, analizar o automatizar auditorías a partir de una serie de
funciones automatizadas.Sumarización de transacciones, comparación de saldos,
comparación de clientes, antiguedad de deuda, análisis multidimensionales de
información, busqueda de faltantes y duplicados, analisis de variaciones de precios,
tasas, analisis de cierres de caja, búsqueda de operaciones en dias inválidos y miles de
funciones más. El Auditor podrá aplicar cualquier análisisi sobre sus propios datos sobre
cientos o millones de transacciones con una performance inigualable.
9. Zifra: desarrollado por y para auditores, está pensado desde su inicio para cumplir con
los más altos requisitos de seguridad y confidencialidad. Las características
fundamentales que hacen del software para auditores Zifra una herramienta perfecta
para cumplir con:
§ Base de datos cerrada: Nuestra base de datos, con todos los documentos de
trabajo del auditor y la información de clientes y trabajos de auditoría, queda
inaccesible desde el exterior si el usuario no cuenta con el usuario y contraseña
correspondientes.
AUDITORIA DE SISTEMAS DE INFORMACIÓN
INGENIERIA DE SISTEMAS X CICLO Página 40 de 81
§ Control por usuario: Cada usuario del software de auditoría Zifra dispone de su
propio acceso al sistema, lo que proporciona la seguridad necesaria para evitar
accesos indeseados. Cuando un usuario accede, únicamente puede ver aquellos
menús de la aplicación y contenidos para los que ha sido específicamente autorizado,
y sólo accede a los documentos de las auditorías de las que forma parte del equipo
de trabajo.
§ Compatibilidad Office: La compatibilidad con los productos habituales de Microsoft
Office, Excel y Word, en versiones hasta la 2010, permite a los usuarios trabajar
dentro del software Zifra con sus herramientas habituales de trabajo, pero con la
seguridad y confidencialidad que otorgan los dos puntos anteriores: la base de datos
cerrada e inaccesible desde el exterior, y el control de acceso por usuario, contraseña
y proyecto a los papeles electrónicos de trabajo.
10. CobiTAdvisor: Es un programa que automatiza el marco de referencia CobiT. Permite la
definición del personal de trabajo en una auditoria, así como elegir el Dominio en el cual
se trabajará es decir Planificación y Organización, Adquisición y Mantenimiento,
Desarrollo y Soporte y Monitoreo, así como los subdominios o procesos por cada
dominio. También se pueden definir los criterios y recursos de información que se
evaluarán. Por cada proceso evaluado se tienen los objetivos de control y las guias de
auditoría, así como su respectiva evaluación. Tiene la opción para adjuntar archivos
como papeles de trabajo, muestra las evaluaciones en formato gráfico y permite generar
reportes exportables a Word.
11. PlanningAdvisor: Esteprogramaayudaaautomatizarel
procesodeplaneacióndelaauditoria.Utilizandoeste programasepuedeidentificary
clasificarlasareasdemayorexposiciónmediantecriteriosde evaluaciónbasadosen
riesgos.Estaherramientasepuedeutilizarencombinaciónconel Pro audit. Advisorcomo
herramienta de ejecución de la planeación. El progreso de toda la
planificacióndeauditoriapuedesermonitorizadaenformacentralizadaporPlanningAdvisor.
12. ERALite (EnterpriseRiskAssessor):
Esunaherramientaparalagestiónycontroldelriesgo,proporciona:
AUDITORIA DE SISTEMAS DE INFORMACIÓN
INGENIERIA DE SISTEMAS X CICLO Página 41 de 81
Unsistemaconsistentede
gestiónderiesgos;Identificaciónespecíficaderiesgosparalaestrategiay contexto
organizacional;Gestiónparalosplanesdeacción, y monitoreomedianteunabasededatos;
Evaluaciónderiesgos,controlesy amenazassemi-cuantitativas,atravésdeanálisisde
consecuencias;Gráficosdeanálisis;Reportesdealtacalidadalineadosa losrequerimientos
individualesdelosnegocios.
13. RAP (RiskAssesmentProgram):esunprogramadeanálisisderiesgosycontramedidasbasándos
eenlatécnicadeTablas enlaqueseidentificanriesgosy
sedeterminalaprobabilidad,impactoyenfunciónaestosdos últimossecalculael
NiveldeRiesgoAsociado. Lascontramedidasseasignandeacuerdoal
mayorNiveldeRiesgoquepresentenlosActivosdeInformacióndelaorganización.
14. AudiControl:Sonmetodologíasasistidasporcomputadorparaevaluarriesgosy establecer
controlesen sistemasdeinformaciónautomatizadosy tecnologíarelacionada.Constadedos
módulos:
§ APL: diseñodecontrolesparasistemasdeinformacióncomputarizados.
§ FTI:diseñodecontrolesparalafuncióndetecnologíadeinformación.
15. SQL Secure:es un conjunto de cuatro
herramientasdesoftwarequeadministrantodoslosaspectosdeseguridadyauditoríadela
basededatosen ambientescliente/servidor.Estácompuestodecuatromódulos:
§ PasswordManager:permitedefinirlosestándaresparalaasignacióndepasswords.
§ AuditManager: paralaadministracióncompletadepistasyrastrosdeauditoríaaudittrail).
§ PolicyManager: permite evaluar frecuentemente las reglas predefinidas para
identificar debilidadesdecontrol,y
§ DatabaseSecurityManager:permitelaadministracióndelaseguridaddelabasededatos.
16. GestorF1Audisisconcentrafuncionalidadestantodegestióndeauditoríacomodeanálisis
automatizadodedatos,engeneralsepuederealizarlosiguiente:
§ AnálisisdeBasedeDatos
§ Controldeasignaciones
§ GestióndeRiesgos
AUDITORIA DE SISTEMAS DE INFORMACIÓN
INGENIERIA DE SISTEMAS X CICLO Página 42 de 81
§ ConexionesODBC
§ Módulodeseguridaddeaccesosy privilegiosparausuarios
§ PistasdeAuditoria
§ FuncionamientodelaherramientatantoenIntranetcomoInternet
17. Auditor 2000es una solución de metodologías asistidas por computador para auditar
sistemasdeinformaciónautomatizadosytecnologíarelacionada.Constadetresmódulos:
§ Audap:auditoríaasistemasdeinformacióncomputarizados
§ Audides:auditoríaaldesarrollodesistemas
§ Audifti:auditoríaalafuncióndetecnologíadeinformación
Son metodologías maduras y robustas que se apoyan con una herramienta de software
amigable ybasesdedatosconconocimientos sobreriesgos, causasdelriesgo,controles,
objetivosdecontrolytécnicasdeauditoríarecomendadasporlosestándaresCobity Cosoy las
mejores prácticas universalmente aceptadas paraelejercicio profesional delaauditoría
de sistemas.Auditor2000identificayevalúa riesgoscríticos.Seidentificany
evalúanlosriesgoscríticosinherentesalosnegociosy servicios quesesoportan
entecnología deinformación. Evalúaycalificaelniveldeprotección que
ofrecenloscontrolesestablecidosenlosprocesosmanualesy automatizados,relaciónconlas
causasdelosriesgoscríticosasociadosconel áreaobjetodelaauditoría.
18. AuditSystem2: estaherramientaesfundamentalenla
realizacióndeauditoríadeempresasdondeelcontrolyelregistrodelastransacciones se
efectúaatravésdeunprocesamiento electrónico dedatos.Desdeelpuntodevistadela
eficienciadela auditoría,el AuditSystem 2 esesencialparaaquellasorganizacionesque
procesanungranconjuntodetransaccionessimilares.
19. TeamMate:esunfacilitadordeldesarrollosecuencialde
laauditoría.Esteasuvezfacilitalalabordedocumentacióndetodaslastareasefectuadasen
elprocesodeauditoría. Portanto,TeamMateesunsistemade“archivoelectrónico”,una
herramientafundamentalparadocumentarauditoríasdediferentesalcances,ayudandoa la
aplicacióndeestándarestantoenladocumentacióncomoenlarevisión.
AUDITORIA DE SISTEMAS DE INFORMACIÓN
INGENIERIA DE SISTEMAS X CICLO Página 43 de 81
INTRODUCCIÓN
Es importante antes de entrar de lleno hablar lo que es el contrato de auditoría explicar
algunos conceptos que son claves para poder entender mejor el concepto de Auditoria
Informática.
Después de haber visto en forma detallada la actuación de la auditoria informática,
entraremos a plantear un poco sobre la naturaleza jurídica del contrato de auditoría y
terminaremos estudiando el marco legal en que se desarrolla esta actividad ya que es el
objetivo principal de este trabajo. Acuerdo de voluntades hay que delinear en todo caso tres
elementos esenciales: consentimiento, objeto y causa establecida en el artículo 126 del
código civil, este estudio seguirá esta estructura determinada legalmente.
Luego se presentara el perfil del auditor informático, a su responsabilidad y a su pertenencia
o no a la organización auditada. Y también veremos las diferentes áreas que están sujetas a
la revisión y juicio de la auditoria y finalizando se estudiara las causas de la contratación de
la auditoria y porque es obligatorio realizarla.
ISACA (Organización líder en Auditoria de Sistemas y Seguridad de los Activos de
Información) define a la auditoria de los sistemas de información como “cualquier auditoria
que abarca la revisión y evaluación de todos los aspectos o alguna sección/ área de los
sistemas automatizados de procesamiento de información, incluyendo procedimientos
relacionados no automáticos, y las interrelaciones entre ellos”. Sus objetivos deben ser
brindar a la Dirección una seguridad razonable de que los controles se cumplen,
fundamentar los riesgos resultantes donde existan debilidades significativas.
Ya que no se tiene una definición legal de la auditoria Informática, se recurre a la auditoría
de cuentas y se mostrara una semejanza entre sus elementos.
La auditoría de cuentas es en España, como en otros países, es obligatoria para
determinados niveles de empresa, legalmente regulados desde hace poco más de una
década. Pero la auditoría de cuentas ya viene de muy atrás.
El Contrato de Auditoria
AUDITORIA DE SISTEMAS DE INFORMACIÓN
INGENIERIA DE SISTEMAS X CICLO Página 44 de 81
Si bien sus orígenes y mayor desarrollo suelen asociarse más al mundo anglosajón, la
Europa latina tiene ya una larga trayectoria en esta materia La Ley 19/1988, de 22 de julio la
define como "la actividad consistente en la revisión y verificación de documentos contables,
siempre que aquella tenga por objeto la emisión de un informe que pueda tener efectos
frente a terceros". Según esto podemos definir las siguientes características de la auditoria:
· Ser un trabajo de revisión, análisis, verificación y examen de documentación de
naturaleza contable. Emisión de un Informe con efectos frente a terceros
· Esto convierte a un auditor en una especie de "fedatario público" de que las Cuentas
Anuales están "bien". Y ¿esto qué significa? Pues que cuando el auditor emite un
informe denominado "limpio" está indicando que "en su opinión profesional" dichas
cuentas "presentan razonablemente la imagen fiel..." El auditor, por tanto, no "certifica"
nada.
En el siguiente cuadro se expone la comparación entre Auditoría de Cuentas y la
Auditoria Informática:
Auditoría de Cuentas Auditoria Informática
Auditor
Cualificada = Auditor de Cuentas Independiente
No existe titulación oficial ni registro independiente
Función
Analizar: Información económico – financiera deducida de documentos contables
Analizar: Información entornos informáticos deducida revisión y control de los mismos
Informe
Emitir informe manifestando su opinión responsable sobre la fiabilidad de la información para que se conozca y valore por terceros.
Emitir informe manifestando su opinión responsable sobre la fiabilidad de la información para que se conozca y valore por terceros
Reglamentación
Sujeto a requisitos formalidades de la ley reglamento NTA
Sujeto a requisitos formalidades normas de la profesión códigos de conducta de la profesión.
En donde existen las principales divergencias entre las dos definiciones es, de un
lado, en la inexistencia de una titulación oficial de la profesión de Auditoria Informática
y, de otro lado, en la inexistencia de la reglamentación específica de esta actividad.
AUDITORIA DE SISTEMAS DE INFORMACIÓN
INGENIERIA DE SISTEMAS X CICLO Página 45 de 81
Una forma práctica de establecer una clasificación de los sistemas expertos en
auditoría es utilizando las fases del proceso de auditoría y se descompone el proceso
de decisión en auditoría en las siguientes fases:
a) Orientación - El auditor obtiene conocimientos sobre las operaciones del
cliente y su entorno y hace una valoración preliminar del riesgo y de la
materialidad.
b) Evaluación preliminar de los controles internos.
c) Planificación táctica de la auditoría.
d) Elección de un plan para la auditoría.
e) Pruebas de cumplimiento de los controles.
f) Evaluación de los controles internos, basada en los resultados de las pruebas
de cumplimiento.
g) Revisión del plan de auditoría preliminar.
h) Elección de un plan revisado para la auditoría.
i) Realización de pruebas sustantivas.
j) Evaluación y agregación de los resultados.
k) Evaluación de la evidencia - Podría dar lugar a unas pruebas más exhaustivas
o formar la base de la elección de la opinión por el auditor.
l) Elección de una opinión que clasifique los estados financieros del cliente.
m) Informe de auditoría.
Para terminar se hará una breve mención de las controversia que existe entre
auditoría interna y externa, con relación a la problemática de la independencia, el
mejor conocimiento de la organización en su conjunto y el necesario y constante
mantenimiento y supervisión en razón del peculiar objeto de la auditoria informática.
1. UNA BREVE REFERENCIA A LA NATURALEZA JURÍDICA DEL
CONTRATO DE AUDITORIA
Conviene empezar por asentar la casi total aceptación por parte de la doctrina del
carácter contractual del vínculo que se establece entre la sociedad y el auditor, frente
a las escasas discrepancias que abogan por una tesis “organicista”. La calificación de
contractual se apoya fundamentalmente en tres razones.
AUDITORIA DE SISTEMAS DE INFORMACIÓN
INGENIERIA DE SISTEMAS X CICLO Página 46 de 81
En primer lugar los establecido expresamente por el artículo 14.2 de la ley de
auditoría de cuentas que se refiere al “contrato de auditoría”. En segundo lugar, la ley
de Sociedades Anónimas que deliberadamente excluye esta materia del capítulo de
órganos sociales. Y Finalmente, porque su clasificación como órganos seria insertar
al auditor dentro de la estructura de la sociedad y considerarlo como parte integrante
de la persona jurídica, lo que resulta contrario al espíritu de la ley que lo configura
como una instancia externa e independiente de control.
Además de la dificultad añadida que supone la inexistencia legal de la figura de la
auditoria informática, tampoco en la tradicional comparación analógica con la
auditoría de cuentas existe unanimidad doctrinal en lo que a su naturaleza jurídica se
refiere.
Sin pretender realizar una investigación exhaustiva de los posibles encuadres
conceptuales de la figura, mencionaremos únicamente la divergencia doctrinal
existente en cuanto a su concepción como un arrendamiento de servicios, aludiendo
a ineludible necesidad de la materialización de contrato en el informe de auditoría que
constituye el resultado que caracteriza al contrato como un arrendamiento de estas
características.
Nuestra opinión se decanta por la figura de un contrato de arrendamiento de
servicios, servicios que se desarrollan a lo largo de un periodo temporal determinado,
y que, si bien se concretan en la emisión de un informe de auditoría, la libertad del
auditor y la falta de capacidad de decisión del auditado sobre los contenidos de dicho
informe le privan de la caracterización del resultado esperado a dicho contrato y le
confieren una naturaleza de prestación de servicios cuyo resultado no puede, por lo
menos en gran medida, prever, o mejor dicho, cuyo resultado, en cuanto a inclusión
de contenidos, no se puede pactar.
Estas características se pueden contrastar en varios lugares. De un lado, si el
resultado del contrato estuviera perfectamente delimitado, no habría lugar a la
aparición del tan nombrado gap de expectativas o diferencias de expectativas entre
lo que los usuarios esperan obtener del informe de auditoría y lo que se obtiene
realmente. De otro lado, no existirían tan diversas clases de informes de opinión,
parte integrante de todo informe de auditoría que resume y concluye el juicio del
auditor sobre las situaciones analizadas y los riesgos evaluados.
AUDITORIA DE SISTEMAS DE INFORMACIÓN
INGENIERIA DE SISTEMAS X CICLO Página 47 de 81
La jurisprudencia, entendida en sentido amplio como todo pronunciamiento de
tribunal en el ejercicio de sus competencias y no como la derivada de Tribunal
Supremo que además cumple los requisitos de repetición e identidad, por su parte, ha
definido lo siguiente: la auditoría de cuentas es por lo tanto un servicio que se presta
a la empresa revisada.
2. PARTES EN UN CONTRATO DE AUDITORIA. El Perfil del Auditor
Informático
2.1. La entidad auditada
La empresa o entidad que solicita una Auditoria
Informática, hasta la actual normativa que
veremos más adelante, lo hacía porque
constataba una serie de debilidades y/o
amenazas provenientes de sus sistemas de
información.
Por lo tanto, la empresa que necesitaba de este tipo de servicios en realidad
lo que estaba demandando era una solución a sus problemas en términos de
eficiencia de sus sistemas, más que una verificación o una revisión del
cumplimiento de los controles establecidos. Es decir, se pretendía un
asesoramiento especializado en la gestión de dichos sistemas, función más
cercana, como vemos, a la consultoría.
Sin embargo, cada vez más las empresas son conscientes de la relevancia
del sometimiento del elemento si no imprescindible si completamente
esencial, constituido por los sistemas de tratamiento de la información, a una
serie de licencias sobre el software que utiliza para el desarrollo de su
actividad o el de la protección de datos de carácter personal por su
preponderancia en virtud de su obligatoriedad legal. Hoy es indispensable
disponer en todo momento y de una forma rápida de información suficiente,
actualizada y oportuna. Y esto sólo se puede garantizar manteniendo los
sistemas de tratamiento de dicha información en perfecto estado que sólo se
certifica mediante la correspondiente realización de la pertinente auditoria de
dichos sistemas de información.
AUDITORIA DE SISTEMAS DE INFORMACIÓN
INGENIERIA DE SISTEMAS X CICLO Página 48 de 81
Por último, es necesario hacer una referencia a la auditoria informática en el
seno de las Administraciones Públicas puesto que éstas también hacen uso
de sistemas de información para el desarrollo de su actividad y, al mismo
tiempo, están también sometidas a la ley que se aplica a las empresas.
En el caso de las Administraciones Públicas la realización de auditorías
informáticas encuentra su justificación tanto en la normativa aplicable como
en diversos documentos como por ejemplo los “Criterios de seguridad,
normalización y conservación de las aplicaciones utilizadas para el ejercicio
de potestades”.
2.2. El auditor informático
Las Tecnologías de la Información y las
Comunicaciones (TIC) están creando nuevos
canales y herramientas para la gestión de
negocios.
El auditor tradicional, esto es, el auditor de
cuentas, no se encuentra capacitado en
términos de formación para afrontar los nuevos
riesgos derivados de la utilización de las tecnologías.
De ahí que se haga imprescindible la existencia de la Auditoria de Sistemas
de Información.Entre las características del auditor, y como ya hemos
señalado en la comparativa expuesta al inicio del trabajo, destaca la
independencia.
Podemos definir la independencia del auditor como “la ausencia de interés o
influencias que permite al auditor actuar con libertad respecto a su juicio
profesional, para lo cual debe estar libre de cualquier predisposición que
impida su imparcialidad en la consideración objetiva de los hechos”.
Los problemas pueden clasificarse en tres grupos principalmente: la
compatibilidad de la práctica de la auditoria con las asesorías legales, el
interlocutor del auditor dentro de la empresa auditada y la rotación del auditor.
AUDITORIA DE SISTEMAS DE INFORMACIÓN
INGENIERIA DE SISTEMAS X CICLO Página 49 de 81
En cuanto a la sujeción legal del auditor todos los profesionales que
desarrollan su labor en el campo de la auditoría de cuentas están sometidos a
una serie de normas que tipifican su capacidad profesional, la conducta para
llevar a cabo su cometido y la forma de emitir el informe. Los auditores
informáticos no son una excepción, aunque además deben cumplir una serie
de requisitos y directrices que les son inherentes. Las diferencias no solo
afectan a las normas, puesto que su cometido también difiere y consiste en la
revisión de la función informática o parte de ella, sus aéreas de revisión son
así mismo originales (organizacional del departamento de SI, de seguridad de
accesos lógicos, físicos y controles medioambientales, de actuación frente a
desastres con los planes de recuperación, del software de sistema en cuanto
a las políticas sobre su desarrollo, adquisición y mantenimiento, de software
de aplicaciones y de control de aplicaciones, así como las específicas de
telecomunicaciones y de control de usuarios) y, finalmente, también pueden
ser diferentes sus técnicas utilizadas.
En este punto también es más que resaltable la existencia de unos
condicionantes éticos imperantes en el ejercicio de esta profesión que por su
especial autonomía precisan una especial atención. Pues si es verdad que
existen todos estos referentes que delimitan profesionalmente la definición de
la auditoria de sistemas de información, no es menos cierto que el
asentamiento de la profesión requiere también de la creación y seguimiento
de códigos deontológicos que apoyen los mínimos necesarios constituidos por
los estándares normativos.
Con relación a las funciones del auditor informático, su actividad puede
abarcar desde aspectos funcionales, como la educación de los sistemas de
información a las necesidades reales, hasta la revisión de los tiempos de
respuesta, pasando por la fiabilidad de los sistemas. Por supuesto, los
aspectos técnicos son los que ofrecen un mayor campo de actuación: desde
el comienzo con el ordenador y sus periféricos, los convenios utilizados para
la codificación de datos, los procedimientos de captura de estos, la
explotación, la programación, las comunicaciones, o, como no, toda la gran
área de seguridad, física y lógica, y de la calidad.
AUDITORIA DE SISTEMAS DE INFORMACIÓN
INGENIERIA DE SISTEMAS X CICLO Página 50 de 81
El auditor, en el desarrollo de su trabajo, ha de obtener evidencias de los
hechos, criterios y elementos que está evaluando, con la finalidad de formarse
una opinión. Dicha evidencia deberá ser suficiente y adecuada. Suficiente en
cuanto a la cantidad de evidencia a obtener y adecuada con relación a la
calidad de la misma, es decir, a su carácter concluyente. Pero para obtener la
evidencia adecuada el auditor deberá guiarse por los criterios de importancia
relativa, de otro lado, es un término de los encuadrables en la denominación
jurídica de concepto jurídico indeterminado, pues la mayoría de los
pronunciamientos profesionales dejan en manos del buen juicio y experiencia
del auditor, aunque existen una serie de consideraciones generales que sirve
de guía para fijarla, dependiendo su aplicación al caso concreto del contexto.
El auditor de Sistemas de Información debe tener la capacidad y los
conocimientos técnicos para revisar y evaluar el control interno del entorno en
que se desarrollan y procesan los sistemas de información, capacidad para
revisar riesgos y controles, evaluar y recomendar los controles necesarios de
los sistemas de información, y capacidad para diseñar procedimientos y
técnicas de auditoría específicas para este tipo de actividad. El auditor de
sistemas de información empieza a ser un generalista, porque tiene que ser
consciente de que los sistemas de información son un punto clave en una
organización.
Otra cuestión tratada en la doctrina es la del desistimiento del auditor. Entre
las causas que pueden considerarse suficientes destacan la imposibilidad
física del cumplimiento del contrato, la necesidad de atender a otros deberes,
las causas de incompatibilidad, la perturbación de las relaciones de confianza
entre el auditor y los administradores de la sociedad. En cada uno de los
casos habrá que dilucidar su procedencia o improcedencia a afectos de
delimitar, entre otras cosas, las consecuencias jurídicas de dicha terminación
unilateral del contrato.
Para terminar, queremos hacer referencia a una figura que está ganando una
gran aceptación en la doctrina, en las organizaciones especializadas y, en
definitiva, a la mejora de la gestión corporativa y garantizar la asunción de
responsabilidades oportunas sobre el control interno.
AUDITORIA DE SISTEMAS DE INFORMACIÓN
INGENIERIA DE SISTEMAS X CICLO Página 51 de 81
2.3. Terceras personas
La información financiera ha ampliado su campo de comunicación en el
sentido de que ya no interesa solo a los accionistas o propietarios de la
empresa, sino también, en la medida en que ha atendido a las implicaciones
de la responsabilidad social, ha ampliado la audiencia a la que va dirigida
dicha información. Así pues, el actual concepto de usuario ya no se refiere
solo a propietario, sino que se extiende a todos los interesados en la actividad
empresarial entre los que se encuentra la colectividad en general.
Así señala en la Sentencia del Tribunal Superior de Justicia de Madrid nº 415
de 4 de mayo de 1994 ya citada: “la auditoría de cuentas es un servicio que se
presta a la empresa revisada y que afecta e interesa no solo a la propia
empresa, sino también a terceros que mantengan relaciones con la misma,
habida cuenta que todos aquellos, empresa y terceros, pueden conocer la
calidad de la información económico – contable sobre la cual versa la opinión
emitida por el auditor de cuentas”.
En las declaratorias “A Statement of Basic AccountingTheory” en 1996 de la
American AccountingAssociation, en que por primera vez se hace una
referencia expresa a la función social de la contabilidad, se establecen los
objetivos de la información contable, uno de los cuales es facilitar las
funciones y controles sociales, y así comienza la contabilidad a ser
considerada como un medio a través del cual la sociedad puede ejercer su
función social el carácter de bien público de la información contable emitida
por un auditor independiente, entonces aparece la asunción de una
responsabilidad social por parte del auditor como garante de la fiabilidad de
dicha información.
La diferencia de expectativas alude al desacuerdo entre lo que esperan los
usuarios de la auditoria y lo que ofrecen los auditores, teniendo en cuenta,
además, que el tipo de auditoría que necesita la sociedad depende, en cada
momento, del tiempo y del entorno concreto. En la literatura anglosajona se ha
denominado “diferencias en las expectativas de la auditoria” (“auditexpectation
gap”), o lo que es lo mismo, las diferencias existentes entre lo que los
usuarios esperan de la auditoria y lo que lo auditores consideran que es su
trabajo.
AUDITORIA DE SISTEMAS DE INFORMACIÓN
INGENIERIA DE SISTEMAS X CICLO Página 52 de 81
Aunque el fenómeno del gap de expectativas tiene un alcance mundial, es en
Europa donde ha alcanzado su mayor virulencia. Como prueba de la inquietud
despertada, la Comisión de las Comunidades Europeas promovió un estudio
sobre la función, posición y responsabilidad civil del auditor legal, que fue
llevado a cabo por el MaastrichAccounting and AuditingResearch Center
(MARC), para como era tratada la auditoria legal en la legislación de los
estados miembros, publicado en 1996.
La federación de Expertos Contables Europeos por su parte público en enero
de 1996 un resumen de recomendaciones desarrolladas por ella como
resultado de la investigación llevada a cabo acerca también de la función,
posición y responsabilidad civil del auditor legal en la Unión Europea.
Posteriormente, en octubre de 1996, la Comisión de las Comunidades
Europeas público su libro verde sobre los mismos aspectos que los tratados
en el informe MARC y en el estudio de la FEE y organizo una conferencia en
Bruselas en diciembre de 1996 para debatir sobre los mismos.
Para terminar este apartado, quisiéramos señalar que esta no es una
tendencia exclusiva de esta actividad. En la literatura empresarial más
reciente se ha acuñado el término de stakelholder, o interesados, más
concretamente apostantes. Se apunta con esta denominación, que recuerda
sin duda a los tradicionales primeros interesados o accionistas (shareholders
o stockholders), que existe un modelo de “base ampliada” en el que es
necesario que toda organización vea los nuevos miembros, que en la literatura
gerencial norteamericana se asimila a todos los ciudadanos porque se
considera que el negocio de su país es la empresa.
Al menos es posible identificar cinco grupos de “interesados” o “depositarlos
de dichas apuestas “: los accionistas, los empleados, los clientes, las
comunidades locales y la sociedad en general. Podríamos incluso detallar aún
más e incluir a los mediadores y distribuidores, a los proveedores, a los
competidores, a las instituciones financieras o los medios de comunicación.
AUDITORIA DE SISTEMAS DE INFORMACIÓN
INGENIERIA DE SISTEMAS X CICLO Página 53 de 81
3. OBJETIVO DEL CONTRATO DE AUDITORIA INFORMÁTICA
Entendemos por objeto del contrato de auditoría, tras la explicación previa sobre la
naturaleza jurídica del mismo, la definición y clasificación que hemos presentado
como tales en la introducción del capítulo, y no la pura y simple emisión del informe
de auditoría que constituye en esencia la fase final de dicho contrato y no el
resultado del encargo que lo caracterizaría, de ser así como dijimos, como contrato
de arrendamiento de obra.
A pesar de su inexistencia en la regulación nacional actual, sobre todo en
comparación a la existente en la auditoría de cuentas, el objeto de un contrato de
auditoría informática está ampliamente diversificado y se encuentra en un periodo de
auge inusitado que requiere de esfuerzos dogmáticos importantes para su
estructuración.
Esta inexistencia legal, pues las referencias normativas que se quieren encontrar, si
bien conceptualmente encuentran su calificativo idóneo en el término informático,
especifica en todo momento la realización de una auditoria, a secas sin calificativos,
choca de una manera frontal con la espectacular amplitud de áreas de conocimiento
y de gestión empresarial que cada vez más se ve abocada a controlar y con la
acuciante demanda de profesionales en el mercado.
Todo esto, obviamente, pasando por alto las voces discrepantes de algunos
profesionales de la auditoría de cuentas que reclaman la denominación de auditoría
en exclusiva relegando a las demás especialidades a adoptar la expresión de
revisión o similares.
Aunque nos encontramos en un área que por sus propias características impide el
listado de un numerus clausus de actividades susceptibles de ser sometidas a este
tipo de auditoría, que, consecuentemente, en nuestra opinión, dan lugar a otros
tantos subtipos de contratos específicos de auditoría de entornos informáticos,
pasaremos a realizar una enumeración de las principales áreas en las que se
desarrolla la “inexistente” auditoria informática actualmente.
En concreto, podemos distinguir los siguientes ámbitos principalmente en la
realización de una auditoria informática de las que hemos catalogado como
perteneciente a la auditoria jurídica de los entornos informáticos:
AUDITORIA DE SISTEMAS DE INFORMACIÓN
INGENIERIA DE SISTEMAS X CICLO Página 54 de 81
· Protección de datos de carácter personal
· Protección jurídica del software
· Protección jurídica de las bases de datos
· Contratación electrónica
· Contratación informática
· Transferencia electrónica de fondos
· Outsourcing
· Delitos informáticos
Todas estas áreas deben ser objeto de un análisis de la entrada, tratamiento y salida
de la información en los sistemas de información de la empresa desde un punto de
vista jurídico. Pasaremos a realizar unas breves observaciones al respecto
remitiéndonos al capítulo en concreto de este libro en donde ya se tratan extensa y
precisamente cada una de ellas.
3.1. PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL
Es quizá este el aspecto que más importancia tiene en relación con la materia
tratada, la Auditoria informática, pues ha tenido que esperarse hasta la
plasmación por escrito y todo el posterior desarrollo legal del derecho
fundamental prescrito, entre otros, por el artículo 18.4 de nuestra Constitución
para contar con una referencia legal, como hemos dicho cuasi-explicita, de la
existencia de la auditoria de los sistemas de información.
Pues bien, dicho desarrollo reglamentario se plasmó en la práctica en el Real
Decreto 994/1999, de 11 de junio, por el que se aprobaba el Reglamento de
Medidas de Seguridad para los ficheros que contuvieran datos de carácter
personal. La LOPD mantiene vigente este Reglamento, tal y como prescribe en
su Disposición Transitoria Tercera.
No obstante, debemos reseñar que al cierre de esta edición se ha presentado
ya un Proyecto de Real Decreto por el que se aprueba el Reglamento de
desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de
Datos de Carácter Personal, que derogaría al vigente Reglamento de medidas
de seguridad.
AUDITORIA DE SISTEMAS DE INFORMACIÓN
INGENIERIA DE SISTEMAS X CICLO Página 55 de 81
El Reglamento, aplicable por lo tanto, clasifica en tres los niveles de seguridad
(básico, medio y alto) a los que hay que someter a los ficheros dependiendo
del grado de sensibilidad de los datos de carácter personal almacenados.
Como novedad, el Proyecto de Reglamento de desarrollo de la LOPS prevé
que los sistemas de información en los que se realicen modificaciones que
puedan repercutir en el cumplimiento de las medidas de seguridad tendrán que
someterse a dicha auditoria, iniciándose el cómputo del plazo de dos años en
dicho momento.
En concreto, se exige una auditoria al menos bienal para todos los niveles
excepto para el básico. Entre todas las medidas cuyo cumplimiento se exige
que se controle, destaca el procedimiento de respuesta y registro de las
incidencias, el control de accesos, la constitución de un responsable de
seguridad, etc. De esta auditoría, que puede ser tanto interna como externa,
se obtendrá necesariamente un informe del cual el responsable de seguridad
elevara las conclusiones al responsable del fichero, encontrándose a
disposición de la Agencia Española de Protección de Datos (AEPD) en todo
caso. El hecho de que el informe de auditoría quede a disposición de la AEPD
no significa, en modo alguno, una aprobación por parte de esta. Al respecto,
la Agencia ha indicado en un informe jurídico de 1999 lo siguiente:
“(…) una vez elaborado el informe de auditoría, deberán comunicarse sus
resultados, adoptándose las medidas pertinentes, sin que ello exija una
“aprobación” formal y externa de su contenido, que no habrá de ser remitido a
la Agencia Española de Protección de Datos, sino puesto a su disposición”
Un aspecto importante en relación con las conclusiones que se contienen en el
informe de auditoría es a quien corresponde la responsabilidad por la
implantación o no, de las medidas de seguridad indicadas en dicho informe. En
este sentido, el informe jurídico de la Agencia indica que:“(…) será el
responsable del tratamiento, siguiendo las recomendaciones del responsable
de seguridad quien habrá de implantar las medidas precisas, derivadas del
informe, de forma que, en caso de no implantarse y no cumplirse los requisitos
de seguridad establecidos en el Reglamento, incurrirá en responsabilidad,
constituida de infracción grave según el artículo 44.3 h) de la LOPD”
AUDITORIA DE SISTEMAS DE INFORMACIÓN
INGENIERIA DE SISTEMAS X CICLO Página 56 de 81
3.2. LA PROTECCIÓN JURÍDICA DEL SOFTWARE
La calificación jurídica del software ha sido objeto de discusión doctrinal,
porque integra distintos elemento que puedan encuadrarse bajo diferentes
órdenes de protección jurídica, unos amparables bajo la legislación de la
propiedad industrial y otros bajo la de la propiedad intelectual. La inclusión
bajo esta última, y en concreto bajo la figura de los derechos de autor, hace
asimilemos los programas de ordenador a las obras literarias, científicas o
artísticas.
Como bienes objeto de esta protección, la auditoria a la que se tienen que
someter debe verificar el cumplimiento de la misma, y, por lo tanto, investigar
la legalidad del software utilizado en dichos sistemas, evaluando el riesgo que
se corre por permitir la ilegalidad, el “pirateo”, y cuantificando, monetariamente
hablando, el diferencial existente entre dicho riesgo y el coste de implantación
y control de todos y cada uno de los programas utilizados en la entidad.
Los auditores informáticos tienen que eliminar los riesgos en esta área
proporcionando de este modo un valor añadido a una buena gestión
informática, siguiendo los criterios expuestos, entre otros, por la ISACA en su
concepto de ValueforAuditing Money para una mejor gestión y control de las
licencias de software.
En particular, se pueden concretar los riesgos que conlleva la realización de
copias de software original como las sanciones y multas, los problemas
técnicos, la inexistencia de asistencia técnica, la obsolescencia tecnológica, el
impacto negativo en la calidad del software, el deterioro de la imagen
empresarial y los ataques intencionales. También, por ejemplo, la Business
Software Alliance (BSA) ha elaborado una Guía para la gestión del software
legal en la que incluye un modelo de inventario de software que permite llevar
a cabo un adecuado seguimiento y control del software original, un
cuestionario básico para hacer un auto-auditoria y un modelo de informe de
auditoría. De esta manera se trata de concienciar a las empresas del riesgo
legal que implica la utilización de software no legal y de proporcionales
herramientas que les permitan minimizar dichos riesgos y facilitar la gestión de
activo de software.
AUDITORIA DE SISTEMAS DE INFORMACIÓN
INGENIERIA DE SISTEMAS X CICLO Página 57 de 81
3.3. LA PROTECCIÓN JURÍDICA DE LAS BASES DE DATOS
Una base de datos es un depósito común de documentación, útil para
diferentes usuarios y distintas aplicaciones, que permite la recuperación de la
información adecuada, para la resolución de un problema planteado en una
consulta. Es decir, contiene datos, pero proporciona información. De nuevo
nos encontramos con la figura jurídica de los derechos de autor como la
adecuada para su posicionamiento, por la carga de creatividad que conlleva.
Pero, además, surge la denominación protección mediante un derecho,”sui
generis” de las bases de datos, pues se pretende garantizar la protección de
la inversión en la obtención, verificación o presentación del contenido de una
base de datos determinada sometidos a unos criterios distintos de
almacenamiento, indización, referencias y métodos de recuperación constituya
una nueva base de datos que quede así mismo amparada bajo la figura de los
derechos de autor.Se establecen así mismo como requisitos necesarias para
que la base de datos sea susceptible de dichas protecciones la existencia de
un autor o autores identificables y relacionados con la obra realizada y el
trabajo original que ha dado lugar a dicha base de datos
En el planteamiento de los bienes y derechos objeto de protección, habrá que
atender, de un lado, a los derechos de los titulares de los documentos
almacenados, de otro lado, a los derechos de los productores de la base pues
su creación tiene también una carga de intelectualidad, y, por último, al
derecho del titular de la base a impedir la extracción o reutilización total o
parcial.Pues bien, la auditoria en este caso tendrá del mismo modo que
atender a los tres casos expuestos, analizando el cumplimiento para todos
aquellos de los controles establecidos, evitando por lo tanto copias o
extracciones o autorizadas, y verificando la gestión y actualización por las
personas competentes y autorizadas para ello.El auditor debe en primer lugar
analizar la metodología de diseño para determinar su aceptabilidad y luego
comprobar su correcta utilización, después tendrá que examinar si los diseños
se han realizado correctamente, una vez puesto en explotación deberá
comprobar los procedimientos de explotación y mantenimiento y finalmente
deberá establecer un plan para después de la implantación.
AUDITORIA DE SISTEMAS DE INFORMACIÓN
INGENIERIA DE SISTEMAS X CICLO Página 58 de 81
3.4. CONTRATACIÓN ELECTRÓNICA
Entendemos por contratación electrónica toda aquella que se realiza por algún
medio electrónico. Con la generalización del uso de internet el auge de este
tipo de contratación empieza a ser constatable. Pero no solo esta red mundial
acapara el perfeccionamiento de contratos electrónicos, aunque es cierto que
ha sido su implantación la que ha relegado al anterior sistema EDI (Electronic
Data Interchange) utilizado principalmente para transacciones
intraempresariales.
Hoy en día en el comercio electrónico concretamente, y entendido en su más
amplio sentido como cualquier forma de transacción o intercambio de
información comercial basada en la transmisión de datos sobre redes de
comunicación como Internet, se habla de la segmentación en la utilización de
estos medios electrónicos en tres sentidos: en la dirección empresa-
consumidor final (businesstoconsummer, B2C), en la dirección empresa-
empresa (businesstobusiness B2B), y finalmente, en la dirección empresa-
administraciones públicas (businesstoadministrations, B2A).
Además podríamos separar al consumidor final o usuario como artífice activo
de dicha contratación y añadir la contratación entre consumidores
(consummertoconsummer, C2C) y la gestión de las relaciones administrativas
de los administradores electrónicamente.Podríamos también diferenciar entre
comercio electrónico directo como aquel que consiste en la obtención del bien
o servicio íntegramente por el medio electrónico, por ejemplo, la compra de un
libro en formato electrónico, o el comercio electrónico indirecto en el que
alguna de las actividades que perfeccionan la adquisición del bien o servicio
no se realiza por medios electrónicos, ya sea el transporte, el pago o cualquier
otra.En la contratación electrónica hay que atender a tres aspectos
fundamentales: en primer lugar a la inmediatez de las relaciones, cuestión que
se solventara en caso de relación mercantil por el momento en que llega a
conocimiento del oferente, en segundo lugar a la calidad del dialogo, y
excluyendo el teléfono o la videoconferencia habrá que asemejar la aceptación
a la hecha por correspondencia escrita en soporte papel, y, en tercer lugar,
desde el punto de vista de la seguridad.
AUDITORIA DE SISTEMAS DE INFORMACIÓN
INGENIERIA DE SISTEMAS X CICLO Página 59 de 81
En lo que a seguridad se refiere, en las transmisiones electrónicas de datos se
busca garantizar la autenticidad, la integridad y el no repudio (en origen y en
destino) de las mismas. Actualmente existe un mecanismo que puede
garantizar estos extremos: la firma electrónica. España fue una vez más
pionera es estos temas regulatorios de los aspectos jurídicos de la
denominada Sociedad de la Información.
En efecto, antes de que aprobara la Directiva europea sobre firma electrónica,
se aprobó el Real Decreto-Ley 14/1999, del 17 de septiembre, sobre firma
electrónica y la orden de 21 de febrero de 2000 aprobó en su Anexo el
Reglamento de acreditación de prestadores de servicios de certificación y de
certificación de determinados productos de firma electrónica en nuestro país,
no obstante, fue derogada por la vigente Ley 59/2003, del 19 de diciembre, de
firma electrónica (LFE).
Aunque no es objeto de este trabajo su análisis exhaustivo no queremos dejar
de mencionar las características más importantes de esta novedosa normativa.
La LFE distingue entre tres clases de firma electrónica, la simple, la avanzada
y la reconocida. La firma electrónica tiene que cumplir una serie de requisitos,
entre otros el ser emitida por un prestador de servicios, que solo tendrá que
estar acreditado si se trata de emitir una firma electrónica reconocida, y su
eficacia jurídica es idéntica a la de la firma manuscrita (equivalencia funcional).
El prestador de servicios en terminología comunitaria ahora adoptada por la
legislación nacional que ha preferido no utilizar la calificación de autoridad de
certificación y despojarle así de ninguna pretendida competencia pública, se
constituye en una tercera parte de confianza, creándose el “fedatario
electrónico”, que puede identificar y autenticar las partes intervinientes, por
medio de técnicas de cifrado de claves con la arquitecturas de clave pública o
Public Key Infraestructure (PKI) que se basan en la utilización de algoritmos de
clave asimétrica, garantizar la integridad de los mensajes transmitidos, y
asegurar el no repudio de las comunicaciones, en origen que quien hizo la
oferta lo niegue, y en destino, que quien la acepto lo haga.Además se puede
añadir la función de sellado temporal en la que se certifique fecha y hora del
perfeccionamiento de dicho acuerdo.
AUDITORIA DE SISTEMAS DE INFORMACIÓN
INGENIERIA DE SISTEMAS X CICLO Página 60 de 81
Desde el punto de vista de los controles a los que se puede someter este tipo
de contratación se requiere un asesoramiento técnico para que la redacción
jurídica se adecue a la ingente potencialidad de la herramienta utilizada que
hace que la mera traslación de las categorías conceptuales tradicionales al
medio virtual no sea posible sin el previo sometimiento a unas
especificaciones y aclaraciones de todo punto imprescindible en virtud del
modo de perfeccionarse estos contratos contractuales, se hace necesario por
las consecuencias jurídicas que se puede derivar de su inobservancia.
Es decir, la aparición de estas nuevas formas de contratación traspasa
fronteras de la mera forma para constituirse en elementos definitorios de
cuestión tan relevantes en la práctica contractual como la delimitación de
cuestión exoneración de responsabilidades, la prestación de garantía o la
división de obligaciones entre las partes que no pueden sin más asemejarse a
las categorías convencionales, entre otras cosa por la globalización y por tanto
intersección de legislaciones nacionales. Ni siquiera los términos
tradicionalmente constituidos usos de los comercios, que según nuestra
legislación mercantil tiene carácter de fuente de Derecho son absolutamente
trasladables a este entorno, y ejemplo de ello es el intento de definición de
unos “e-terms” en una clara regulación paralela a los utilizados y reconocidos
“incoterms” en el tráfico mercantil internacional.
3.5. LA CONTRATACIÓN INFORMÁTICA
Definiéndola como la contratación de bienes o servicios informáticos.
Bienes informáticos son todos aquellos elementos que forman el sistema en
cuanto al hardware, ya sea la unidad central del proceso o sus periféricos, así
como todos los equipos que tienen una relación directa de uso con respecto a
ellos y que, en conjunto, conforman el soporte físico del elemento informático.
Así mismo, se consideran bienes informáticos los bienes inmateriales que
proporcionan las órdenes, datos, procedimientos e instrucciones en el
tratamiento automático de la información y que, en su conjunto, conforman el
soporte lógico del elemento informática. Los servicios informáticos son todos
aquellos servicios que sirven de apoyo y complemento a la actividad
informática en una relación de afinidad directa con ella.
AUDITORIA DE SISTEMAS DE INFORMACIÓN
INGENIERIA DE SISTEMAS X CICLO Página 61 de 81
Podemos dividir en dos grandes grupos diferenciados: respecto al objeto,
debido a las características especiales de los distintos objetos sobre los que
pueden versar estos contratos y respecto al negocio jurídico, debido a que los
contratos informáticos más comúnmente realizados se han llevado a cabo bajo
una figura jurídica determinada (compraventa, arrendamiento financiero,
mantenimiento, préstamo…) en la que han encontrado acomodo pero que en
casi todos los casos ha sido necesario adecuar.
La contratación de bienes y la prestación de servicios informáticos no tienen
una calificación uniforme para situarla en un modelo o tipo de contrato. Los
contratos informáticos están formados por elementos tan dispares que exigen
la mezcla o unión de dos o más tipos de contratos.
Así mismo, el desconocimiento por el usuario, en términos generales, de las
posibilidades y límites de la autonomía de la voluntad de las partes. En muchas
ocasiones son contratos de adhesión, en los que una de las partes fija las
cláusulas del contrato y la otra se adhiere a las mismas, sin tener posibilidad
de modificar ninguna de ellas.La contratación informática resulta
extremadamente complicada en la redacción de los contratos y en la fijación de
los derechos y obligaciones de las partes. A ello hay que añadir la inexistencia
de una normativa adecuada a los mismos y la dificultad en la fijación del objeto
cuando son contratos complejos.
Se debe redactar teniendo en cuenta un equilibrio de prestaciones y evitar en lo
posible la inexistencia de cláusulas oscuras. Y es aquí, de nuevo, donde la
figura del auditor informático cobra toda su importancia asesorando e
implantando en dicho acuerdo los requisitos técnicos y los términos específicos
que delimitan y concretan los aspectos imprescindibles cuyo cumplimiento
sebe ser objeto de los controles a los que se somete este tipo de contratación
cuyas particularidades requieren un asesoramiento especializado y experto.
3.6. TRANSFERENCIA ELECTRÓNICA DE FONDOS
Este es un tema común a la contratación electrónica, a la protección de datos
de carácter personal y al pago electrónico. En concreto este último adquiere
una relevancia en la práctica inusitada y en constante crecimiento.
AUDITORIA DE SISTEMAS DE INFORMACIÓN
INGENIERIA DE SISTEMAS X CICLO Página 62 de 81
Esta relevancia y sus particularidades justifican su tratamiento independiente.
Nos referimos en concreto a los medios de pago electrónico ya conocidos, esto
es, las tarjetas de crédito y a débito, o el caso particular de las asociadas a un
determinado establecimiento mercantil para la realización de compras en el
mismo, y solo mencionados aquí el naciente fenómeno de los micro pagos y
del dinero electrónico propiamente dicho y de las consecuentes entidades
emisoras del dinero electrónico.
No obstante y dado que una vez más tenemos que recordar el objeto de este
capítulo, no es este el lugar donde analizar las fases de la transferencia
electrónica de fondos, ni los derechos y obligaciones de las distintas partes
implicadas, el emisor del instrumento de pago y el usuario, ni la nueva
situación de desequilibrio derivada de la utilización de nuevo de los contratos
de adhesión, ni la confidencialidad ni seguridad de los datos de carácter
personal involucrados, ni la delimitación de las responsabilidades y riesgos
existentes en el uso de este medio de pago.La tarea específica de este ámbito
para el auditor, aparte de la posible y probable intersección de alguno de los
otros ámbitos específicos, reside en la comprobación de la interoperabilidad
entre los sistemas de lectura de las tarjetas y las redes de comunicaciones.
3.7. EL OUTSOURCING
El desarrollo de las Tecnologías de la Información y las Comunicaciones y
sobre todo las estrategias empresariales que pueden plantearse en un
determinado momento llevan a muchas empresas a recurrir al Outsourcing
informático.
Se trata por tanto de externalizar, por razones técnicas, económicas o de otra
naturaleza, la gestión de los sistemas de información total o parcialmente.El
Outsourcing informático puede ser definido como “la cesión de la gestión de
los sistemas de información de una entidad a un tercero que, especializado en
esta área, se integra en la toma de decisiones y desarrollo de las aplicaciones
y actividades propias de la referida gestión, con la finalidad de la optimización
de los resultados de la misma al tiempo que permite a la entidad el acceso a
nuevas tecnologías y la utilización de recursos especializados de los que no
dispone”
AUDITORIA DE SISTEMAS DE INFORMACIÓN
INGENIERIA DE SISTEMAS X CICLO Página 63 de 81
La externalizarían que se produce no supone, en modo alguno, que el
empresario pierda el control sobre la gestión y administración del sistema de
información, sino simplemente que encarga a un tercero especializado en la
materia que realice dicha gestión con el fin de ahorrar costes y centrarse en el
desarrollo de su actividad. El Outsourcing se convierte en una forma de
externalizar los costes de manteamiento y gestión del sistema de información
lo cual va a suponer que la entidad pueda optimizar sus recursos.
El hecho de que el Outsourcing de los sistemas de información sea un aspecto
crítico para las empresas determina que sea un área propicia para el
desarrollo de la auditoria informática.
4. CAUSA
La causa que puede tener un contrato de Auditoria de Información, dentro de su
licitud, tiene dos orígenes:
1. Partiendo de la Autonomía de la Voluntad, principio rector en materia de Derecho
Contractual Prescrito en el Artículo 1255 del Actual Código Civil, puede ser
solicitada a simple voluntad de la Empresa Auditada.
2. Como cumplimiento de la exigencia legal prevista en la normativa de protección
de datos de carácter personal y en concreto en el Artículo 17 del Reglamento de
Medidas de Seguridad.
5. EL INFORME DE AUDITORIA
ü Es el reporte que el auditor provee a las partes interesadas una vez finalizada la
auditoría.
ü Establece el alcance, objetivos, período de cobertura, y la naturaleza y extensión
del trabajo de auditoría realizado.
ü Identifica la organización, las partes interesadas y cualquier restricción acerca de
su distribución.
ü Incluye resultados, conclusiones, recomendaciones y cualquier reserva o
calificación que el auditor tenga respecto de la auditoría.
ü Es el medio formal para comunicar los objetivos de la auditoría, las normas de
auditoría utilizadas, el alcance y resultados, conclusiones y recomendaciones de
la auditoría.
ü El reporte debe ser objetivo, claro, conciso, constructivo y oportuno.
AUDITORIA DE SISTEMAS DE INFORMACIÓN
INGENIERIA DE SISTEMAS X CICLO Página 64 de 81
ü Existen esquemas recomendados con los requisitos mínimos aconsejables
respecto a estructura y contenido
ü Es la base razonable de la opinión del Auditor Informático
ü Debe ser:
· Relevante, Fiable,Suficiente, Adecuada
El Informe de Auditoría
1. Identificación del Informe
2. Identificación del cliente
3. Identificación de la entidad auditada
4. Objetivos de la auditoría informática
· Declaración de los objetivos para identificar propósito.
· Sialgún objetivo no fue satisfecho, éste hecho debe notificarse en el reporte.
5. Normativa aplicada y excepciones
· Identificación de normas legales utilizadas, excepciones de uso y el posible
impacto de los resultados de la auditoría
6. Alcance de la Auditoría
· Naturaleza y extensión del trabajo realizado
· Identificación del área de auditoría y el período cubierto
· Sistemas de información, aplicaciones o ambiente revisado
· Limitaciones al alcance
· Restricciones del auditado
7. Conclusiones
· Es la evaluación del área auditada
· Debe contener uno de los siguientes tipos de opinión: favorable, con
salvedades, desfavorable, denegada
· Se deben expresar recomendaciones para acciones correctivas.
El informe debe identificar al auditado e indicar la fecha de emisión de éste.
Especificar cuáles reportes son sólo para información, cuáles destinados a un
grupo como los auditores, panel de directores, gerencia y cuáles son
destinados a personas fuera de la institución (ejemplo, agencias de gobierno).
El reporte debe también declarar cualquier restricción que haya para su
distribución
AUDITORIA DE SISTEMAS DE INFORMACIÓN
INGENIERIA DE SISTEMAS X CICLO Página 65 de 81
CONTRATO DE AUDITORÍA EN INFORMÁTICA
Contrato de presentación de servicios profesionales en informática que celebran por una
parte _________________ ____representado por _______________________en su
carácter de ________________ y que en lo sucesivo se denomina al cliente, por otra parte
__________ representada por _______________________ a quien se denominara el
auditor, de conformidad con las declaraciones y cláusulas siguientes:
DECLARACIONES
1.-El cliente declara:
a) Que es una __________________
b) Que está representado para este acto por ________________ y tiene como su domicilio
________________________________________________
c) Que requiere obtener servicios de auditoria en informática, por lo que ha decidido
contratar los servicios del auditor
2.-Declara el auditor:
a) Que es una sociedad anónima, constituida y existente de acuerdo con las leyes y que
dentro de sus objetivos primordiales está el de prestar auditoria en informática
___________________________________________________________________
b) Que está constituida legalmente según escritura numero ________de fecha ________
ante el notario público nº _______ del ______________ Lic. _____________________
c) Que señala como su domicilio ____________________________________________
3.-Declaran ambas partes:
a) Que habiendo llegado a un acuerdo sobre lo antes mencionado, lo formalizan otorgando el
presente contrato que se contiene en las siguientes:
AUDITORIA DE SISTEMAS DE INFORMACIÓN
INGENIERIA DE SISTEMAS X CICLO Página 66 de 81
CLAUSULAS
Primera. Objetivo
El auditor se obliga a prestar al cliente los servicios de auditoria en informática para llevarla a
cabo la evaluación de la dirección de informática del cliente, que se detalla en la propuesta
de servicios anexa que, firmada por las partes, forma parte integrante del contrato.
Segunda. Alcance del trabajo
El alcance de los trabajos que llevara a cabo el auditor dentro de este contrato son:
a) evaluaciones de la dirección de informática en lo que corresponde a:
-su organización -capacitación
-estructura -planes de trabajo
-Recursos humanos -controles
-Normas y políticas -estándares
b) Evaluación de los sistemas
-evaluación de los diferentes sistemas en operación, (flujo de información, procedimientos, documentación, redundancia, organización de archivos, estándares de programación, controles, utilización de los sistemas).
-opinión de los usuarios de los diferentes sistemas
-evaluación de avance de los sistemas en desarrollo y congruencia con el diseño general
-evaluación de prioridades y recursos asignados (humanos y equipo de cómputo).
-seguridad física y lógica de los sistemas, su confidencialidad y respaldos.
c) Evaluación de equipos
-Capacidades -respaldos de equipo
-Utilización -seguros
-Nuevos proyectos -contratos
-seguridad física y lógica -proyecciones
d) Elaboraciones de informes que contengan conclusiones y recomendaciones por cada uno
de los trabajos señalados en los incisos a, b y c de esta cláusula.
AUDITORIA DE SISTEMAS DE INFORMACIÓN
INGENIERIA DE SISTEMAS X CICLO Página 67 de 81
Tercera. Programa de trabajo
El cliente y el auditor convienen en desarrollar en forma conjunta un programa de trabajo en
el que se determinen con precisión las actividades a realizar por cada una de las partes, los
responsables de llevarlas a cabo y las fechas de realización.
Cuarta. Supervisión
El cliente o quien designe tendrá derecho a supervisar los trabajos que se le han
encomendado al auditor dentro de este contrato y a dar por escrito las instrucciones que
estimen convenientes.
Quinta. Coordinación de los trabajos
El cliente designara por parte de la organización a un coordinador del proyecto quien será el
responsable de coordinar la recopilación de la información que solicite el auditor y de que las
reuniones y entrevistas establecidas en el programa de trabajo se lleven a cabo en las
fechas establecidas.
Sexta. Horario de trabajo
El personal del auditor declara el tiempo necesario para cumplir satisfactoriamente con los
trabajos materia de la celebración de este contrato, de acuerdo al programa de trabajo
convenido por ambas partes y gozaran de libertad fuera del tiempo destinado al
cumplimiento de las actividades.
Séptima. Personal asignado
El auditor designara para el desarrollo de los trabajos objeto de este contrato a socios del
despacho quienes, cuando consideren necesario incorporar personal técnico capacitado de
que dispone la firma, en el número que se requieran de acuerdo a los trabajos a realizar.
Octava. Relación laboral
El personal del auditor no tendrá ninguna relación laboral con el cliente y queda
expresamente estipulado que este contrato se suscribe en atención a que el auditor en
ningún momento se considera intermediario del cliente respecto al personal que ocupe para
dar cumplimiento de las obligaciones que se deriven de la relaciones entre él y su personal, y
exime al cliente de cualquier responsabilidad que a este respecto existiré.
AUDITORIA DE SISTEMAS DE INFORMACIÓN
INGENIERIA DE SISTEMAS X CICLO Página 68 de 81
Novena. Plazo de trabajo
El auditor se obliga a terminar los trabajos señalados en la cláusula segunda de este
contrato en ___ días hábiles después de la fecha en que se firme el contrato y sea cobrado
el anticipo correspondiente. El tiempo estimado para la terminación de los trabajos esta en
relación a la oportunidad en que el cliente entregue los documentos requeridos por el auditor
y por el cumplimiento de las fechas estipuladas en el programa de trabajo aprobado por las
partes, por lo que cualquier retraso ocasionado por parte del personal del cliente o de
usuarios de los sistemas repercutirá en el plazo estipulado, el cual deberá incrementarse de
acuerdo a las nuevas fechas establecidas en el programa de trabajo, sin perjuicio alguno
para el auditor.
Décima. Honorarios
El cliente pagara al auditor por los trabajos objetos del presente contrato, honorarios por la
cantidad de _________ más el impuesto al valor agregado correspondiente. La forma de
pago será la siguiente:
a) _____% a la firma del contrato
b) _____% a los 3 días hábiles después de iniciados los trabajos
c) _____% a la terminación de los trabajos y presentación del informe final.
Décimaprimera. Alcance de los Honorarios
El importe señalado en la cláusula décima compensará al auditor por sueldos, honorarios,
organización y dirección técnica propia de los servicios de auditaría, prestaciones sociales y
laborales de su personal.
Décimasegunda. Incremento de Honorarios
En caso de que se tenga un retraso debido a la falta d entrega de información, demora o
cancelación de las reuniones, o cualquier otra causa imputable al cliente, este contrato se
incrementará en forma proporcional al retraso y se señalará el incremento como un acuerdo.
Décimotercera. Trabajos adicionales
De ser necesaria alguna adición a los alcances o productos del presente contrato, las partes
celebraran por separado un convenio que formara parte integrante de este instrumento y en
forma conjunta se acordara el nuevo costo.
AUDITORIA DE SISTEMAS DE INFORMACIÓN
INGENIERIA DE SISTEMAS X CICLO Página 69 de 81
Décimomocuarta. Viaticos Y Pasajes
El importe de los viáticos y pasajes en que incurra el auditor en el traslado, hospedaje y
alimentación que requieren durante su permanencia en la ciudad
de________________________________________________
________________.Como consecuencia de los trabajos objeto de este contrato, será por
cuenta del cliente.
Décimoquinta.Gastos Generales
Los gastos de fotocopiado y dibujo que se produzcan con motivo de este contrato correrán
por cuenta del cliente.
Décimosexta. Causas de Rescisión
Serán causas de rescisión del presente contrato la violación o incumplimiento de cualquiera
de las cláusulas de este contrato.
Décimoséptima. Jurisdicción
Todo lo no previsto en este contrato se regirá por las disposiciones relativas, contenidas en
el código civil del ________________ y, en caso de controversia para su interpretación y
cumplimiento, las partes se someten a la jurisdicción de los tribunales federales, renunciando
al fuero que les pueda corresponder en razón de su domicilio presente o futuro.
Enteradas las partes del contenido y alcance legal de este contrato, lo rubrican y firman de
conformidad en original y tres copias, en la ciudad de_______________________, el día
___________________________.
_______________________ ______________________
EL CLIENTE EL AUDITOR
AUDITORIA DE SISTEMAS DE INFORMACIÓN
INGENIERIA DE SISTEMAS X CICLO Página 70 de 81
MODELO DE AUDITORIA INFORMÁTICA
En (…), a (…) de (…) de (…)
REUNIDOS
DE UNA PARTE, (…) mayor de edad, con D.N.I. número (…) y en nombre y representación
de (…), en adelante, el “CLIENTE”, domiciliada en (…), calle (…) nº (…), C.P. (…) y C.I.F.
(…).
DE OTRA PARTE, (…) mayor de edad, con D.N.I. número (…) y en nombre y
representación de la mercantil (…), en adelante, el “PROVEEDOR”, domiciliada en (…), calle
(…) nº (…), C.P. (…) y C.I.F. (…).
El CLIENTE y el PROVEEDOR, en adelante, podrán ser denominadas, individualmente, “la Parte” y, conjuntamente, “las Partes”, reconociéndose mutuamente capacidad jurídica y de
obrar suficiente para la celebración del presente Contrato
EXPONEN
PRIMERO: Que el CLIENTE está interesado en la contratación de los servicios de:
a) Auditoria de los sistemas informáticos.
b) Realización de un informe detallado sobre la situación de los sistemas informáticos,
con un plan que garantice el óptimo nivel de los sistemas informáticos.
c) Otros servicios consistentes en (…) [citar todos y cada uno de los servicios
adicionales en su caso]
El CLIENTE está interesado en contratar dichos servicios para conocer la situación y la
operatividad de sus sistemas informáticos, software y hardware. [indicar la necesidad del
cliente]
SEGUNDO: Que el PROVEEDOR es una empresa especializada en la prestación de
servicios de Auditoria, seguimiento, conservación de sistemas informáticos y formación.
TERCERO: Que las Partes están interesadas en celebrar un contrato de PRESTACIÓN DE
SERVICIOS INFORMÁTICOS en virtud del cual el PROVEEDOR preste al CLIENTE los
servicios de:
a) Auditoria de los sistemas informáticos.
AUDITORIA DE SISTEMAS DE INFORMACIÓN
INGENIERIA DE SISTEMAS X CICLO Página 71 de 81
b) Realización de un informe detallado sobre la situación de los sistemas informáticos,
con un plan que garantice el óptimo nivel de los sistemas informáticos.
c) Otros servicios consistentes en (…) [citar todos y cada uno de los servicios
adicionales en su caso]
Que las Partes reunidas en la sede social del CLIENTE, acuerdan celebrar el presente
contrato de PRESTACIÓN DE SERVICIOS INFORMÁTICOS, en adelante, el “Contrato”, de
acuerdo con las siguientes
CLÁUSULAS
PRIMERA.- OBJETO
En virtud del Contrato el PROVEEDOR se obliga a prestar al CLIENTE los servicios de
auditoría de los sistemas informáticos del CLIENTE y la realización posterior de un informe
detallado para conocer la situación y la operatividad de sus sistemas informáticos, software y
hardware, con un plan que garantice el óptimo nivel de los sistemas informáticos. [citar todos
los servicios] en adelante, “los Servicios”, en los términos y condiciones previstos en el
Contrato y en todos sus Anexos.
SEGUNDA.- TÉRMINOS Y CONDICIONES GENERALES Y ESPECÍFICOS DE PRESTACIÓN DE LOS SERVICIOS
2.1. Los Servicios se prestarán en los siguientes términos y condiciones generales:
2.1.1. El PROVEEDOR responderá de la calidad del trabajo desarrollado con la
diligencia exigible a una empresa experta en la realización de los trabajos
objeto del Contrato.
2.1.2. El PROVEEDOR se obliga a gestionar y obtener, a su cargo, todas las
licencias, permisos y autorizaciones administrativas que pudieren ser
necesarias para la realización de los Servicios.
2.1.3. El PROVEEDOR se hará cargo de la totalidad de los tributos, cualquiera que
sea su naturaleza y carácter, que se devenguen como consecuencia del
Contrato, así como cualesquiera operaciones físicas y jurídicas que conlleve,
salvo el Impuesto sobre el Valor Añadido (IVA) o su equivalente, que el
PROVEEDOR repercutirá al CLIENTE.
AUDITORIA DE SISTEMAS DE INFORMACIÓN
INGENIERIA DE SISTEMAS X CICLO Página 72 de 81
2.1.4. El PROVEEDOR guardará confidencialidad sobre la información que le facilite
el CLIENTE en o para la ejecución del Contrato o que por su propia naturaleza
deba ser tratada como tal. Se excluye de la categoría de información
confidencial toda aquella información que sea divulgada por el CLIENTE,
aquella que haya de ser revelada de acuerdo con las leyes o con una
resolución judicial o acto de autoridad competente. Este deber se mantendrá
durante un plazo de tres años a contar desde la finalización del servicio.
2.1.5. En el caso de que la prestación de los Servicios suponga la necesidad de
acceder a datos de carácter personal, el PROVEEDOR, como encargado del
tratamiento, queda obligado al cumplimiento de la Ley 15/1999, de 13 de
diciembre, de Protección de Datos de Carácter Personal y del Real Decreto
1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de
desarrollo de la Ley Orgánica 15/1999 y demás normativa aplicable.
El PROVEEDOR responderá, por tanto, de las infracciones en que pudiera
incurrir en el caso de que destine los datos personales a otra finalidad, los
comunique a un tercero, o en general, los utilice de forma irregular, así como
cuando no adopte las medidas correspondientes para el almacenamiento y
custodia de los mismos. A tal efecto, se obliga a indemnizar al CLIENTE, por
cualesquiera daños y perjuicios que sufra directamente, o por toda
reclamación, acción o procedimiento, que traiga su causa de un
incumplimiento o cumplimiento defectuoso por parte del PROVEEDOR de lo
dispuesto tanto en el Contrato como lo dispuesto en la normativa reguladora
de la protección de datos de carácter personal.
A los efectos del artículo 12 de la Ley 15/1999, el PROVEEDOR únicamente
tratará los datos de carácter personal a los que tenga acceso conforme a las
instrucciones del CLIENTE y no los aplicará o utilizará con un fin distinto al
objeto del Contrato, ni los comunicará, ni siquiera para su conservación, a
otras personas. En el caso de que el PROVEEDOR destine los datos a otra
finalidad, los comunique o los utilice incumpliendo las estipulaciones del
Contrato, será considerado también responsable del tratamiento,
respondiendo de las infracciones en que hubiera incurrido personalmente.
AUDITORIA DE SISTEMAS DE INFORMACIÓN
INGENIERIA DE SISTEMAS X CICLO Página 73 de 81
El PROVEEDOR deberá adoptar las medidas de índole técnica y
organizativas necesarias que garanticen la seguridad de los datos de carácter
personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado,
habida cuenta del estado de la tecnología, la naturaleza de los datos
almacenados y los riesgos a que están expuestos, ya provengan de la acción
humana o del medio físico o natural. A estos efectos el PROVEEDOR deberá
aplicar los niveles de seguridad que se establecen en el Real Decreto
1720/2007 de acuerdo a la naturaleza de los datos que trate.
2.1.6. El PROVEEDOR responderá de la corrección y precisión de los documentos
que aporte al CLIENTE en ejecución del Contrato y avisará sin dilación al
CLIENTE cuando detecte un error para que pueda adoptar las medidas y
acciones correctoras que estime oportunas.
2.1.7. El PROVEEDOR responderá de los daños y perjuicios que se deriven para el
CLIENTE y de las reclamaciones que pueda realizar un tercero, y que tengan
su causa directa en errores del PROVEEDOR, o de su personal, en la
ejecución del Contrato o que deriven de la falta de diligencia referida
anteriormente.
2.1.8. Las obligaciones establecidas para el PROVEEDOR por la presente cláusula
serán también de obligado cumplimiento para sus posibles empleados,
colaboradores, tanto externos como internos, y subcontratistas, por lo que el
PROVEEDOR responderá frente al CLIENTE si tales obligaciones son
incumplidas por tales empleados.
2.2. El PROVEEDOR prestará los Servicios en los siguientes términos y condiciones
específicos:
2.2.1. El PROVEEDOR realizará una auditoria de los sistemas informáticos del
CLIENTE para conocer la situación exacta en que se encuentran los sistemas
informáticos del CLIENTE, software y hardware.
2.2.2. Una vez realizada la auditoria, los técnicos encargados de la misma realizarán
un informe detallado de la situación, con un plan que garantice el óptimo nivel
de los sistemas informáticos en el día a día y que planifique las necesidades
que van surgiendo en el CLIENTE, atendiendo a las nuevas tecnologías y su
constante evolución. Dicho plan podrá llevar a la contratación de otros
servicios prestados por el PROVEEDOR.
AUDITORIA DE SISTEMAS DE INFORMACIÓN
INGENIERIA DE SISTEMAS X CICLO Página 74 de 81
2.2.3. Para la realización de la auditoria se desplazarán a la sede del CLIENTE dos
técnicos del PROVEEDOR, uno como analista de sistemas y otro como
asesor informático.
2.2.4. Los técnicos del PROVEEDOR realizarán su trabajo durante el horario
comercial del CLIENTE [indicar horario e incluir cuando proceda fines de
semana y festivos].
2.2.5. El CLIENTE con la asistencia del PROVEEDOR realizará las copias
necesarias de la programación, información, etc., para evitar su desaparición
en el transcurso de la auditoria.
2.2.6. El PROVEEDOR realizará controles remotos, para elaborar un diagnóstico a
través de soporte con P.C. o por teléfono, de los sistemas informáticos del
CLIENTE.
2.2.7. El encargado de los sistemas informáticos del CLIENTE estará en todo
momento a disposición de los técnicos del PROVEEDOR para la realización
de la auditoria y facilitará las claves y passwords necesarios para comprobar
todos los sistemas y la descripción de los mismos.
2.2.8. Realizada la auditoria y antes de finalizar el informe completo, sin el plan para
garantizar el óptimo nivel, se entregará al CLIENTE una copia del informe, en
su estado, para su estudio.
2.2.9. Una vez estudiado por el CLIENTE el informe y antes de elaborar el plan que
garantice el óptimo nivel de los sistemas, el encargado de los sistemas
informáticos del CLIENTE tendrá las reuniones necesarias con los técnicos del
PROVEEDOR para concretar las necesidades del CLIENTE. Cada parte
llevará a las reuniones una propuesta. Una vez concretadas las necesidades,
los técnicos del PROVEEDOR realizarán el plan.
2.2.10. Los plazos de entrega del informe y del plan se entregarán conforme la
cláusula 5ª de este contrato. Una vez entregado el informe incluyendo el plan,
el contrato estará cumplido
2.2.11. El contrato podrá ser ampliado para realizar los servicios necesarios para
llevar el plan a buen término. Dicha ampliación será por acuerdo escrito entre
las partes y el documento se unirá al presente contrato.
AUDITORIA DE SISTEMAS DE INFORMACIÓN
INGENIERIA DE SISTEMAS X CICLO Página 75 de 81
2.2.12. El PROVEEDOR ejecutará el Contrato realizando de manera competente y
profesional los Servicios, cumpliendo los niveles de calidad exigidos y
cuidando diligentemente los materiales del CLIENTE que tuviera que utilizar
como consecuencia del Contrato.
TERCERA.- POLÍTICA DE USO
1.1. El CLIENTE es el único responsable de determinar si los servicios que constituyen
el objeto de este Contrato se ajustan a sus necesidades, por lo que el PROVEEDOR
no garantiza que los servicios contratados se ajuste a las necesidades específicas
del CLIENTE.
CUARTA.- PRECIO Y FACTURACIÓN.-
2.1. El precio del Contrato es de (…) [indicar el precio de cada servicio] IVA excluido.
2.2. El pago de las facturas se realizará, tras la aceptación de los trabajos por el
CLIENTE, mediante transferencia bancaria a los 30 días de la fecha de recepción de
la factura a la siguiente cuenta corriente titularidad del PROVEEDOR: (…) [indicar nº
de cuenta].
QUINTA.- DURACIÓN DEL CONTRATO
3.1. El plazo de realización de la auditoria es de (…)
3.2. El plazo de entrega del informe para su estudio es de (…)
3.3. El plazo de entrega del informe definitivo es de (…) a partir de la fecha referida en
el encabezamiento del Contrato.
SEXTA.- ACUERDO DE NIVEL DE SERVICIO
4.1. Todos los Servicios prestados por el PROVEEDOR se realizarán por personal
especializado en cada materia. El personal del PROVEEDOR acudirá previsto de
todo el material necesario, adecuado y actualizado, para prestar los Servicios.
4.2. El PROVEEDOR deberá cumplir los plazos de entrega que se acuerden con el
CLIENTE. Se considerará un incumplimiento de los plazos cuando se supere
[indicar el plazo máximo que se puede superar] y en ese caso el CLIENTE podrá
exigir al PROVEEDOR el pago de los daños y perjuicios que corresponda.
AUDITORIA DE SISTEMAS DE INFORMACIÓN
INGENIERIA DE SISTEMAS X CICLO Página 76 de 81
SÉPTIMA.- MODIFICACIÓN
Las Partes podrán modificar el contrato de mutuo acuerdo y por escrito.
OCTAVA.- RESOLUCIÓN
Las Partes podrán resolver el Contrato, con derecho a la indemnización de daños y
perjuicios causados, en caso de incumplimiento de las obligaciones establecidas en
el mismo.
NOVENA.- NOTIFICACIONES
Las notificaciones que se realicen las Partes deberán realizarse por correo con acuse
de recibo [o cualquier otro medio fehaciente que acuerden las Partes] a las siguientes
direcciones:
· CLIENTE (…)
· PROVEEDOR: (…)
DÉCIMA.- REGIMEN JURÍDICO
El presente contrato tiene carácter mercantil, no existiendo en ningún caso vínculo
laboral alguno entre el CLIENTE y el personal del PROVEEDOR que preste
concretamente los Servicios.
Las partes para cualquiera controversia, discrepancia, aplicación o interpretación del
presente contrato, se someten expresamente, con renuncia a cualquier otro fuero que
pudiera corresponderles, a la decisión del asunto o litigio planteado, mediante el
arbitraje institucional del Tribunal Arbitral del Colegio Oficial de Ingeniería en
Informática de Cataluña, en adelante TA-COEIC, al cual encomiendan la
administración del arbitraje y la designación de los árbitros. El arbitraje será de
equidad y se realizará de acuerdo con el procedimiento establecido en el Reglamento
del TA-COEIC y, en aquello que no esté previsto, según la Ley 60/2003, de 23 de
diciembre, de Arbitraje.
Ambas partes se obligan a aceptar y cumplir la decisión contenida en el laudo arbitral,
dictado según lo que se establece en el mencionado reglamento del TACOEIC.
En caso de que el arbitraje no llegara a realizarse por mutuo acuerdo o fuera
declarado nulo, ambas partes se someten a los juzgados y tribunales de la ciudad de
(…) [domicilio del cliente], con renuncia a cualquier otro fuero que pudiera
corresponderles.
AUDITORIA DE SISTEMAS DE INFORMACIÓN
INGENIERIA DE SISTEMAS X CICLO Página 77 de 81
Y en prueba de cuanto antecede, las Partes suscriben el Contrato, en dos ejemplares
y a un solo efecto, en el lugar y fecha señalados en el encabezamiento.
POR EL CLIENTE POR EL PROVEEDOR
Fdo.:
Fdo.:
ANEXO
CLÁUSULA PENAL, CONVENIENTE EN CASO DE PODER SER NEGOCIADA
En virtud de la presente cláusula penal que tiene carácter cumulativo y no sustitutivo a
los efectos de lo dispuesto en el artículo 1152 del Código Civil, el CLIENTE podrá
aplicar las siguientes penalizaciones por incumplimiento del acuerdo de nivel de
servicio.
A los efectos de lo previsto en el artículo 1.153 del Código Civil, el PROVEEDOR no
podrá eximirse del cumplimiento de sus obligaciones pagando la pena. Asimismo, el
PROVEEDOR, además de satisfacer la pena establecida, deberá cumplir las
obligaciones cuyo incumplimiento se penaliza.
Las penalizaciones se detraerán del importe pendiente de pago al PROVEEDOR
CONCLUSIONES
La auditoría SITIC está, como es lógico, en evolución constante. Esa evolución depende
fundamentalmente de:
§ Las nuevas demandas y objetivos de cumplimiento
§ La disponibilidad de herramientas y técnicas que permitan hacer ciertas pruebas con
mayor cobertura y con menor riesgo y errores logrando una mayor productividad.
Contemplar las herramientas y técnicas, sin hacerlo desde la perspectiva de su
productividad, puede ser propio de tecnológicos o de historiadores; pero sería un error en
empresarios, gestores, economistas, gestores, economistas, responsable de auditoría y
auditores.
Los auditores son un recurso escaso, relativamente caro, con plazos de capacitación
significativos. Todo ello se amplifica, si cabe para los ASITIC.
Aumentar su disponibilidad y productividad es un reto importante.
Las CAAT pueden hacer viable y rentable el acceso a universos, en lugar de solo muestras.
También pueden permitir la automatización de muchas tareas rutinarias, con el consiguiente
aumento de la productividad del ASITIC.
Los factores críticos son unos pocos, y caben diversas estrategias, algunas muy
dependientes de las herramientas disponibles. Por señalar algunos aspectos y tendencias
importantes mostramos la tabla siguiente:
Aspecto – Dimensión Problema Tecnología – Técnica
Formación Lenta, deficitaria (cuantitativa y cualitativamente), sesgada muchas veces.
EAO: Enseñanza asistida por ordenador. Mayor participación de profesionales con experiencias. Compensar los déficits con aplicaciones de IA.
Disponibilidad Escasa en términos absolutos (n| de ASITIC) y relativos: tiempo, lugar, habilidades
Más auditoría embebida y automático.
Mas tele-auditoría
Mas groupware
Menos viajes Discreto – Continuo En enfoque discreto (puntual o
periodificado) es un atavismo que arrastramos por falta de recursos, experiencia y sobre todo por falta de cultura y reflexión.
Cuando antes se detecte un problema, menores serán sus costes.
Más auditoría embebida, automática, continua, en tiempo real.
Lagunas y Solapes Hay frecuentes e importantes solapes entre auditoría interna y externa, Auditoría Operativa, Auditoría de cuentas, Auditoría SITIC, Auditoría ISO 9001:2000, ISO 27001, ISO 14000; aparte de las intervenciones de control de directivos y supervisores, CSA y círculos de calidad, sin mencionar a las agencias reguladoras
Aquí antes que aplicar las técnicas habría que aplicar el sentido común.
Se debe partir del riesgo apreciado y la cobertura deseada, desestructurar todas las capas bebidas a intereses, ignorancia e incultura e instalar sistemas de Auditoría integrada.
Trabajo Administrativo El problema de escasez de
ASITIC cualificados, se ven forzados a dedicar la mayoría de su tiempo útil a trabajos administrativos(planificación táctica, concertar entrevistas, archivar papeles de trabajo, hacer antesalas, gestionar viajes)
Uso más eficaz de las herramientas horizontales.
Mejores, más baratas herramientas especializadas en gestión.
Equipos armónicos con las habilidades requeridas.
Pruebas sustantivas Hay un clamor creciente, en demanda de pruebas sustantivas, no limitadas a muestras sino extendidas al universo.
Mayor y más eficaz uso de las herramientas disponibles, y más concretamente de la auditoría embebida, automática, continua, en tiempo real y de las CAATT.
Cobertura - Granularidad Las pruebas en muchos casos deben tener cobertura y granularidad
Mayor y más eficaz uso de las herramientas disponibles, y más concretamente de la auditoría embebida, automática, continua, en tiempo real y de las CAATT.
En las bases de datos también es vital el establecimiento de controles efectivos, debido a
que es ahí donde reposa toda la información sensible de la organización e incluso de entes
externos a la organización como es el caso de los clientes. La importancia de las bases de
datos fueron mostradas a través de todo el informe y lo sensible de esta herramienta
tecnológica nos obliga a no descuidarlas.
Las Bases de Datos Oracle, mostraron lo robustas que son para el manejo de pequeñas
empresas como para grandes corporaciones, y la gama de productos en el ámbito de
seguridad que mantienen totalmente actualizados para mitigar los riesgos que las bases de
datos puedan estar expuestas. Las herramientas, como utilizarlas, en que área específica
utilizarlas fue mostrado y explicado, dejando al lector con buena información y motivándolo a
investigar más sobre cualquier punto que desee desarrollar.
El contrato de auditoría informática, como todo lo que afecta a la regulación jurídica de las
Tecnologías de la Información y las Comunicaciones, no es algo que se encuentre
delimitado. La inseguridad jurídica es palpable.
El objetivo propio de esta contratación, además de su multiplicidad, se caracteriza por la
dificultad de su configuración jurídica. La profesión de auditor informático, aparte de su falta
de regulación, sufre, entre otras cosas, de intrusismo profesional y de extralimitación de sus
funciones. La empresa que solicita una auditoria informática suele tener dudas en cuanto a
su objeto y a su resultado. La diferencia de expectativas es aquí mayor porque ni siquiera se
tiene claro lo que se espera, pues se espera todo, se espera una solución, no una detección
de los problemas. En cuanto a los terceros, menos claro tienen aún la existencia y
delimitación de la figura del contrato. Por otra parte, la causa, como hemos visto, es
escasamente legal en cuanto a periodicidad en la obligación.
Aprovechemos pues las similitudes existentes y la indefinición legal que sufre en muchos
puntos la auditoría de cuentas para comenzar un proceso normativo propio que delimite la
figura de la auditoria de sistemas de información en todos sus aspectos desde los subjetivos,
definiendo el perfil del auditor informático, hasta los objetivos, en cuanto a la regulación legal
principalmente, y los instrumentales u organizativos.
Es preciso lograr una regulación, del tipo que sea, propia y delimitadora, declarativa que no
constitutiva, de lo que es una realidad creciente en número e importancia: la profesión de
auditoría informática.
BIBLIOGRAFIA
· Normas Generales para la Auditoría de los Sistemas de Información ISACA
· Auditoria de Tecnologías y Sistemas de Información
· Piattini, M., Marcos, E., Calero, C. y Vela, B. (2006).Tecnología y Diseño de Base de Datos.
Madrid, Ra- Ma
LINKOGRAFIA
· http:// es.wikipedia.org/wiki/c%c3%b3rvido
· http:// es.wikipedia.org/wiki/Enhydra_lutris
· http:// es.wikipedia.org/wiki/Tool
· http:// es.wikipedia.org/wiki/Generalized_Audit_Software
· http:// es.wikipedia.org/wiki/Computer_Assisted_Auditing_Techniques
· http://www.isaca.org · Base de Datos Cobit, Disponible
http://www.bluecoreresearch.com/papers/cobit.pdf
· Introducción a la Auditoría Simple, Dsiponible
http://www.petefinnigan.com/papers/audit.sql
· Gestión de Seguridad de Base de Datos
http://www.desarrolloweb.com/articulos/gestion-seguridad-oracle-I.html
· Access Control on Tables, Views, Synonyms, or Rows
http://download.oracle.com/docs/cd/B19306_01/network.102/b14266/accessre.htm#CHDDG
EJG