trabajo final

“UNIVERSIDAD PRIVADA ADA A. BYRON”

FACULTAD DE INGENIERÍA, CIENCIAS Y ADMINISTRACIÓN

INGENIERÍA DE SISTEMAS X CICLO

Herramientas para la Auditoría de los Sistemas de Información

Chincha, 06 de Julio del 2012

Docente: Ing. Armando Moreno Heredia, M. Sc.

INTEGRANTES:

1. Canelo Gonzales, Wilmer

2. Huaroto de la Cruz, Karen

3. Salazar Magallanes, Omar

4. Torres Cahuana, Marco

5. Tasayco, Evelyn

Auditoría de Base de Datos

Contratos de Auditoría

ÍNDICE Introducción……………………………………………………………………………………..Pág. 02

HERRAMIENTAS PARA LA AUDITORÍA DE S.I.

1. Herramientas, Maquinas y sistemas……………………………………………......Pág. 03

2. Importancia………………………………………………………………….................Pág. 03

3. Herramientas Específicas, Substitutivas y Multipropósito……………...................Pág. 03

4. Herramienta Perfecta………………………………………………………...............Pág. 04

5. Herramientas de Auditoría SITIC…………………………………………………....Pág. 04

6. Tipos de Herramientas………………………………………………………………...Pág. 05

7. Técnicas de Auditoría asistida por computadoras…………..................................Pág.15

AUDITORÍA DE BASE DE DATOS

1. Definición………………………………………………………………………………Pág. 17

2. Puntos en los que se enfoca el auditor…………………..........................................Pág.17

3. Objetivos………………………………………………………………………............Pág. 18

4. Planificación…………………………………………………………………............... ...Pág. 18

5. Importancia………………………………................................................................Pág. 19

6. Auditoría Oracle………………………………………………………………............Pág.20

7. Niveles de Auditoría…………………………………………………………………....Pág. 20

8. Tipos de Auditoría…………………………………………………………….............Pág. 23

9. Políticas de Auditoría…………………………………………………………............Pág. 26

10. Implementación de Auditoría………………………………………………...............Pág. 28

SOFTWARE PARA AUDITORÍA……………………………………………………………..Pág. 38

CONTRATOS DE AUDITORÍA

1. Referencias…………………………………………………………………………….Pág. 45

2. Partes……………………………………………………………………………………Pág. 47

3. Objetivos……………………………………………………………………………......Pág. 53

4. Causa………………………………………………………………………….…….....Pág. 63

5. El informe de Auditoría……………………………………………………….……....Pág. 63

6. Contratos de Auditoría……………………………………………………….…….....Pág. 65

Conclusiones…………………………………………………………...................................... ..Pág.78

Bibliografía……………………………………………………………………………………....Pág.81

ÍNTRODUCCIÓN

La auditoría y la auditoria informática tienen una demanda creciente y crecientes exigencias de

cobertura y granularidad. El auditor es un recurso limitado, escaso, relativamente caro.Hay gran

variedad de herramientas de auditoria más o menos elementales o sofisticadas, especializadas o

multipropósito, aisladas o integradas; que el auditor puede utilizar para posibilitar / facilitar su

tarea, mejorando su productividad, aumentando la cobertura de su estudio, reduciendo el riesgo,

con mayores posibilidades de automatización e integración.

Esa gran variedad admite muchos modos de clasificación. Entre los tipos principales cabe

destacar las Herramientas “embebidas” (EAM), las “Verticales de Gestión de la Auditoria”, las

GAT / CAAT - cuyos referentes son IDEA y ACL-, las muchas de hacking ético y las de

compliance.

Por otra parte con respecto a la Auditoria de Base de Datos, considerando la importancia del

manejo y datos e información en la actualidad, se cuenta con eficientes recursos como los

sistemas de gestión de base de Datos (SGBD). Una de las herramientas más poderosas e

integrales es Oracle en el ámbito de las Bases de Datos relacionales, debido a que poseen una

serie de características que las hacen sólidas frente a gran volumen de datos e incluso

diversificación de los mismos.

Justamente esta posibilidad de manejar de almacenamiento masivo de la información que nos

brinda ORACLE, trae consigo la necesidad ineludible de establecer controles que permitan

prevenir, detectar, corregir y hast0061 mitigar los riesgos asociados con acceso y uso de la base

de datos a nivel de objetos (tablas, vistas usuarios), incluyendo creación, modificación y

eliminación, también lo que son tiempos de conexión, crecimiento controlado de la BD, privilegios

de usuarios, roles y un sin fin de aspectos que puedan representar cambios en mayor o menor

magnitud al repositorio de datos.

Una de las funcionalidades que permite al administrador y a los usuarios autorizados abordar

estos elementos de control es la herramienta de Auditoría que posee ORACLE, permitiendo

establecer un monitoreo y seguimiento del uso de la base de datos en conjunto con una gama de

posibilidades y niveles para auditar las acciones, según las necesidades de la empresa o

usuarios de la BD.

AUDITORIA DE SISTEMAS DE INFORMACIÓN

INGENIERIA DE SISTEMAS X CICLO Página 3 de 81

1. HERRAMIENTAS, MÁQUINAS, SISTEMAS, DEMONIOS

Las herramientas – por evolución, innovación, complejidad y especialización – se han

transformado en los “artefactos tecnológicos” de que nos servimos para hacer nuestro

trabajo; por tanto herramientas – maquinas – sistemas – demonios –arañas – equipos

son denominados genéricamente “Herramientas”.

Cuando se habla de herramientas se debe tener en cuenta en función de la

disponibilidad de la misma, de la adecuación de ésta al objeto (objetivo y entorno) de la

auditoria y del conocimiento (habilidad del auditor con ella).

2. IMPORTANCIA

Las herramientas de Auditoria SITIC hacen viable y más llevadera y económica la

auditoria de ciertos objetos o campos a auditar. En un mundo plagado de dudas,

sospechas, quejas y escándalos sobre la auditoria, hacer posibles o simplificar ciertas

comprobaciones es de una gran trascendencia. Es ahí donde radica fundamentalmente

la importancia de las herramientas de auditoría SITIC

3. HERRAMIENTAS ESPECÍFICAS, SUBSTITUTIVAS Y MULTIPROPÓSITO

Las herramientas suelen ser específicas, pueden ser substitutivas e incluso ser

multiproceso.Sin embargo, generalmente el mejor coste-eficiencia se obtiene con

herramientas específicas, no multipropósito. Salvo, claro está, que los costes de

formación, su frecuencia e intensidad de uso y el propio coste directo de cada

herramienta aconsejen una multipropósito.

Los grandes maestros y los artesanos, tradicionalmente han dedicado la mayoría de su

tiempo con sus aprendices a:

i. Evitar que se dañaran con las herramientas

ii. Evitar que dañaran las obras con las herramientas

Herramientas para la Auditoría de los Sistemas de Información



En ambos casos, el objetivo era enseñarles una técnica; porque una herramienta sin

técnica es como un ordenador sin software.

.

4. LA HERRAMIENTA PERFECTA

No existe la herramienta “perfecta”, “óptima”. Dependedel cristal con que se mire:

depende de cada enfoque con el que se enfrente su uso.Toda herramienta tiene sus

ventajas e inconvenientes, posibilidades y limitaciones, formas de uso normales y

excepcionales.Los grandes artistas y científicos, en ocasiones han usado las

herramientas de modo anormal, con resultados revolucionarios.

5. HERRAMIENTAS DE AUDITORIA (SOLAMENTE) SITIC

La auditoría SITIC tiene mucho en

común con otras auditorias

(financiera, operativa, de

procesos, etc.); más aún con el

inexorable tsunami de la

informática.

No se puede ignorar la que

parece irreversible tendencia a la

“integración de la auditoría”.

Ilustración 1 : Principio temario de las Herramientas

Ilustración 2: Integración de la Auditoría



6. TIPOS

Hay una gran variedad de Herramientas de Auditoría SITIC. Según los diversos

criterios, que facilitan su compresión puede ser:

6.1. HERRAMIENTAS DE AUDITORIA SEGÚN SU PROCEDENCIA

Un número importante aunque decreciente de ASITIC son profesionales de la

informática, por lo que sus opiniones de herramientas son normalmente las más

amplias. Según sus diversos conocimientos y habilidades, Los ASITIC con

habilidades informáticas pueden recurrir a usar:

§ Herramientas del entorno adquisición-construcción.-

Con lenguajes de programación, debuggers, analizadores de path se han

construido todos los Sistemas de Información. Con las mismas herramientas

se pueden auditar dichos sistemas.

§ Herramientas de Prueba.

Pueden considerarse a caballo de los entornos de adquisición-construcción y

explotación-operación (mantenimiento).Las herramientas de prueba pueden

usarse y se usan ampliamente, como mecanismo de vigilancia y auditoria

“continuada”.

§ Herramientas del entorno Explotación – Operación.

Es donde están los “datos vivos” la cual puede explotar el ASITIC que sea

capaz de manejar JCL, SMF Logs, etc. Este tipo de acceso debe ser

controlado y supervisado, pues el riesgo de impacto de un acceso intrusivo en

un entorno de producción es muy alto. § Herramientas del Software de Sistema

Aunque, todo está en el Sistema Operativo. Lo que el ASITIC capaz de lograr

acceso privilegiado a SO, software de red, logs, etc. puede explotar es

enorme. La complejidad del acceso es directamente proporcional a su criticidad, ya que

las herramientas del sistema se ejecutan en modo privilegiado.



Por ello para evitar un descenso de la productividad de la auditoria, se pueden

segregar dos enfoques:

ü Intentos de Instrucción en modo privilegiado

ü A partir de un usuario auditor con acceso privilegiado de lectura, se audita

el software del sistema.

§ Utilidades

Son una potente herramienta- fundamentalmente de extracción de datos –

para el ASITIC de formación informática, pero sobre todo son la “bestia negra”

de cualquier ASITIC, quien debe comprobar que el acceso a utilidades por el

personal auditado está restringido al máximo y totalmente trazado como se

usan.

§ Herramientas de TCP/IP e Internet.

Las herramientas para el hacking “blanco” o “ético”, hoy día muchas

herramientas empresas y servicios de hacking “ético” se denominan de

“auditoria”: proponen la parte como un todo.

El hacking “blanco” o “ético” tiene a su disposición las mismas herramientas y

técnicas que el hacking de “sombreo negro” (crackers): todo el catálogo de

software y malware. Quizá la diferencia está en la autolimitación, por el

“sombrero blanco”, de la “carga de pago”: al investigador le interesa más

identificar las vulnerabilidades que explotarlas en los diversos modos posibles.

6.2. HERRAMIENTAS DE AUDITORIA SEGÚN SU PROCEDENCIA

FUNCIÓN

La auditoría es una actividad profesional tan amplia y compleja, y en entornos y

circunstancias tan diversas que los simplifica en los siguientes tipos:

§ Captura de DatosEste primer tipo de herramienta recoge información,

captura de datos, que serán usados (analizados, interpretados, utilizados)en

una fase posterior o simultánea



Muestras: El muestro de una población de datos (transacciones, registros

en un log, accesos) es una técnica estadística de la que se sabe mucho y

por desgracia se abusa mucho.

La única exigencia de un procedimiento de muestreo, para que genere la

máxima productividad, es que sea un muestreo estocástico aleatorio.

Las buenas prácticas de muestreo han contribuido e enormes economías y

aumentos de productividad en gestión de la producción, control de la

calidad, marketing y auditoría.

Las herramientas para obtener muestras pueden ser de procedencia,

naturaleza, complejidad o ubicación muy diversa. Puede tratarse de:

ü Una rutina de “diezmado” de un log

ü Un filtro que selecciona ciertas transacciones, según reglas más o

menos complejas;

ü Simplemente colocar una “bandera” (flag) en un campo de la Base de

Datos para marcar ciertas entidades (clientes, productos, cuentas, etc.)

§ Análisis de DatosEl análisis o interpretación y evaluación de la información

recogida puede ser complementada con la recogida de la información

(alertas y gestión de incidencias) o ser diferidas, incluso con horizontes muy

amplios.

ü Un ejemplo de escenario de “análisis diferido” es el análisis de ficheros

con motivo de una auditoria anual o semestral.

ü Un ejemplo de escenario de “análisis muy diferido” puede ser el caso en

que una auditoría rutinaria detecte una debilidad importante en una

prueba de cumplimiento y ello mueva al ASITIC a desencadenar una

prueba sustantiva (total o por muestreo) sobre el histórico, desde hace

tres año, de un determinado grupo de fichero.



6.3. HERRAMIENTAS DE AUDITORIA SEGÚN SU USO O PROPÓSITO

§ Auditoria SITICEs la utilización normal § Otras Auditorias, coordinadas o no con la SITIC Se dan frecuentes e

importantes solapes entre auditoria interna y externa, Auditoria Operativa,

Auditoría de cuentas, Auditoria SITIC, Auditoría ISO 9000, ISO 2000, ISO

27001, ISO 14000; aparte de las intervenciones de control de directivos y

supervisores CSA y círculos de calidad § Otros usos, legítimos o ilegítimos

ü Legítimos.- ajenos a la auditoria: detección de fraudes, investigación

demoscópica, etc.

ü Ilegítimos.- del “lado claro”, realizado por empresas aparentemente

correctas, dedicadas a tráfico de direcciones, perfilado de clientes, etc. Y

del “lado oscuro”, donde las herramientas de auditoria pasan a ser un todo

con el malware

6.4. HERRAMIENTAS DE AUDITORIA SEGÚN SU UBICACIÓN

Se propone tratar las herramientas de

auditoría en función de su ubicación o

integración mayor o menor en las

aplicaciones o sistemas auditados.Se

clasifica en dos grandes categorías:

§ Embebidas, como módulos de una

aplicación o sistema.

§ Exentas, interactuando

sincrónicamente o no, con

elementos (fundamentalmente

archivos de datos) de una

aplicación o sistema.

Ilustración 3: Naturaleza “Cíclica” y “administradora” del ciclo de vida de la ASITIC



La ilustración 3, propone una triple reflexión:

§ La de la naturaleza cíclica de la auditoría discreta.

§ El muy importante peso relativo de las tareas administrativas en la totalidad de

la carga de trabajo de la auditoría

§ Señalar el elevado acoplamiento que existe entre la fase 1 “evaluación de

riesgos” y la fase 3 “Presupuesto”.

De la ilustración 3 puede concluirse que se tenderá hacia un uso creciente de:

§ Auditoría integral, que minimice solapes y lagunas de unas y otras

intervenciones.

§ Auditoria continua, que acorte los ciclos detección – corrección y con ello

facilite reducir el riesgo.

§ Paquetes integrales de auditoría que “integren” las labores administrativas y

las técnicas.

§ HERRAMIENTAS EMBEBIDAS Se trata de herramientas construidas/adquiridas al tiempo que la

aplicación/sistema principal, normalmente por requerimiento de un ASITIC que

ha participado en el proyecto o por el buen hacer de los desarrolladores.

Automatizada

Continua

Integrada Ámbito

Embebida

Ilustración 4: Prospectiva Auditoría SITIC 2007 - 2017



Las herramientas embebidas representan probablemente la mejor apuesta por la

“sostenibilidad” de la presión auditora.

Herramientas intrusivas y no intrusivas

ü Intrusivas, en el sentido que insertan en el sistema algún servicio para

generar logs.

ü No intrusivas, se limitan a leer y reprocesar

Auditoría continua / auditoria en línea El objetivo simplemente, es asegurar

que las transacciones en tiempo real se benefician de monitorización y controles

también en tiempo real.

La auditoría continua exige servicios en línea. Puede ser total o por muestreo.

Puede abarcar el ciclo completo “captura de información-emisión del informe” o

ser más continua, en la captura y más discreta en la periodificación del informe

que será más frecuente que trimestral, lo que podría demandar recursos y

trabajo significativos. Las condiciones de éxito para una auditoría continua son

estrictas:

ü Alta automatización de la detección, con filtros sofisticados y alarmas en

tiempo real

ü Herramientas de auditoría avanzadas y paramétricas

ü Excelente y ágil interfaz con los auditores altamente calificados

ü Mínimo estorbo al auditado

La mayor dificultad, naturalmente está en la redacción de las reglas de los filtros

automáticos.Las técnicas de auditoría continua recorren:

ü El registro de transacciones

ü Las herramientas de consulta (query)

ü Los SGBD (DBMS), los Datawarehouses y el Dataminig

ü La Inteligencia Artificial y las redes Neuronales



Auditoría diferida “cooperativa”

La siguiente ilustración representa un ejemplo de Auditoría Cooperativa

ü El ASITIC, empleando una CAAT, extrae (en tiempo real o diferido) del

universo de transacciones una muestra de aquellas que según un “criterio”

son presuntamente anormales (por importe inusualmente alto o por

sospecha de fragmentación).

ü Una aplicación Web envía al auditado la transacción acompañada de una

solicitud de explicación y un formulario de respuesta.

ü El Auditado cooperativamente retorna el formulario desarrollado al ASITIC,

quien tabula las respuestas y las incorpora a su informe.

Selecciona con CAAT y Criterio una muestra de

transacciones

Aplicación Web remite la transacción seleccionada al

auditado e incorpora “máscara” (petición y cuestionario)

Tabula respuestas

Emite informe

AUDITADO

Universo de Transacciones

Todo este proceso puede desencadenarse en tiempo real o algo

muy diferido

1

2

3 5

4

6

7

Muestra

AUDITOR

Responde el cuestionario



§ HERRAMIENTAS EXENTAS Se propone plantear principalmente:

ü El amplio uso por los ASITIC de herramientas ofimáticas

ü De Herramientas específicamente diseñadas como de auditoría

Las herramientas exentas constituyen en conjunto de herramientas más usado

por ahora por los ASITIC.

Herramientas Horizontales (Ofimáticas) Todas las herramientas ofimáticas se

usan ampliamente por los auditores.

ü Groupwareson aplicaciones particularmente diseñadas para el trabajo en

equipo (basadas fundamentalmente, en un SGBD y una aplicación de

workflow), sobre las que pueden hacerse “integraciones” de productos

comerciales específicos de auditoría. El ejemplo más conocido de groupware

es Lotus Notes; hay en el mercado “integraciones” para auditoría SITIC.

ü GRC el software de Governance, Risk and Compliance (GRC) puede

considerarse parcialmente incluido en esta categoría ofimática, si bien en

general admite entradas propias de los sistemas de vigilancia.

Herramientas Verticales de Gestión Algunas ejemplos de productos y

empresas por tipos:

ü Audinfor, el decano producto español, actualmente Gesia 2001

ü BindViewsoftware de cumplimiento de seguridad, adquirida en el 2005 por

Symantec

ü Paisley, se define como una empresa de GRC, su producto AutoAudit es

una conocida herramienta vertical de gestión.

ü Protiviti Inc. Consultores de gestión de riesgos. Entre sustecnologías

Internal Audit Workflow Technology

ü RVR SystemsEmpresa de GRC. Se declaran especialistas en cumplimiento,

gestión del riesgo, rendimiento operativo y gobernanza TIC. Su plataforma

RVR admite cualquier colección de marcos estándares y normativas

internas y soporta COSO y COBIT.

ü Sistemas Expertos Demasiados numerosos y dispersos

ü TeamMate Herramientas de gestión de papeles de trabajo de

PricewaterhouseCoopers.

ü TripwireSe declaran líderes en auditoría y control de configuración.



Herramientas Verticales Técnicas

Las herramientas verticales técnicas son las GAS y otras más genéricas, pero

aplicables a Auditorías SITIC.

Las herramientas GAS(Generalized Audit Software) o CAAT (Computer Assisted

Audit Tools) se aplicanparagestionarlas CAATT (Computer Assisted Audit Tools

and Techniques). En la práctica los tres términos se usan como sinónimos,

siendo CAAT el más usado.

Son herramientas especializadas (verticales, ocasionalmente integradas en

suites). En general atacan a los archivos de datos y no a los programas de

aplicación, por lo que suelen ser invariantes de los programas y más objetivas en

cuantos a los datos (que es lo que importa en primer lugar).

Las más conocidas son ACL e IDEA ambas canadienses, buen ejemplo de un

nicho de especialización- IDEA y ACL se reparten el mercado profesional de los

ASITIC. Ambas tienen funcionalidades similares, que pueden resumirse en

capacidad de:

ü Importación de Datos, (no intrusiva) de archivos en una gran variedad

de soportes y codificación según una gran variedad de estándares,

opción de que la extracción sea completa o siga automáticamente una de

muy diversas pautas de muestreo.

ü Cálculo, creando “campos lógicos“, resultado de aplicar una fórmula a los

campos originalmente importados.

IDEA parece más moderno y productivo (menor carga de formación para el

usuario final, mas intuitivo y orientado a usuarios finales no técnicos) que ACL,

quien está más basado en comandos y orientado a usuarios con mayor nivel de

conocimientos técnicos. La palabra clave, una vez más es “productividad”.

Otras herramientas (no específicas de auditoría, pero de sólida tradición) son

SAS y SPSS. Se trata de software estadístico y estadístico- sociológico, muy

potente, con el que se pueden realizar parte de las tareas CAAT, con potencia y

productividad no tan alejadas de las herramientas GAS; es cuestión de la

capacitación de los ASITIC.



6.5. HERRAMIENTAS DE AUDITORIA SEGÚN SU PRODUCTIVIDAD

La naturaleza recurrente, generalmente cíclica de la auditoría y el peso relativo

de las labores administrativas y de gestión aconsejan cautela en la evaluación de

herramientas “técnicas” no integradas o fácilmente integradas en “paquetes de

gestión”.

“El auditor ejecutivo de auditoría debe asegurar que los recursos de auditoría

interna sean adecuados, suficientes y efectivamente asignados para cumplir con

el plan aprobado”.

Standardsfor IS Auditing (SISA)(Normas Generales para la Auditoria de los Sistemas de Información)

CÓDIGO TÍTULO PUNTOS CONCRETOS

S6 Realización de Labores de Auditoría 04, 05, 07, 08, 09 y 10

S7 Reporte 03, 07

S8 Actividades de Seguimiento 08, 09

IS Auditing Guidelines (ISAG)(Directrices de Auditoría)

CÓDIGO TÍTULO PUNTOS CONCRETOS

G3 Uso de CAAT Todo

G8 Documentación de la Auditoría Todo

G10 Muestras de Auditoría Todo

G15 Actividades de Seguimiento 2.3.1, 2.3.2, 2.6 y 4.1.2

Fuente: elaboración propia a partir de Normas y

Directrices publicadas por ISACA en su portal, a 24/06/2007

La Information SystemAudit and Control Association – ISACA ha generado

normas y directrices de particular autoridad.

6.6. HERRAMIENTAS DE AUDITORIA SEGÚN SU COBERTURA

Se refiere al ámbito, alcance o cobertura de casos, archivos, registros.

Claramente es deseable una gran cobertura (incluso total) cobertura coste –

eficaz y a veces se considera necesaria. Conseguirla depende de una hábil

combinación de herramientas embebidas y GAS/ CAAT.



7. TÉCNICAS DE AUDITORIA ASISTIDA POR COMPUTADORAS

Son de suma importancia para el auditor de TI cuando realiza una auditoría. CAAT

incluyen distintos tipos de herramientas, las que más se utilizan son los software de

auditoría generalizado, software utilitario, los datos de prueba y sistemas expertos de

auditoría. Las CAAT se pueden utilizar para realizar varios procedimientos de auditoría

incluyendo:

· Prueba de los detalles de operaciones y saldos.

· Procedimientos de revisión analíticos.

· Pruebas de cumplimiento de los controles generales de sistemas de información.

· Pruebas de cumplimiento de los controles de aplicación.

7.1. PLANIFICACIÓN DE CAAT

En la planificación de auditoría, el auditor de sistemas de información debe

considerar una combinación apropiada de las técnicas manuales y las técnicas

de auditoría asistidas por computadora. Cuando se determina utilizar CAAT los

factores a considerar son los siguientes:

— Conocimientos computacionales, pericia y experiencia del auditor de

sistemas de información.

— Disponibilidad de los CAAT y de los sistemas de información.

— Eficiencia y efectividad de utilizar los CAAT en lugar de las técnicas

manuales

— Restricciones de tiempo

7.2. UTILIZAR CAAT

El uso de los CAAT debe ser controlado por el auditor de sistemas de

información para asegurar razonablemente que se cumple con los objetivos de

la auditoría y las especificaciones detalladas de los CAAT.

El auditor debe:

· Realizar una conciliación de los totales de control.

· Realizar una revisión independiente de la lógica de los CAAT



· Realizar una revisión de los controles generales de los sistemas de

información de la organización que puedan contribuir a la integridad de

los CAAT.

Documentación CAAT Una descripción del trabajo realizado, seguimiento y las conclusiones acerca de

los resultados de los CAAT deben estar registrados en los papeles de trabajo de

la auditoria para permitir que el proceso se mantenga y se repita por otro auditor

de sistemas de información.

Informe CAAT

La sección del informe donde se tratan los objetivos, la extensión y metodología

debe incluir una clara descripción de los CAAT utilizados. Esta descripción no

debe ser muy detallada, pero debe proporcionar una buena visión general al

lector.

7.3. TIPOS DE HERRAMIENTAS CAAT

IDEALa herramienta IDEA, se puede disminuir costos de análisis, realzar la

calidad del trabajo y adquirir nuevos roles. Con esta herramienta se puede leer,

visualizar, analizar y manipular datos; llevar a cabo muestreos y extraer archivos

de datos desde cualquier origen ordenadores centrales a PC, incluso reportes

impresos.

ÁREAS DE USO DE LAS HERRAMIENTAS

• Auditoría externa de estados financieros.

• Auditoria Interna

• Detección de Fraude

• Informes y Análisis de gestión

• Transferencias de Archivos

• Industria

• Organizaciones de ventas al por menor

• Entes gubernamentales

• Bancos e instituciones financieras



1. DEFINICIÓN

Es el proceso que permite medir, asegurar, demostrar, monitorear y registrar los accesos

a la información almacenada en las bases de datos incluyendo la capacidad de

determinar:

· Quién accede a los datos

· Cuando se accedió a los datos

· Desde que dispositivo / aplicación

· Desde que ubicación en la Red

· Cuál fue la sentencia SQL ejecutada

· Cuál fue el efecto del acceso a la base de datos

La auditoría de base de datos es uno de los procesos fundamentales para apoyar la

responsabilidad delegada a la IT frente a las regulaciones y su entorno de negocios o

actividad.

2. PUNTOS A LOS QUE SE ENFOCA EL AUDITOR

2.1. Control y Seguridad de la Base de Datos Que se tenga siempre una lista de los usuarios así como también diferentes

perfiles, tipos de usuarios, documentación sobre cambios, accesos limitados,

buscar e identificar que cada uno esté en su puesto, que administradores tienen

acceso, los programadores no deben tener acceso a la base real, que usuarios

tienen acceso a toda la base de datos, en caso de que no tenga los perfiles el

auditor debe de identificarlos e identificar que cada persona esté en su puesto.

2.2. Diseño Identificar que realmente se deje una trayectoria o documentación sobre la base

de datos, que tenga diccionario de base de datos y cada uno tenga los datos

adecuados, lista de los objetos.

Auditoría de Base de Datos



2.3. La investigación de la arquitectura Se refiere al sistema operativo y el software para crear una base de datos,

además de que deban ser compatible, chequear estudios previos para escoger el

software adecuado, verificar que los componentes que se compren sean los

adecuados para la compatibilidad) el ciclo de vida de una base de datos (cuánto

tiempo durará el sistema o base de datos que se diseñó), estudio de la

información este realmente de acuerdo con la empresa que está utilizando en este

momento, si se cuenta con la documentación de la reingeniería aplicada, tener

almacenados ciertos archivos que se modifican, verificar que exista un oficio para

poder hacer la modificación con las autorizaciones necesarias, verificar que exista

registro de todo.Dentro de la auditoría de base de datos tenemos dos formas de

auditoría, éstas son auditoría del cliente y auditoría en el motor de base de datos.

3. OBJETIVOS GENERALES DE AUDITORÍA DE BASE DE DATOS Disponer de mecanismos que permitan tener trazas de auditorías completas y

automáticas relacionadas con el acceso a las bases de datos, incluyendo la capacidad

de generar alertas con el objetivo de:

· Mitigar los riesgos asociados con el manejo inadecuado de los datos.

· Apoyar el cumplimiento regulatorio.

· Satisfacer los requerimientos de los auditores.

· Evitar las acciones criminales.

· Evitar las multas por incumplimiento.

La importancia de la auditoría del entorno de base de datos radica en que es el punto de

partida para poder realizar la auditoría de las aplicaciones que utiliza esta tecnología.

4. PLANIFICACIÓN DE LA AUDITORÍA DE BASES DE DATOS

Cuando se habla de planificación, generalmente no enfocamos a un plan, metódicamente

organizado y frecuentemente de gran amplitud, para obtener un objetivo determinado.

En este sentido, la planificación de la auditoría de base de datos, se va a referir a la serie

de pasos que debemos cubrir para determinar los aspectos e identificar los recursos y así

establecer el plan de trabajo, para lograr el alcance esperado.



Por lo tanto, el auditor de base de datos debe:

· Identificar todas las bases de datos de la Organización.

· Clasificar los niveles de riesgos de los datos en las bases de datos.

· Analizar los permisos de acceso.

· Analizar los controles de acceso existentes a las bases de datos.

· Establecer los modelos de auditoría de bases de datos a utilizar.

· Establecer las pruebas a realizar para cada base de datos, aplicación y/o usuario.

5. IMPORTANCIA DE LA AUDITORÍA DE BASE DE DATOS

Con la auditoría de base de datos se busca monitorear y garantizar que la

información está segura, además de brindar ayuda a la organización para detectar

posibles puntos débiles y así tomar precauciones para resguardar aún más los

datos.

La auditoría de base de datos es importante porque:

· Toda la información financiera reside en base de datos y deben existir

controles relacionados con el acceso a las mismas.

· Se debe poder mostrar la integridad de la información almacenada en las

bases de datos.

· Las organizaciones deben mitigar los riesgos asociados a la pérdida de datos

y a la fuga de información.

· La información confidencial de los clientes, son responsabilidad de las

organizaciones.

· Los datos convertidos en información a través de bases de datos y procesos

de negocio, representan el negocio.

· Las organizaciones deben tomar medidas mucho más allá de asegurar sus

datos. Deben monitorearse perfectamente, a fin de conocer quién o qué les

hizo exactamente qué, cuándo y cómo.



6. AUDITORÍA ORACLE

En el caso de Oracle Database, la auditoría es un conjunto de características que

permite al administrador de la base de datos y a los usuarios hacer un seguimiento del

uso de la base de datos.

El administrador de base de datos puede definir la actividad de auditoría

predeterminada, obteniendo el registro a detalle del usuario que ejecutó la operación la

fecha y hora.

La información de las auditorías se almacena en el diccionario de datos, en la

tablaSYS.AUD$ o en la pista de auditoría del sistema operativo llamado con una pista

de auditoría del sistema operativo. Se pueden auditar tres tipos de acciones:

· Intentos de inicio de sesión.

· Accesos a objetos

· Acciones de la base de datos

7. NIVELES DE AUDITORÍA

7.1. NIVEL BÁSICO

Este nivel contempla o corresponde al nivel de seguridad más bajo. Es por esto

recomendable que cualquier base de datos tenga este nivel como mínimo, ya que

así se cubren los aspectos de seguridad básica.

Es por esto recomendable que la organización tenga registrado en un documento

de seguridad ya sea de tipo electrónico o papel, los elementos de la base de

datos y las operaciones que se pueden ejecutar sobre dichos elementos, detalle

de usuarios y sus roles según como lo requiera la organización.

Se requiere indudablemente definir la restricción de acceso a los datos a los

usuarios según las operaciones que se realicen mediante diversos mecanismos y

registrarlas en dicho documento de seguridad.



Debe existir un administrador de la gestión de seguridad que pueda controlar los

aspectos de auditoria y acceso al sistemas por medio de auditoria genérica,

auditando dicho acceso y controlando el número de intentos. Es la auditoría

mínima que se debería hacer para controlar el acceso del personal.

Con esta información y los horarios de trabajo de los usuarios se pueden

investigar las anomalías mediante alertas y procedimientos almacenados.

Otro aspecto importante es contar con un repositorio activado donde que el

registro de la auditoria y paralelamente establecer un tiempo prudencial que va a

estar almacenados dichos datos en consenso con la gerencia de la organización.

7.2. NIVEL MEDIO

Aquí se habla de un nivel de seguridad mayor si se quiere para empresas

medianas grandes que se manejen datos de mucha importancia y requieren de

herramientas de control a mayor escala.

Es necesario que exista un responsable distinto del administrador que se

encargue de evolucionar las políticas de auditoria y que aplique criterios de

investigación ante los hechos excepcionales y datos de auditoria, apoyados en

las diversas herramientas que ofrezca el manejador en cual tengan su base de

datos.

Adicionalmente es preciso contar con un esquema de respaldo de la base de

datos en donde se ejecuten las debidas copias de seguridad y limpieza de las

tablas de auditoría.Se debe auditar y vigilar los intentos de realización de

operaciones, autorizadas o no, sobre objetos de la base de datos personales con

el objetivo de limitar dichos intentos por parte de un usuario.

Se debe auditar los intentos fallidos de conexión del usuario auditor, único

usuario que puede ver el contenido de las tablas de auditoría, usando el envío de

mensajes tanto al propio auditor como al administrador de la base de datos cada

vez que esto ocurra. Separar el archivo de transacciones o de log en otro disco

dentro del servidor de base de datos para obtener mayor eficiencia, en el caso

de ser una base de datos muy concurrente.



7.3. NIVEL ALTO

Este corresponde al mayor nivel de seguridad, especial para las grandes

empresas que requieren resguardar su valor más importante, incluyendo no solo

datos de la organización sino datos personales, de mercado, tendencias

económicas, etc., por lo que se requiere una correcta categorización de los datos

sensibles para la empresa.

Se deben auditar los intentos de actualización y borrado de los datos sensibles

para la organización por parte de los usuarios, ya sean autorizados o no

autorizados. Cada vez que se actualicen dichos datos, sin frecuencia límite, el

auditor deberá investigar este hecho sobre quién ha realizado las

modificaciones, desde qué máquina y cuándo, por medio de procedimientos

almacenados, con el objetivo de detectar irregularidades dentro de la plantilla de

la organización.

Manejar herramientas de auditoria como la de grano fino que recoge la

información mediante trazas y que va a permitir vigilar los movimientos

susceptibles de ser investigado y vigilados, utilidades que coloquen alertas con

frecuencia de actualización de datos o detección de procedimientos

almacenados, con el objetivo de detectar irregularidades dentro de la plantilla de

la organización.Se deben tener copias de seguridad en ubicaciones diferentes,

repositorio de tablas de auditoría en servidor externo al de la base de datos.

CUADRO COMPARATIVO ENTRE LOS NIVELES DE AUDITORÍA

NIVELES

VENTAJAS

DESVENTAJAS

BAJO

Se cuenta con documentación que facilita

detección de errores, permisos, cambios.

La Gestión de Privilegios mediante roles

para filtrar acceso a los objetos y

estructuras de la BD.

El control de acceso a la BD permite

controlar las conexiones a la BD, para

investigación de errores o vulnerabilidad

El control de acceso a la BD se

puede descontrolar si sube el

nivel de conexiones y

desconexiones

Los Logs y registros de auditoria

deben ser constantemente

revisados por si ocurren fallas

de espacio.



MEDIO

Control casi absoluto de las operaciones

de los usuarios.

Cada operación que el auditor considera

importante es auditada.

Permite detectar y configurar infracciones

Mejora el rendimiento del servidor debido

a que se separan los archivos de

transacciones en discos diferentes-

Alto nivel de gasto económico

en personal e infraestructura de

auditoría, por esto la

organizaciones debe ser

rentable con un nivel medio o

alto del flujo de información.

ALTO

Rápida recuperación de los datos en

virtud del esquema de respaldo

con el que se cuenta.

Mejora del rendimiento de la BD por tener

externos los logs de auditoría

Detección Rápida de operaciones que

pueden hacer vulnerable el sistema son

detectadas gracias a los elementos de

auditoría como políticas de auditoría y

procedimientos almacenados.

Mejora de la seguridad debido al uso de

múltiples alertas, que permiten la

detección inmediata en caso de ataques.

El costo en infraestructura es

mayor.

Configuración de alertas de

forma manual, representa altos

costos en tiempo y personal; y

la creación de alertas usando

herramientas de auditoría, con

un coste económico

relativamente alto

8. TIPOS DE AUDITORÍA

Dentro de la auditoría de base de datos tenemos varias formas de ejecutar la auditoría,

entre estas tenemos:

8.1. Auditoría del Cliente

La auditoría de cliente es la que no pertenece al motor de la base de datos.

Es aquella cuyo desarrollo es realizado por el programador de la aplicación o de

la base de datos, no por el administrador o auditor de la base de datos.

Podemos distinguir dos subtipos de auditoría de cliente: auditoría de aplicativo y

auditoría de disparadores.



Auditoría de aplicativo

La auditoría de aplicativo es el servicio que permite analizar las aplicaciones

forma independiente a la base de datos, y su ámbito estará delimitado al trabajo

diario de la aplicación y los procesos en los que participe.

Ofrece la ventaja de la independencia, puesto que se puede desarrollar en el

ámbito de nuestra aplicación informática los controles necesarios y adecuados a

nuestras necesidades de auditoría sin necesidad de tener que acceder al motor

de la base de datos; esta manera de auditar permite crear procesos de control

más concretos y por tanto más eficaces.

Si se hablan de desventajas se tendrán aplicaciones menos flexibles dado que el

desarrollo de soluciones de control para la auditoria de bases de datos será más

laborioso y tendremos más problemas para el mantenimiento y actualización de la

aplicación.

Auditoría de Disparadores

Los disparadores son rutinas o procedimientos que se activan cuando se

producen un evento en la base de datos y que se usan para añadir lógica o

restricciones a la misma.

Pueden ser utilizados para establecer reglas de integridad como base de datos

externas como por ejemplo (no grabar un pedido si el cliente no se encuentra

registrado en la base de datos de pedido).

Para el caso de auditoría, va a ser de utilidad para la programación de

disparadores que nos permitan registrar en una tabla de auditoría los cambios

que ejecutan los usuarios como inserción, actualización o eliminación de datos, la

identidad de quien los llevó a cabo y otros datos de interés: cómo?, cuándo se

realizaron?, desde dónde?, etc., para que posteriormente el auditor pueda

analizar las operaciones

Usar este recurso nos aporta grandes ventajas, ya que de una manera muy

sencilla y directa va quedando un registro de estas operaciones tan frecuentes en

una base de datos.



8.2. Auditoría en el motor de la base de datos

La auditoría del entorno de base de datos corresponde al punto de partida de

para realizar la auditoria de aplicaciones. Es por esto que muchos auditores

dentro de las organizaciones están tomando cada vez mayor interés con respeto

a las operaciones que se ejecutan sobre los objetos de la base de datos. Es por

esto que este tipo de auditoría está basada en políticas diseñadas de tal forma

que sea posible auditar un objeto de la base de datos en unas determinadas

circunstancias: bajo el uso de una o varias operaciones definidas por el auditor.

De esta forma, se puede definir la política de auditoría como la información que

necesita el motor de la base de datos para auditar. Indica qué hay que auditar,

cómo y cuándo.

De lo que se deriva el inexorable vínculo entre auditoría y seguridad de la

información ya que se crean controles de acceso a los sistemas que después nos

proveen de información auditable en términos de seguridad.

El proceso de auditoría de bases de datos debe ser independiente de las

aplicaciones que hacen uso de la información contenida en ella, así que a la hora

de evaluar los costos de la realización de la auditoría sólo tendremos que tener

en cuenta el coste que se genera en el proceso de recogida de la información y el

costo del procesamiento de la información que sirve de base para el análisis y

estudio del auditor.

Existen niveles diferentes para este tipo de auditoría dependiendo de la forma

que se recopile los datos, distinguiendo de esta forma:

Agregada:Estadísticas sobre el número de operaciones realizadas sobre un

objeto de Base de Datos, por cada usuario. Como cualquier estadística, su

medida puede hacerse con técnicas censales y muestrales.

· Censal El gestor toma datos de todas las operaciones que recibe, según el gestor,

esto se ejecutará en paralelo a las operaciones auditadas.

· Muestral Periódicamente se toman una muestra de datos.



Detallada:Incluye todas las operaciones realizadas sobre cada objeto.

· Cambios:El contenido de los datos. Debe contener la imagen de los datos

anteriores y posteriores a la operación del cambio.

La estructura de los objetos que componen la aplicación.

· Accesos:Limitada a las operaciones de acceso al contenido de los datos y

tiene dos niveles de detalle:

Operación (sentencia SQL que se ejecutó) y resultado (los datos que se

vieron en la sentencia SQL ejecutada).

Otros:

· Copias de seguridad y recuperaciones.

· Reconstrucción de un estado de los datos.

9. POLÍTICAS DE AUDITORÍA

Las políticas de auditoría son el conjunto de normas, reglas, procedimientos y prácticas

que van a regular la protección de la información de la base de datos, contra la perdida

de confidencialidad, integridad o disponibilidad, tanto de forma intencional como

accidental, por lo tanto corresponde a los mecanismos que permitan resguardar todos

estos elementos, por lo cual se diseñaran los aplicativos necesarios, haciendo la

salvedad que no corresponde de forma estricta a un conjunto de validaciones, sino que

evoluciona según los riesgos detectados por lo tanto también existe la posibilidad de

ejecución de actividades de auditoría producto de la detección de actividades de origen

sospechosos a través de una auditoría más específica con respecto a los eventos que se

quieran controlar.

Por lo tanto existen diversos elementos que pueden establecerse como políticas para la

protección de la información como:

§ Control de Acceso: Mediante estas políticas se establece el control sobre la

autenticación e identificación los usuarios que conectan a la base de datos, con el fin

de otorgar los accesos solos a los usuarios que estén autorizados, se registran los

inicios de o cierres de sesión de un usuario desde otro equipo.

Cuando se decide tener activa esta opción se puede especificar si se quiere auditar:



ü Aciertos: Generan un entrada cuando el usuario intenta iniciar la sesión y tiene

éxito, lo que ofrece información útil para establecer la responsabilidad y para la

investigación tras el incidente, de forma que se pueda determinar quién consiguió

iniciar sesión y en qué equipo

ü Errores: Generan una entrada de auditoría cuando en un intento de inicio de

sesión de cuenta se produce un error, lo que resulta útil para la detección de

intrusos, intentos de violación de seguridad, también se tiene la posibilidad de

configurar una condición de negación de servicio que limite las veces de intento

de conexión y las entradas de registro de sucesos de seguridad.

§ Niveles de Acceso a la BD: Revisión del tipo de acceso a de los usuarios, si el

acceso es temporal, si está permanentemente conectado en cualquier momento o

rangos de horas en días autorizados. De acuerdo al espacio: desde cualquier

máquina de la red, cualquier máquina registrada, máquinas explícitamente

autorizadas, hora y usuario

§ Uso de Privilegios Aquí se revisaría y regularía el tipo de operaciones que se

pueden ejecutar sobre la base de datos como (insertar, crear, modificar, actualizar,

eliminar) sobre los datos o las estructuras de datos, de acuerdo al usuario que

ejecuta la operación. De esta forma se estarían bloqueando las funciones que no son

inherentes al usuario con respecto a estructuras y datos de la BD

§ Roles: Cuando se habla de roles se refiere a la configuración del conjunto de

privilegios para un usuario que son agrupadas mediante una sola función

denominada rol con el fin de delimitar las acciones que el mismo puede ejecutar

sobre la BD.

§ Acceso a Objetos: Registro de las operaciones realizadas sobre objetos de las

Base de Datos como tablas, vistas, procedimientos etc., con detalle de operaciones

como borrado

§ Aplicaciones de Usuario: Auditoría sobre las medidas de seguridad o validaciones

que se utilizan en las herramientas de interfaz gráficas de usuario con el fin de

proteger la carga de datos errónea provocada por los usuarios.

§ Diccionario de Datos: Corresponde a los procesos de auditoría que resguardan la

integridad de los datos del repositorio.



Otros procedimientos que respaldarían y otorgarían consistencia a los procesos

definidos como auditables son los siguientes:

· Ejecución de Copias de Seguridad de las Estructuras de datos

· Procedimientos de recuperación de datos que aseguren la disponibilidad

· Políticas de control de los accesos concurrentes según el número de usuarios que

tiene la BD

· Políticas de control de cambio para ejecutar actualizaciones, corrección de errores

y diversos cambios a la BD con la aprobación de su respectivo comité.

10. IMPLEMENTACIÓN DE AUDITORÍA

10.1. Definir que se quiere auditar

En una base de datos hay distintas actividades que se pueden auditar según las

necesidades propias del negocio y el análisis previo realizado.

Justamente para la configuración de los distintos tipos de auditoría, es oportuno y

correcto el uso del comando audit que permite configurar distintos tipos de

Auditoría. Este comando puede utilizarse aunque no esté activada la auditoría de

base de datos, aunque para obtener los resultados de dicha auditoría hay que

definir correctamente el parámetro ya explicado de inicialización audit_trail.

10.2. Pasos para habilitar la auditoría:

1. Identificar los objetos u estructuras de datos que deben ser auditadas con el

fin de satisfacer los requerimientos de información necesarios para su

posterior análisis.

2. Determinar qué elementos y acciones sobre dichos elementos se desea

registrar.

3. Utilizar el módulo de auditoría para registrar la información definida en los

puntos anteriores y de esta manera habilitar la auditoría sobre dichos objetos

4. Verificar que las pistas de auditoría definidas sirvan para el análisis que se

desea realizar mediante pruebas.

5. Repetir los pasos anteriores hasta lograr que se genere la información

deseada en el repositorio de auditoría.



10.3. Administrar pista de auditoria

La generación de las pista de Auditoría nos permite mantener el historial de los

cambios que se realizan de los datos e identificar que se cambió, quién y cuándo

se ejecutó el cambio. Este es el punto de partida para el análisis de la información

con respecto a cómo se obtuvo el valor actual de cualquier elemento.

10.4. Análisis de la información Recolectada

Consiste en cotejar y razonar la información obtenida mediante el acceso a al

repositorio de la auditoria con herramientas de consulta como el Discoverer que

viene a ser una herramienta que permite generar información propia a partir de los

datos existentes o para solventar problemas específicos con un fin preciso (ad

hoc), esto para el análisis del negocio, crear escenarios, observar tendencias, etc.

Es muy posible que la información que se requiera no se tenga en línea o con la

exactitud que se requiere ya que es necesario depurar la información almacenada

en el repositorio por restricciones de espacio. Es por esto que cuando se requiere

investigar algún elemento en específico se puede solicitar al administrador o al

operador la recuperación de la información.

10.5. Monitorear el crecimiento de la pista de Auditoría

El uso del proceso auditoría a la base datos se tiene falsamente percibido como

complejo y lento y la razón de esto suele ser por desconocimiento, debido a que

es lógico que si se tienen activadas múltiples opciones a auditar, la pista

resultante de dicha auditoría pueden ser grande y compleja para descifrar y

administrar. Por otra parte, si se utiliza auditoría en todas las tablas y vistas de la

BD seguramente se va a ver afectado el rendimiento, ya que por cada operación

se escribe un registro en la tablas de auditoría, lo que sigue contribuyendo a la

ralentización de las operaciones que se ejecuten dentro de la BD.

Por lo tanto es vital que cuando se utilicen los recursos de la herramienta de

auditoría se planifique y ejecute de manera sencilla y prudencial, basados en el

seguimiento de objetos y objetos críticos de la BD, por esto se requieren una

análisis previo de posibles abusos que se pueden realizar y de las acciones que

se van a dictaminar, de forma tal que esto genere un informe que permita filtrar

las pista de auditoría para estas acciones.



10.6. Proteger la pista de Accesos no autorizados

Es necesaria la aplicación de mecanismos adecuados para proteger datos

sensitivos no solo en este caso de las pistas de auditoría, sino de los datos e

información almacenados y transmitidos a través de las tecnologías de

información, que están sujetos a las amenazas provenientes de accesos, usos,

apropiación y alteración no autorizados, transmisiones fraudulentas, caída o

destrucción del servicio, y requieren de mecanismos adecuados para

salvaguardarlos;



CheckList e Informes de Auditoria

Empresa: __________________________________________________ Fecha: ____________________ Encargado de la Auditoria: __________________________________ 1) ¿Existe una persona designada para la administración de Base de Datos?

Si ( ) No ( ) En caso de la respuesta ser negativa explique por qué? ______________________________________________________________________________________________________________________________________

¿Cuáles son sus funciones? ___________________________________________________________________ ______________________________________________________________________________________________________________________________________

2) ¿Cuáles personas tienen acceso para hacer cambios a la biblioteca del sistema administrativo de

base de datos? __________________________ ______________________________ __________________________ ______________________________ __________________________ ______________________________

3) ¿Existen restricciones para el ingreso o inclusión de los datos en las estructuras de Base de Datos? SI ( ) NO ( )

4) ¿Cuáles son las restricciones?

_________________________________________________________________________________________________________________________________________________________________________________________________________

5) ¿Cumplen con los lineamientos (documentación, justificación y autorización)? SI ( ) NO ( )

6) Se cuenta con procedimientos escritos para la recuperación de base y estructura de datos en caso de una destrucción total o parcial. ¿Cuáles?

SI ( ) NO ( )Detalle: ______________________________________________________________________________________________________________________________________________________

7) ¿Se dispone de mecanismos de seguridad que garanticen la protección contra la destrucción accidental o deliberada?

SI ( ) NO ( )¿Cuáles? ______________________________________________________________________________________________________________________________________________________

8) ¿Se dispone de mecanismos de seguridad que garanticen la protección contra los accesos no autorizados? ¿Cuáles?

SI ( ) NO ( )¿Cuáles?



___________________________________________________________________________________________________________________________________________________________________________________________________________________________________

9) ¿Están estos mecanismos avalados por el personal de Auditoría de Sistemas y Seguridad de

Activos de Información? SI ( ) NO ( )

10) ¿Existen mecanismos de custodia?

SI ( ) NO ( ) 11) ¿Existe una persona designada para la administración de Base de Datos?

SI ( ) NO ( ) 12) ¿Cuáles son sus funciones?

_________________________________________________________________________________________________________________________________________________________________________________________________________

13) ¿Cuáles personas tienen acceso para hacer cambios a la biblioteca del sistema administrativo de

base de datos? __________________________ ______________________________ __________________________ ______________________________ __________________________ ______________________________ __________________________ ______________________________

14) ¿Existen restricciones para el ingreso o inclusión de los datos en las estructuras de Base de Datos?

SI ( ) NO ( ) 15) ¿Cuáles son las restricciones?

__________________________ ______________________________ __________________________ ______________________________ __________________________ ______________________________

16) ¿Cumplen con los lineamientos (documentación, justificación y autorización)? SI ( ) NO ( )

17) ¿Se cuenta con procedimientos escritos para la recuperación de base y estructura de datos en

caso de una destrucción total o parcial? ¿Cuáles? SI ( ) NO ( )¿Cuáles?

__________________________ ______________________________ __________________________ ______________________________ __________________________ ______________________________

18) ¿Se dispone de mecanismos de seguridad que garanticen la protección contra la destrucción accidental o deliberada? ¿Cuáles?

SI ( ) NO ( )¿Cuáles? __________________________ ______________________________ __________________________ ______________________________ __________________________ ______________________________




SI ( ) NO ( )¿Cuáles? __________________________ ______________________________ __________________________ ______________________________ __________________________ ______________________________

20) ¿Están estos mecanismos avalados por el personal de Auditoría de Sistemas y Seguridad de Activos de Información?

SI ( ) NO ( ) 21) ¿Existen mecanismos de custodia?

SI ( ) NO ( )

22) ¿Se aprueban los cambios, modificaciones de los programas e incorporación de nuevas versiones mediante controles de cambio aprobado por los administradores y su respectivo comité de cambios?

SI ( ) NO ( )

23) ¿Se cuenta con controles y procedimientos para prevenir el acceso a la base de datos? SI ( ) NO ( )Cuáles?

__________________________ ______________________________ __________________________ ______________________________ __________________________ ______________________________

24) ¿Se cuenta con controles y procedimientos para prevenir el acceso a la biblioteca de la base de datos? ¿Cuáles?

SI ( ) NO ( )Cuáles? __________________________ ______________________________ __________________________ ______________________________ __________________________ ______________________________

25) ¿Se cuenta con controles y procedimientos para prevenir el acceso programas de la base de

datos? ¿Cuáles? SI ( ) NO ( )Cuáles? __________________________ ______________________________ __________________________ ______________________________ __________________________ ______________________________

26) ¿Se cuenta con controles y procedimientos para prevenir el acceso a las aplicaciones de los

usuarios de la base de datos? ¿Cuáles? SI ( ) NO ( )Cuáles? __________________________ ______________________________ __________________________ ______________________________ __________________________ ______________________________

27) ¿Se cuentan con normas para la definición, control, actualización y monitoreo de las bases y

estructuras de datos? SI ( ) NO ( )



28) ¿Cuáles son los mecanismos que aseguran el cumplimiento de las normas de definición, control, actualización y monitoreo de las bases estructuras de datos?

__________________________ ______________________________ __________________________ ______________________________ __________________________ ______________________________

29) ¿Cuál es la frecuencia con las que se ejecutan las copias de seguridad de las estructuras y base

de datos? Diarias: ___ Semanales: ___ Trimestrales: ___ Semestrales: ___ Anules: ___

30) ¿Existen procedimientos de recuperación que aseguren la disponibilidad de la base de datos?

¿Cuáles? SI ( ) NO ( )¿Cuáles? __________________________ ______________________________ __________________________ ______________________________ __________________________ ______________________________

31) ¿Cuáles son los niveles de control de acceso a la información? __________________________ ______________________________ __________________________ ______________________________ __________________________ ______________________________

32) ¿Quiénes son las personas autorizadas de actualizar la base de datos?

__________________________ ______________________________ __________________________ ______________________________ __________________________ ______________________________

33) ¿Cuáles personas tienen acceso para hacer cambios a la biblioteca del sistema administrativo de base de datos?

__________________________ ______________________________ __________________________ ______________________________ __________________________ ______________________________

34) ¿Existen restricciones para el ingreso o inclusión de los datos en las estructuras de Base de

Datos? SI ( ) NO ( )¿Cuáles? __________________________ ______________________________ __________________________ ______________________________

35) ¿Se cumplen con los lineamientos (documentación, justificación y autorización)? SI ( ) NO ( )

36) ¿Se cuenta con procedimientos escritos para la recuperación de base y estructura de datos en

caso de una destrucción total o parcial? ¿Cuáles? SI ( ) NO ( )¿Cuáles? __________________________ ______________________________ __________________________ ______________________________



37) ¿Se dispone de mecanismos de seguridad que garanticen la protección contra la destrucción accidental o deliberada? ¿Cuáles?

SI ( ) NO ( )¿Cuáles? __________________________ ______________________________ __________________________ ______________________________


SI ( ) NO ( )¿Cuáles? __________________________ ______________________________ __________________________ ______________________________

39) ¿Están estos mecanismos avalados por el personal de Auditoría de Sistemas y Seguridad de Activos de Información?

SI ( ) NO ( ) 40) ¿Existen mecanismos de custodia?

SI ( ) NO ( )

41) ¿Se aprueban los cambios, modificaciones de los programas e incorporación de nuevas versiones mediante controles de cambio aprobado por los administradores y su respectivo comité de cambios?

SI ( ) NO ( )

42) ¿Se cuenta con controles y procedimientos para prevenir el acceso a la base de datos? ¿Cuáles? SI ( ) NO ( )¿Cuáles? __________________________ ______________________________ __________________________ ______________________________

43) ¿Se cuenta con controles y procedimientos para prevenir el acceso a la biblioteca de la base de

datos? ¿Cuáles?

SI ( ) NO ( )¿Cuáles? __________________________ ______________________________ __________________________ ______________________________

44) ¿Se cuenta con controles y procedimientos para prevenir el acceso programas de la base de datos? ¿Cuáles?

SI ( ) NO ( )¿Cuáles? __________________________ ______________________________ __________________________ ______________________________ __________________________ ______________________________

45) ¿Se cuenta con controles y procedimientos para prevenir el acceso a las aplicaciones de los usuarios de la base de datos? ¿Cuáles?

SI ( ) NO ( ¿Cuáles? __________________________ ______________________________ __________________________ ______________________________



46) ¿Se cuentan con normas para la definición, control, actualización y monitoreo de las bases y estructuras de datos?

SI ( ) NO ( )

47) ¿Cuáles son los mecanismos que aseguran el cumplimiento de las normas de definición, control, actualización y monitoreo de las bases estructuras de datos?

__________________________ ______________________________ __________________________ ______________________________

48) ¿Cuál es la frecuencia con las que se ejecutan las copias de seguridad de las estructuras y base de datos?

Diaria___ Semanal___ Mensual___ Trimestral___ Semestral___ Anual___

49) ¿Existen procedimientos de recuperación que aseguren la disponibilidad de la base de datos?

¿Cuáles? SI ( ) NO ( ) ¿Cuáles? __________________________ ______________________________ __________________________ ______________________________

50) ¿Existen mecanismos que garanticen la corrección, integridad y consistencia de las relaciones en la base de datos?

SI ( ) NO ( ) 51) ¿Existe un checklist que ayude a la reactivación del servicio luego de una falla mayor?

SI ( ) NO ( )

52) ¿Se realiza mantenimiento a las bases de datos donde, se realicen organización de la estructura y así administrar mejor el espacio en disco y las relaciones de las relaciones de las tablas?

SI ( ) NO ( )

53) ¿Existencia de un procedimiento que garantice el cumplimiento de los procedimientos definidos para los mantenimientos de las bases de datos?

SI ( ) NO ( )

54) ¿Existe una herramienta de monitoreo que ayude al desempeño óptimo de la base de datos? SI ( ) NO ( )

55) La herramienta de monitoreo se encarga de: o Manejos de accesos y estructura de la base de datos Si ___ No___ o Limitación de acceso por usuario. Si ___ No___ o Limitación de los cambios y actualización de archivos. Si ___ No___ o Registrar las transacciones de accesos y cambios para control, auditoria y

recuperación. Si ___ No___ o Limitación de usuarios a las bases de datos de pruebas. Si ___ No___

56) ¿Se posee una bitácora de acciones en la base de datos y sus estructuras?

SI ( ) NO ( )



57) La bitácora cuenta con registro de: o Todos los datos borrados de las bases de datos. Si ___ No___ o Origen (interno o externo) de todas las transacciones. Si ___ No___ o Utilización de la base de datos por personas distintas a los usuarios que tienen

accesos autorizados a la aplicación. Si ___ No___ o Violaciones de seguridad con respecto a las bases de datos. Si ___ No___ o Reorganizaciones o sintonizaciones de las bases de datos. Si ___ No___ o Uso de las utilerías de las bases de datos. Si ___ No___ o Estado del sistema que pueda ser requerido para reinicio o cambio de datos erróneos.

Si ___ No___ 58) ¿Existen manuales de procedimientos para todas las aplicaciones del manejo de los programas

que acceden a las estructuras y bases de datos.? SI ( ) NO ( )

59) ¿Se encuentran estandarizados toda la documentación de todos los programas y aplicaciones

desarrolladas internas como externas, antes de que las mismas entren en producción? SI ( ) NO ( )

60) ¿Existe documentación de los estándares de prueba de programas que especifiquen los criterios

para generar, revisar y resguardar datos de pruebas? SI ( ) NO ( )

61) ¿Se utiliza el diccionario de datos para mantener el rastreo de los datos a través de las

aplicaciones que lo emplean? SI ( ) NO ( )

62) ¿Existe control de acceso al lugar en el cual se encuentran almacenados los archivos de las

bases de datos.? SI ( ) NO ( )

63) Las personas autorizadas, ¿tienen dicha autorización por escrito, manual de descripción de cargos y funciones, otro documento?

SI ( ) NO ( )

64) Mostrar la documentación que certifique los procedimientos de respaldo y recuperación que se utilizaran en caso de falla en las bases de datos, o de destrucción parcial o total.

SI ( ) NO ( ) 65) Solicitar documentación donde se verifique que los procesos de respaldo, recuperación y

restauración de la información de las bases de datos fueron probadas incluso antes de entrar en producción?

SI ( ) NO ( )



SOFTWARE PARA AUDITORÍA INTERNA, AUDITORÍA DE SISTEMASY CALIDAD DE

DATOS

1. ACL: está orientado a soportar integralmente las funciones del auditor interno, del

auditor de sistemas y del investigador de fraudes. ACL es el producto líder en CAATT

(ComputerAssistedAudit Tools and Techniques) con el más alto desempeño y

flexibilidad. Puede barrer, filtrar, seleccionar y combinar grandes volúmenes de

información de grandes bases de datos residentes en Mainframes, UNIX, AS/400 y PC a

la más alta velocidad.

2. Trillium Software: permite la administración continua de la calidad de datos

garantizando su consistencia y estandarización.

3. AudtoAudit: es un sistema completo para la automatización de la función de Auditoría,

soportando todo el proceso y flujo de trabajo, desde la fase de planificación, pasando por

el trabajo de campo, hasta la preparación del informe final. Además del manejo de

documentos y papeles de trabajo en forma electrónica, AutoAudit permite seguir la

metodología de evaluación de riesgos a nivel de entidad o de proceso, la planificación de

auditorías y recursos, seguimiento de hallazgos, reportes de gastos y de tiempo, control

de calidad, y cuenta con la flexibilidad de un módulo de reportes "ad hoc". Todos estos

módulos están completamente integrados y los datos fluyen de uno a otro

automáticamente.

4. Pro AuditAdvisor: Es una herramienta de papeles de trabajo electrónicos (digitales).

Con esta herramienta se puede: Definir el modelo del negocio en múltiples niveles;

Determinar evaluación de procesos, riesgos y control; Identificar y definir riesgos así

como el mantenimiento de los controles; Detallar los programas de trabajo en

procedimientos individuales y desarrollar los papeles de trabajo apropiados; Analizar los

resultados y generar reportes digitales sofisticados en formatos Word o HTML.

5. AuditBuilder: permite crear, estructurar y modificar las auditorías. A fin de reflejar un

cambio en las regulaciones o de política de empresa si lo desea, puede alterar las

preguntas, decenas o del contenido de las secciones de una auditoría en particular.

Usted puede incluso desean eliminar preguntas o secciones que ya no son pertinentes.



A menudo una organización contará con una biblioteca de preguntas que pueden ser

utilizados para construir nuevas auditorías. AuditBuilder le permite hacer todo esto con

un simple "arrastrar y soltar" interface.

6. Entegra de Lumigent: se utiliza para las actividades de auditoría de la base de datos de

la empresa. Es un software capaz de registrar toda la interacción ejecutada por los

diversos usuarios y aplicaciones de la organización contra el sistema manejador de

bases de datos, ofreciendo la posibilidad de enviar notificaciones / alarmas vía correo

electrónico.

7. Log Explorer de Lumigent: Log Explorer se utiliza para el análisis de transacciones,

auditoría y recuperación de los datos. Es un software que identifica la fuente de cualquier

cambio en los datos, los esquemas o permisos. Usa poderosos filtros para localizar y

resolver rápidamente los errores de usuario y de aplicación. Audita sin la necesidad de

gastos en desencadenadores (triggers).

8. IDEA: es un Software líder en el mundo que permite tomar datos de cualquier aplicación

o base de datos y auditar, analizar o automatizar auditorías a partir de una serie de

funciones automatizadas.Sumarización de transacciones, comparación de saldos,

comparación de clientes, antiguedad de deuda, análisis multidimensionales de

información, busqueda de faltantes y duplicados, analisis de variaciones de precios,

tasas, analisis de cierres de caja, búsqueda de operaciones en dias inválidos y miles de

funciones más. El Auditor podrá aplicar cualquier análisisi sobre sus propios datos sobre

cientos o millones de transacciones con una performance inigualable.

9. Zifra: desarrollado por y para auditores, está pensado desde su inicio para cumplir con

los más altos requisitos de seguridad y confidencialidad. Las características

fundamentales que hacen del software para auditores Zifra una herramienta perfecta

para cumplir con:

§ Base de datos cerrada: Nuestra base de datos, con todos los documentos de

trabajo del auditor y la información de clientes y trabajos de auditoría, queda

inaccesible desde el exterior si el usuario no cuenta con el usuario y contraseña

correspondientes.



§ Control por usuario: Cada usuario del software de auditoría Zifra dispone de su

propio acceso al sistema, lo que proporciona la seguridad necesaria para evitar

accesos indeseados. Cuando un usuario accede, únicamente puede ver aquellos

menús de la aplicación y contenidos para los que ha sido específicamente autorizado,

y sólo accede a los documentos de las auditorías de las que forma parte del equipo

de trabajo.

§ Compatibilidad Office: La compatibilidad con los productos habituales de Microsoft

Office, Excel y Word, en versiones hasta la 2010, permite a los usuarios trabajar

dentro del software Zifra con sus herramientas habituales de trabajo, pero con la

seguridad y confidencialidad que otorgan los dos puntos anteriores: la base de datos

cerrada e inaccesible desde el exterior, y el control de acceso por usuario, contraseña

y proyecto a los papeles electrónicos de trabajo.

10. CobiTAdvisor: Es un programa que automatiza el marco de referencia CobiT. Permite la

definición del personal de trabajo en una auditoria, así como elegir el Dominio en el cual

se trabajará es decir Planificación y Organización, Adquisición y Mantenimiento,

Desarrollo y Soporte y Monitoreo, así como los subdominios o procesos por cada

dominio. También se pueden definir los criterios y recursos de información que se

evaluarán. Por cada proceso evaluado se tienen los objetivos de control y las guias de

auditoría, así como su respectiva evaluación. Tiene la opción para adjuntar archivos

como papeles de trabajo, muestra las evaluaciones en formato gráfico y permite generar

reportes exportables a Word.

11. PlanningAdvisor: Esteprogramaayudaaautomatizarel

procesodeplaneacióndelaauditoria.Utilizandoeste programasepuedeidentificary

clasificarlasareasdemayorexposiciónmediantecriteriosde evaluaciónbasadosen

riesgos.Estaherramientasepuedeutilizarencombinaciónconel Pro audit. Advisorcomo

herramienta de ejecución de la planeación. El progreso de toda la

planificacióndeauditoriapuedesermonitorizadaenformacentralizadaporPlanningAdvisor.

12. ERALite (EnterpriseRiskAssessor):

Esunaherramientaparalagestiónycontroldelriesgo,proporciona:



Unsistemaconsistentede

gestiónderiesgos;Identificaciónespecíficaderiesgosparalaestrategiay contexto

organizacional;Gestiónparalosplanesdeacción, y monitoreomedianteunabasededatos;

Evaluaciónderiesgos,controlesy amenazassemi-cuantitativas,atravésdeanálisisde

consecuencias;Gráficosdeanálisis;Reportesdealtacalidadalineadosa losrequerimientos

individualesdelosnegocios.

13. RAP (RiskAssesmentProgram):esunprogramadeanálisisderiesgosycontramedidasbasándos

eenlatécnicadeTablas enlaqueseidentificanriesgosy

sedeterminalaprobabilidad,impactoyenfunciónaestosdos últimossecalculael

NiveldeRiesgoAsociado. Lascontramedidasseasignandeacuerdoal

mayorNiveldeRiesgoquepresentenlosActivosdeInformacióndelaorganización.

14. AudiControl:Sonmetodologíasasistidasporcomputadorparaevaluarriesgosy establecer

controlesen sistemasdeinformaciónautomatizadosy tecnologíarelacionada.Constadedos

módulos:

§ APL: diseñodecontrolesparasistemasdeinformacióncomputarizados.

§ FTI:diseñodecontrolesparalafuncióndetecnologíadeinformación.

15. SQL Secure:es un conjunto de cuatro

herramientasdesoftwarequeadministrantodoslosaspectosdeseguridadyauditoríadela

basededatosen ambientescliente/servidor.Estácompuestodecuatromódulos:

§ PasswordManager:permitedefinirlosestándaresparalaasignacióndepasswords.

§ AuditManager: paralaadministracióncompletadepistasyrastrosdeauditoríaaudittrail).

§ PolicyManager: permite evaluar frecuentemente las reglas predefinidas para

identificar debilidadesdecontrol,y

§ DatabaseSecurityManager:permitelaadministracióndelaseguridaddelabasededatos.

16. GestorF1Audisisconcentrafuncionalidadestantodegestióndeauditoríacomodeanálisis

automatizadodedatos,engeneralsepuederealizarlosiguiente:

§ AnálisisdeBasedeDatos

§ Controldeasignaciones

§ GestióndeRiesgos



§ ConexionesODBC

§ Módulodeseguridaddeaccesosy privilegiosparausuarios

§ PistasdeAuditoria

§ FuncionamientodelaherramientatantoenIntranetcomoInternet

17. Auditor 2000es una solución de metodologías asistidas por computador para auditar

sistemasdeinformaciónautomatizadosytecnologíarelacionada.Constadetresmódulos:

§ Audap:auditoríaasistemasdeinformacióncomputarizados

§ Audides:auditoríaaldesarrollodesistemas

§ Audifti:auditoríaalafuncióndetecnologíadeinformación

Son metodologías maduras y robustas que se apoyan con una herramienta de software

amigable ybasesdedatosconconocimientos sobreriesgos, causasdelriesgo,controles,

objetivosdecontrolytécnicasdeauditoríarecomendadasporlosestándaresCobity Cosoy las

mejores prácticas universalmente aceptadas paraelejercicio profesional delaauditoría

de sistemas.Auditor2000identificayevalúa riesgoscríticos.Seidentificany

evalúanlosriesgoscríticosinherentesalosnegociosy servicios quesesoportan

entecnología deinformación. Evalúaycalificaelniveldeprotección que

ofrecenloscontrolesestablecidosenlosprocesosmanualesy automatizados,relaciónconlas

causasdelosriesgoscríticosasociadosconel áreaobjetodelaauditoría.

18. AuditSystem2: estaherramientaesfundamentalenla

realizacióndeauditoríadeempresasdondeelcontrolyelregistrodelastransacciones se

efectúaatravésdeunprocesamiento electrónico dedatos.Desdeelpuntodevistadela

eficienciadela auditoría,el AuditSystem 2 esesencialparaaquellasorganizacionesque

procesanungranconjuntodetransaccionessimilares.

19. TeamMate:esunfacilitadordeldesarrollosecuencialde

laauditoría.Esteasuvezfacilitalalabordedocumentacióndetodaslastareasefectuadasen

elprocesodeauditoría. Portanto,TeamMateesunsistemade“archivoelectrónico”,una

herramientafundamentalparadocumentarauditoríasdediferentesalcances,ayudandoa la

aplicacióndeestándarestantoenladocumentacióncomoenlarevisión.



INTRODUCCIÓN

Es importante antes de entrar de lleno hablar lo que es el contrato de auditoría explicar

algunos conceptos que son claves para poder entender mejor el concepto de Auditoria

Informática.

Después de haber visto en forma detallada la actuación de la auditoria informática,

entraremos a plantear un poco sobre la naturaleza jurídica del contrato de auditoría y

terminaremos estudiando el marco legal en que se desarrolla esta actividad ya que es el

objetivo principal de este trabajo. Acuerdo de voluntades hay que delinear en todo caso tres

elementos esenciales: consentimiento, objeto y causa establecida en el artículo 126 del

código civil, este estudio seguirá esta estructura determinada legalmente.

Luego se presentara el perfil del auditor informático, a su responsabilidad y a su pertenencia

o no a la organización auditada. Y también veremos las diferentes áreas que están sujetas a

la revisión y juicio de la auditoria y finalizando se estudiara las causas de la contratación de

la auditoria y porque es obligatorio realizarla.

ISACA (Organización líder en Auditoria de Sistemas y Seguridad de los Activos de

Información) define a la auditoria de los sistemas de información como “cualquier auditoria

que abarca la revisión y evaluación de todos los aspectos o alguna sección/ área de los

sistemas automatizados de procesamiento de información, incluyendo procedimientos

relacionados no automáticos, y las interrelaciones entre ellos”. Sus objetivos deben ser

brindar a la Dirección una seguridad razonable de que los controles se cumplen,

fundamentar los riesgos resultantes donde existan debilidades significativas.

Ya que no se tiene una definición legal de la auditoria Informática, se recurre a la auditoría

de cuentas y se mostrara una semejanza entre sus elementos.

La auditoría de cuentas es en España, como en otros países, es obligatoria para

determinados niveles de empresa, legalmente regulados desde hace poco más de una

década. Pero la auditoría de cuentas ya viene de muy atrás.

El Contrato de Auditoria



Si bien sus orígenes y mayor desarrollo suelen asociarse más al mundo anglosajón, la

Europa latina tiene ya una larga trayectoria en esta materia La Ley 19/1988, de 22 de julio la

define como "la actividad consistente en la revisión y verificación de documentos contables,

siempre que aquella tenga por objeto la emisión de un informe que pueda tener efectos

frente a terceros". Según esto podemos definir las siguientes características de la auditoria:

· Ser un trabajo de revisión, análisis, verificación y examen de documentación de

naturaleza contable. Emisión de un Informe con efectos frente a terceros

· Esto convierte a un auditor en una especie de "fedatario público" de que las Cuentas

Anuales están "bien". Y ¿esto qué significa? Pues que cuando el auditor emite un

informe denominado "limpio" está indicando que "en su opinión profesional" dichas

cuentas "presentan razonablemente la imagen fiel..." El auditor, por tanto, no "certifica"

nada.

En el siguiente cuadro se expone la comparación entre Auditoría de Cuentas y la

Auditoria Informática:

Auditoría de Cuentas Auditoria Informática

Auditor

Cualificada = Auditor de Cuentas Independiente

No existe titulación oficial ni registro independiente

Función

Analizar: Información económico – financiera deducida de documentos contables

Analizar: Información entornos informáticos deducida revisión y control de los mismos

Informe

Emitir informe manifestando su opinión responsable sobre la fiabilidad de la información para que se conozca y valore por terceros.

Emitir informe manifestando su opinión responsable sobre la fiabilidad de la información para que se conozca y valore por terceros

Reglamentación

Sujeto a requisitos formalidades de la ley reglamento NTA

Sujeto a requisitos formalidades normas de la profesión códigos de conducta de la profesión.

En donde existen las principales divergencias entre las dos definiciones es, de un

lado, en la inexistencia de una titulación oficial de la profesión de Auditoria Informática

y, de otro lado, en la inexistencia de la reglamentación específica de esta actividad.



Una forma práctica de establecer una clasificación de los sistemas expertos en

auditoría es utilizando las fases del proceso de auditoría y se descompone el proceso

de decisión en auditoría en las siguientes fases:

a) Orientación - El auditor obtiene conocimientos sobre las operaciones del

cliente y su entorno y hace una valoración preliminar del riesgo y de la

materialidad.

b) Evaluación preliminar de los controles internos.

c) Planificación táctica de la auditoría.

d) Elección de un plan para la auditoría.

e) Pruebas de cumplimiento de los controles.

f) Evaluación de los controles internos, basada en los resultados de las pruebas

de cumplimiento.

g) Revisión del plan de auditoría preliminar.

h) Elección de un plan revisado para la auditoría.

i) Realización de pruebas sustantivas.

j) Evaluación y agregación de los resultados.

k) Evaluación de la evidencia - Podría dar lugar a unas pruebas más exhaustivas

o formar la base de la elección de la opinión por el auditor.

l) Elección de una opinión que clasifique los estados financieros del cliente.

m) Informe de auditoría.

Para terminar se hará una breve mención de las controversia que existe entre

auditoría interna y externa, con relación a la problemática de la independencia, el

mejor conocimiento de la organización en su conjunto y el necesario y constante

mantenimiento y supervisión en razón del peculiar objeto de la auditoria informática.

1. UNA BREVE REFERENCIA A LA NATURALEZA JURÍDICA DEL

CONTRATO DE AUDITORIA

Conviene empezar por asentar la casi total aceptación por parte de la doctrina del

carácter contractual del vínculo que se establece entre la sociedad y el auditor, frente

a las escasas discrepancias que abogan por una tesis “organicista”. La calificación de

contractual se apoya fundamentalmente en tres razones.



En primer lugar los establecido expresamente por el artículo 14.2 de la ley de

auditoría de cuentas que se refiere al “contrato de auditoría”. En segundo lugar, la ley

de Sociedades Anónimas que deliberadamente excluye esta materia del capítulo de

órganos sociales. Y Finalmente, porque su clasificación como órganos seria insertar

al auditor dentro de la estructura de la sociedad y considerarlo como parte integrante

de la persona jurídica, lo que resulta contrario al espíritu de la ley que lo configura

como una instancia externa e independiente de control.

Además de la dificultad añadida que supone la inexistencia legal de la figura de la

auditoria informática, tampoco en la tradicional comparación analógica con la

auditoría de cuentas existe unanimidad doctrinal en lo que a su naturaleza jurídica se

refiere.

Sin pretender realizar una investigación exhaustiva de los posibles encuadres

conceptuales de la figura, mencionaremos únicamente la divergencia doctrinal

existente en cuanto a su concepción como un arrendamiento de servicios, aludiendo

a ineludible necesidad de la materialización de contrato en el informe de auditoría que

constituye el resultado que caracteriza al contrato como un arrendamiento de estas

características.

Nuestra opinión se decanta por la figura de un contrato de arrendamiento de

servicios, servicios que se desarrollan a lo largo de un periodo temporal determinado,

y que, si bien se concretan en la emisión de un informe de auditoría, la libertad del

auditor y la falta de capacidad de decisión del auditado sobre los contenidos de dicho

informe le privan de la caracterización del resultado esperado a dicho contrato y le

confieren una naturaleza de prestación de servicios cuyo resultado no puede, por lo

menos en gran medida, prever, o mejor dicho, cuyo resultado, en cuanto a inclusión

de contenidos, no se puede pactar.

Estas características se pueden contrastar en varios lugares. De un lado, si el

resultado del contrato estuviera perfectamente delimitado, no habría lugar a la

aparición del tan nombrado gap de expectativas o diferencias de expectativas entre

lo que los usuarios esperan obtener del informe de auditoría y lo que se obtiene

realmente. De otro lado, no existirían tan diversas clases de informes de opinión,

parte integrante de todo informe de auditoría que resume y concluye el juicio del

auditor sobre las situaciones analizadas y los riesgos evaluados.



La jurisprudencia, entendida en sentido amplio como todo pronunciamiento de

tribunal en el ejercicio de sus competencias y no como la derivada de Tribunal

Supremo que además cumple los requisitos de repetición e identidad, por su parte, ha

definido lo siguiente: la auditoría de cuentas es por lo tanto un servicio que se presta

a la empresa revisada.

2. PARTES EN UN CONTRATO DE AUDITORIA. El Perfil del Auditor

Informático

2.1. La entidad auditada

La empresa o entidad que solicita una Auditoria

Informática, hasta la actual normativa que

veremos más adelante, lo hacía porque

constataba una serie de debilidades y/o

amenazas provenientes de sus sistemas de

información.

Por lo tanto, la empresa que necesitaba de este tipo de servicios en realidad

lo que estaba demandando era una solución a sus problemas en términos de

eficiencia de sus sistemas, más que una verificación o una revisión del

cumplimiento de los controles establecidos. Es decir, se pretendía un

asesoramiento especializado en la gestión de dichos sistemas, función más

cercana, como vemos, a la consultoría.

Sin embargo, cada vez más las empresas son conscientes de la relevancia

del sometimiento del elemento si no imprescindible si completamente

esencial, constituido por los sistemas de tratamiento de la información, a una

serie de licencias sobre el software que utiliza para el desarrollo de su

actividad o el de la protección de datos de carácter personal por su

preponderancia en virtud de su obligatoriedad legal. Hoy es indispensable

disponer en todo momento y de una forma rápida de información suficiente,

actualizada y oportuna. Y esto sólo se puede garantizar manteniendo los

sistemas de tratamiento de dicha información en perfecto estado que sólo se

certifica mediante la correspondiente realización de la pertinente auditoria de

dichos sistemas de información.



Por último, es necesario hacer una referencia a la auditoria informática en el

seno de las Administraciones Públicas puesto que éstas también hacen uso

de sistemas de información para el desarrollo de su actividad y, al mismo

tiempo, están también sometidas a la ley que se aplica a las empresas.

En el caso de las Administraciones Públicas la realización de auditorías

informáticas encuentra su justificación tanto en la normativa aplicable como

en diversos documentos como por ejemplo los “Criterios de seguridad,

normalización y conservación de las aplicaciones utilizadas para el ejercicio

de potestades”.

2.2. El auditor informático

Las Tecnologías de la Información y las

Comunicaciones (TIC) están creando nuevos

canales y herramientas para la gestión de

negocios.

El auditor tradicional, esto es, el auditor de

cuentas, no se encuentra capacitado en

términos de formación para afrontar los nuevos

riesgos derivados de la utilización de las tecnologías.

De ahí que se haga imprescindible la existencia de la Auditoria de Sistemas

de Información.Entre las características del auditor, y como ya hemos

señalado en la comparativa expuesta al inicio del trabajo, destaca la

independencia.

Podemos definir la independencia del auditor como “la ausencia de interés o

influencias que permite al auditor actuar con libertad respecto a su juicio

profesional, para lo cual debe estar libre de cualquier predisposición que

impida su imparcialidad en la consideración objetiva de los hechos”.

Los problemas pueden clasificarse en tres grupos principalmente: la

compatibilidad de la práctica de la auditoria con las asesorías legales, el

interlocutor del auditor dentro de la empresa auditada y la rotación del auditor.



En cuanto a la sujeción legal del auditor todos los profesionales que

desarrollan su labor en el campo de la auditoría de cuentas están sometidos a

una serie de normas que tipifican su capacidad profesional, la conducta para

llevar a cabo su cometido y la forma de emitir el informe. Los auditores

informáticos no son una excepción, aunque además deben cumplir una serie

de requisitos y directrices que les son inherentes. Las diferencias no solo

afectan a las normas, puesto que su cometido también difiere y consiste en la

revisión de la función informática o parte de ella, sus aéreas de revisión son

así mismo originales (organizacional del departamento de SI, de seguridad de

accesos lógicos, físicos y controles medioambientales, de actuación frente a

desastres con los planes de recuperación, del software de sistema en cuanto

a las políticas sobre su desarrollo, adquisición y mantenimiento, de software

de aplicaciones y de control de aplicaciones, así como las específicas de

telecomunicaciones y de control de usuarios) y, finalmente, también pueden

ser diferentes sus técnicas utilizadas.

En este punto también es más que resaltable la existencia de unos

condicionantes éticos imperantes en el ejercicio de esta profesión que por su

especial autonomía precisan una especial atención. Pues si es verdad que

existen todos estos referentes que delimitan profesionalmente la definición de

la auditoria de sistemas de información, no es menos cierto que el

asentamiento de la profesión requiere también de la creación y seguimiento

de códigos deontológicos que apoyen los mínimos necesarios constituidos por

los estándares normativos.

Con relación a las funciones del auditor informático, su actividad puede

abarcar desde aspectos funcionales, como la educación de los sistemas de

información a las necesidades reales, hasta la revisión de los tiempos de

respuesta, pasando por la fiabilidad de los sistemas. Por supuesto, los

aspectos técnicos son los que ofrecen un mayor campo de actuación: desde

el comienzo con el ordenador y sus periféricos, los convenios utilizados para

la codificación de datos, los procedimientos de captura de estos, la

explotación, la programación, las comunicaciones, o, como no, toda la gran

área de seguridad, física y lógica, y de la calidad.



El auditor, en el desarrollo de su trabajo, ha de obtener evidencias de los

hechos, criterios y elementos que está evaluando, con la finalidad de formarse

una opinión. Dicha evidencia deberá ser suficiente y adecuada. Suficiente en

cuanto a la cantidad de evidencia a obtener y adecuada con relación a la

calidad de la misma, es decir, a su carácter concluyente. Pero para obtener la

evidencia adecuada el auditor deberá guiarse por los criterios de importancia

relativa, de otro lado, es un término de los encuadrables en la denominación

jurídica de concepto jurídico indeterminado, pues la mayoría de los

pronunciamientos profesionales dejan en manos del buen juicio y experiencia

del auditor, aunque existen una serie de consideraciones generales que sirve

de guía para fijarla, dependiendo su aplicación al caso concreto del contexto.

El auditor de Sistemas de Información debe tener la capacidad y los

conocimientos técnicos para revisar y evaluar el control interno del entorno en

que se desarrollan y procesan los sistemas de información, capacidad para

revisar riesgos y controles, evaluar y recomendar los controles necesarios de

los sistemas de información, y capacidad para diseñar procedimientos y

técnicas de auditoría específicas para este tipo de actividad. El auditor de

sistemas de información empieza a ser un generalista, porque tiene que ser

consciente de que los sistemas de información son un punto clave en una

organización.

Otra cuestión tratada en la doctrina es la del desistimiento del auditor. Entre

las causas que pueden considerarse suficientes destacan la imposibilidad

física del cumplimiento del contrato, la necesidad de atender a otros deberes,

las causas de incompatibilidad, la perturbación de las relaciones de confianza

entre el auditor y los administradores de la sociedad. En cada uno de los

casos habrá que dilucidar su procedencia o improcedencia a afectos de

delimitar, entre otras cosas, las consecuencias jurídicas de dicha terminación

unilateral del contrato.

Para terminar, queremos hacer referencia a una figura que está ganando una

gran aceptación en la doctrina, en las organizaciones especializadas y, en

definitiva, a la mejora de la gestión corporativa y garantizar la asunción de

responsabilidades oportunas sobre el control interno.



2.3. Terceras personas

La información financiera ha ampliado su campo de comunicación en el

sentido de que ya no interesa solo a los accionistas o propietarios de la

empresa, sino también, en la medida en que ha atendido a las implicaciones

de la responsabilidad social, ha ampliado la audiencia a la que va dirigida

dicha información. Así pues, el actual concepto de usuario ya no se refiere

solo a propietario, sino que se extiende a todos los interesados en la actividad

empresarial entre los que se encuentra la colectividad en general.

Así señala en la Sentencia del Tribunal Superior de Justicia de Madrid nº 415

de 4 de mayo de 1994 ya citada: “la auditoría de cuentas es un servicio que se

presta a la empresa revisada y que afecta e interesa no solo a la propia

empresa, sino también a terceros que mantengan relaciones con la misma,

habida cuenta que todos aquellos, empresa y terceros, pueden conocer la

calidad de la información económico – contable sobre la cual versa la opinión

emitida por el auditor de cuentas”.

En las declaratorias “A Statement of Basic AccountingTheory” en 1996 de la

American AccountingAssociation, en que por primera vez se hace una

referencia expresa a la función social de la contabilidad, se establecen los

objetivos de la información contable, uno de los cuales es facilitar las

funciones y controles sociales, y así comienza la contabilidad a ser

considerada como un medio a través del cual la sociedad puede ejercer su

función social el carácter de bien público de la información contable emitida

por un auditor independiente, entonces aparece la asunción de una

responsabilidad social por parte del auditor como garante de la fiabilidad de

dicha información.

La diferencia de expectativas alude al desacuerdo entre lo que esperan los

usuarios de la auditoria y lo que ofrecen los auditores, teniendo en cuenta,

además, que el tipo de auditoría que necesita la sociedad depende, en cada

momento, del tiempo y del entorno concreto. En la literatura anglosajona se ha

denominado “diferencias en las expectativas de la auditoria” (“auditexpectation

gap”), o lo que es lo mismo, las diferencias existentes entre lo que los

usuarios esperan de la auditoria y lo que lo auditores consideran que es su

trabajo.



Aunque el fenómeno del gap de expectativas tiene un alcance mundial, es en

Europa donde ha alcanzado su mayor virulencia. Como prueba de la inquietud

despertada, la Comisión de las Comunidades Europeas promovió un estudio

sobre la función, posición y responsabilidad civil del auditor legal, que fue

llevado a cabo por el MaastrichAccounting and AuditingResearch Center

(MARC), para como era tratada la auditoria legal en la legislación de los

estados miembros, publicado en 1996.

La federación de Expertos Contables Europeos por su parte público en enero

de 1996 un resumen de recomendaciones desarrolladas por ella como

resultado de la investigación llevada a cabo acerca también de la función,

posición y responsabilidad civil del auditor legal en la Unión Europea.

Posteriormente, en octubre de 1996, la Comisión de las Comunidades

Europeas público su libro verde sobre los mismos aspectos que los tratados

en el informe MARC y en el estudio de la FEE y organizo una conferencia en

Bruselas en diciembre de 1996 para debatir sobre los mismos.

Para terminar este apartado, quisiéramos señalar que esta no es una

tendencia exclusiva de esta actividad. En la literatura empresarial más

reciente se ha acuñado el término de stakelholder, o interesados, más

concretamente apostantes. Se apunta con esta denominación, que recuerda

sin duda a los tradicionales primeros interesados o accionistas (shareholders

o stockholders), que existe un modelo de “base ampliada” en el que es

necesario que toda organización vea los nuevos miembros, que en la literatura

gerencial norteamericana se asimila a todos los ciudadanos porque se

considera que el negocio de su país es la empresa.

Al menos es posible identificar cinco grupos de “interesados” o “depositarlos

de dichas apuestas “: los accionistas, los empleados, los clientes, las

comunidades locales y la sociedad en general. Podríamos incluso detallar aún

más e incluir a los mediadores y distribuidores, a los proveedores, a los

competidores, a las instituciones financieras o los medios de comunicación.



3. OBJETIVO DEL CONTRATO DE AUDITORIA INFORMÁTICA

Entendemos por objeto del contrato de auditoría, tras la explicación previa sobre la

naturaleza jurídica del mismo, la definición y clasificación que hemos presentado

como tales en la introducción del capítulo, y no la pura y simple emisión del informe

de auditoría que constituye en esencia la fase final de dicho contrato y no el

resultado del encargo que lo caracterizaría, de ser así como dijimos, como contrato

de arrendamiento de obra.

A pesar de su inexistencia en la regulación nacional actual, sobre todo en

comparación a la existente en la auditoría de cuentas, el objeto de un contrato de

auditoría informática está ampliamente diversificado y se encuentra en un periodo de

auge inusitado que requiere de esfuerzos dogmáticos importantes para su

estructuración.

Esta inexistencia legal, pues las referencias normativas que se quieren encontrar, si

bien conceptualmente encuentran su calificativo idóneo en el término informático,

especifica en todo momento la realización de una auditoria, a secas sin calificativos,

choca de una manera frontal con la espectacular amplitud de áreas de conocimiento

y de gestión empresarial que cada vez más se ve abocada a controlar y con la

acuciante demanda de profesionales en el mercado.

Todo esto, obviamente, pasando por alto las voces discrepantes de algunos

profesionales de la auditoría de cuentas que reclaman la denominación de auditoría

en exclusiva relegando a las demás especialidades a adoptar la expresión de

revisión o similares.

Aunque nos encontramos en un área que por sus propias características impide el

listado de un numerus clausus de actividades susceptibles de ser sometidas a este

tipo de auditoría, que, consecuentemente, en nuestra opinión, dan lugar a otros

tantos subtipos de contratos específicos de auditoría de entornos informáticos,

pasaremos a realizar una enumeración de las principales áreas en las que se

desarrolla la “inexistente” auditoria informática actualmente.

En concreto, podemos distinguir los siguientes ámbitos principalmente en la

realización de una auditoria informática de las que hemos catalogado como

perteneciente a la auditoria jurídica de los entornos informáticos:



· Protección de datos de carácter personal

· Protección jurídica del software

· Protección jurídica de las bases de datos

· Contratación electrónica

· Contratación informática

· Transferencia electrónica de fondos

· Outsourcing

· Delitos informáticos

Todas estas áreas deben ser objeto de un análisis de la entrada, tratamiento y salida

de la información en los sistemas de información de la empresa desde un punto de

vista jurídico. Pasaremos a realizar unas breves observaciones al respecto

remitiéndonos al capítulo en concreto de este libro en donde ya se tratan extensa y

precisamente cada una de ellas.

3.1. PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL

Es quizá este el aspecto que más importancia tiene en relación con la materia

tratada, la Auditoria informática, pues ha tenido que esperarse hasta la

plasmación por escrito y todo el posterior desarrollo legal del derecho

fundamental prescrito, entre otros, por el artículo 18.4 de nuestra Constitución

para contar con una referencia legal, como hemos dicho cuasi-explicita, de la

existencia de la auditoria de los sistemas de información.

Pues bien, dicho desarrollo reglamentario se plasmó en la práctica en el Real

Decreto 994/1999, de 11 de junio, por el que se aprobaba el Reglamento de

Medidas de Seguridad para los ficheros que contuvieran datos de carácter

personal. La LOPD mantiene vigente este Reglamento, tal y como prescribe en

su Disposición Transitoria Tercera.

No obstante, debemos reseñar que al cierre de esta edición se ha presentado

ya un Proyecto de Real Decreto por el que se aprueba el Reglamento de

desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de

Datos de Carácter Personal, que derogaría al vigente Reglamento de medidas

de seguridad.



El Reglamento, aplicable por lo tanto, clasifica en tres los niveles de seguridad

(básico, medio y alto) a los que hay que someter a los ficheros dependiendo

del grado de sensibilidad de los datos de carácter personal almacenados.

Como novedad, el Proyecto de Reglamento de desarrollo de la LOPS prevé

que los sistemas de información en los que se realicen modificaciones que

puedan repercutir en el cumplimiento de las medidas de seguridad tendrán que

someterse a dicha auditoria, iniciándose el cómputo del plazo de dos años en

dicho momento.

En concreto, se exige una auditoria al menos bienal para todos los niveles

excepto para el básico. Entre todas las medidas cuyo cumplimiento se exige

que se controle, destaca el procedimiento de respuesta y registro de las

incidencias, el control de accesos, la constitución de un responsable de

seguridad, etc. De esta auditoría, que puede ser tanto interna como externa,

se obtendrá necesariamente un informe del cual el responsable de seguridad

elevara las conclusiones al responsable del fichero, encontrándose a

disposición de la Agencia Española de Protección de Datos (AEPD) en todo

caso. El hecho de que el informe de auditoría quede a disposición de la AEPD

no significa, en modo alguno, una aprobación por parte de esta. Al respecto,

la Agencia ha indicado en un informe jurídico de 1999 lo siguiente:

“(…) una vez elaborado el informe de auditoría, deberán comunicarse sus

resultados, adoptándose las medidas pertinentes, sin que ello exija una

“aprobación” formal y externa de su contenido, que no habrá de ser remitido a

la Agencia Española de Protección de Datos, sino puesto a su disposición”

Un aspecto importante en relación con las conclusiones que se contienen en el

informe de auditoría es a quien corresponde la responsabilidad por la

implantación o no, de las medidas de seguridad indicadas en dicho informe. En

este sentido, el informe jurídico de la Agencia indica que:“(…) será el

responsable del tratamiento, siguiendo las recomendaciones del responsable

de seguridad quien habrá de implantar las medidas precisas, derivadas del

informe, de forma que, en caso de no implantarse y no cumplirse los requisitos

de seguridad establecidos en el Reglamento, incurrirá en responsabilidad,

constituida de infracción grave según el artículo 44.3 h) de la LOPD”



3.2. LA PROTECCIÓN JURÍDICA DEL SOFTWARE

La calificación jurídica del software ha sido objeto de discusión doctrinal,

porque integra distintos elemento que puedan encuadrarse bajo diferentes

órdenes de protección jurídica, unos amparables bajo la legislación de la

propiedad industrial y otros bajo la de la propiedad intelectual. La inclusión

bajo esta última, y en concreto bajo la figura de los derechos de autor, hace

asimilemos los programas de ordenador a las obras literarias, científicas o

artísticas.

Como bienes objeto de esta protección, la auditoria a la que se tienen que

someter debe verificar el cumplimiento de la misma, y, por lo tanto, investigar

la legalidad del software utilizado en dichos sistemas, evaluando el riesgo que

se corre por permitir la ilegalidad, el “pirateo”, y cuantificando, monetariamente

hablando, el diferencial existente entre dicho riesgo y el coste de implantación

y control de todos y cada uno de los programas utilizados en la entidad.

Los auditores informáticos tienen que eliminar los riesgos en esta área

proporcionando de este modo un valor añadido a una buena gestión

informática, siguiendo los criterios expuestos, entre otros, por la ISACA en su

concepto de ValueforAuditing Money para una mejor gestión y control de las

licencias de software.

En particular, se pueden concretar los riesgos que conlleva la realización de

copias de software original como las sanciones y multas, los problemas

técnicos, la inexistencia de asistencia técnica, la obsolescencia tecnológica, el

impacto negativo en la calidad del software, el deterioro de la imagen

empresarial y los ataques intencionales. También, por ejemplo, la Business

Software Alliance (BSA) ha elaborado una Guía para la gestión del software

legal en la que incluye un modelo de inventario de software que permite llevar

a cabo un adecuado seguimiento y control del software original, un

cuestionario básico para hacer un auto-auditoria y un modelo de informe de

auditoría. De esta manera se trata de concienciar a las empresas del riesgo

legal que implica la utilización de software no legal y de proporcionales

herramientas que les permitan minimizar dichos riesgos y facilitar la gestión de

activo de software.



3.3. LA PROTECCIÓN JURÍDICA DE LAS BASES DE DATOS

Una base de datos es un depósito común de documentación, útil para

diferentes usuarios y distintas aplicaciones, que permite la recuperación de la

información adecuada, para la resolución de un problema planteado en una

consulta. Es decir, contiene datos, pero proporciona información. De nuevo

nos encontramos con la figura jurídica de los derechos de autor como la

adecuada para su posicionamiento, por la carga de creatividad que conlleva.

Pero, además, surge la denominación protección mediante un derecho,”sui

generis” de las bases de datos, pues se pretende garantizar la protección de

la inversión en la obtención, verificación o presentación del contenido de una

base de datos determinada sometidos a unos criterios distintos de

almacenamiento, indización, referencias y métodos de recuperación constituya

una nueva base de datos que quede así mismo amparada bajo la figura de los

derechos de autor.Se establecen así mismo como requisitos necesarias para

que la base de datos sea susceptible de dichas protecciones la existencia de

un autor o autores identificables y relacionados con la obra realizada y el

trabajo original que ha dado lugar a dicha base de datos

En el planteamiento de los bienes y derechos objeto de protección, habrá que

atender, de un lado, a los derechos de los titulares de los documentos

almacenados, de otro lado, a los derechos de los productores de la base pues

su creación tiene también una carga de intelectualidad, y, por último, al

derecho del titular de la base a impedir la extracción o reutilización total o

parcial.Pues bien, la auditoria en este caso tendrá del mismo modo que

atender a los tres casos expuestos, analizando el cumplimiento para todos

aquellos de los controles establecidos, evitando por lo tanto copias o

extracciones o autorizadas, y verificando la gestión y actualización por las

personas competentes y autorizadas para ello.El auditor debe en primer lugar

analizar la metodología de diseño para determinar su aceptabilidad y luego

comprobar su correcta utilización, después tendrá que examinar si los diseños

se han realizado correctamente, una vez puesto en explotación deberá

comprobar los procedimientos de explotación y mantenimiento y finalmente

deberá establecer un plan para después de la implantación.



3.4. CONTRATACIÓN ELECTRÓNICA

Entendemos por contratación electrónica toda aquella que se realiza por algún

medio electrónico. Con la generalización del uso de internet el auge de este

tipo de contratación empieza a ser constatable. Pero no solo esta red mundial

acapara el perfeccionamiento de contratos electrónicos, aunque es cierto que

ha sido su implantación la que ha relegado al anterior sistema EDI (Electronic

Data Interchange) utilizado principalmente para transacciones

intraempresariales.

Hoy en día en el comercio electrónico concretamente, y entendido en su más

amplio sentido como cualquier forma de transacción o intercambio de

información comercial basada en la transmisión de datos sobre redes de

comunicación como Internet, se habla de la segmentación en la utilización de

estos medios electrónicos en tres sentidos: en la dirección empresa-

consumidor final (businesstoconsummer, B2C), en la dirección empresa-

empresa (businesstobusiness B2B), y finalmente, en la dirección empresa-

administraciones públicas (businesstoadministrations, B2A).

Además podríamos separar al consumidor final o usuario como artífice activo

de dicha contratación y añadir la contratación entre consumidores

(consummertoconsummer, C2C) y la gestión de las relaciones administrativas

de los administradores electrónicamente.Podríamos también diferenciar entre

comercio electrónico directo como aquel que consiste en la obtención del bien

o servicio íntegramente por el medio electrónico, por ejemplo, la compra de un

libro en formato electrónico, o el comercio electrónico indirecto en el que

alguna de las actividades que perfeccionan la adquisición del bien o servicio

no se realiza por medios electrónicos, ya sea el transporte, el pago o cualquier

otra.En la contratación electrónica hay que atender a tres aspectos

fundamentales: en primer lugar a la inmediatez de las relaciones, cuestión que

se solventara en caso de relación mercantil por el momento en que llega a

conocimiento del oferente, en segundo lugar a la calidad del dialogo, y

excluyendo el teléfono o la videoconferencia habrá que asemejar la aceptación

a la hecha por correspondencia escrita en soporte papel, y, en tercer lugar,

desde el punto de vista de la seguridad.



En lo que a seguridad se refiere, en las transmisiones electrónicas de datos se

busca garantizar la autenticidad, la integridad y el no repudio (en origen y en

destino) de las mismas. Actualmente existe un mecanismo que puede

garantizar estos extremos: la firma electrónica. España fue una vez más

pionera es estos temas regulatorios de los aspectos jurídicos de la

denominada Sociedad de la Información.

En efecto, antes de que aprobara la Directiva europea sobre firma electrónica,

se aprobó el Real Decreto-Ley 14/1999, del 17 de septiembre, sobre firma

electrónica y la orden de 21 de febrero de 2000 aprobó en su Anexo el

Reglamento de acreditación de prestadores de servicios de certificación y de

certificación de determinados productos de firma electrónica en nuestro país,

no obstante, fue derogada por la vigente Ley 59/2003, del 19 de diciembre, de

firma electrónica (LFE).

Aunque no es objeto de este trabajo su análisis exhaustivo no queremos dejar

de mencionar las características más importantes de esta novedosa normativa.

La LFE distingue entre tres clases de firma electrónica, la simple, la avanzada

y la reconocida. La firma electrónica tiene que cumplir una serie de requisitos,

entre otros el ser emitida por un prestador de servicios, que solo tendrá que

estar acreditado si se trata de emitir una firma electrónica reconocida, y su

eficacia jurídica es idéntica a la de la firma manuscrita (equivalencia funcional).

El prestador de servicios en terminología comunitaria ahora adoptada por la

legislación nacional que ha preferido no utilizar la calificación de autoridad de

certificación y despojarle así de ninguna pretendida competencia pública, se

constituye en una tercera parte de confianza, creándose el “fedatario

electrónico”, que puede identificar y autenticar las partes intervinientes, por

medio de técnicas de cifrado de claves con la arquitecturas de clave pública o

Public Key Infraestructure (PKI) que se basan en la utilización de algoritmos de

clave asimétrica, garantizar la integridad de los mensajes transmitidos, y

asegurar el no repudio de las comunicaciones, en origen que quien hizo la

oferta lo niegue, y en destino, que quien la acepto lo haga.Además se puede

añadir la función de sellado temporal en la que se certifique fecha y hora del

perfeccionamiento de dicho acuerdo.



Desde el punto de vista de los controles a los que se puede someter este tipo

de contratación se requiere un asesoramiento técnico para que la redacción

jurídica se adecue a la ingente potencialidad de la herramienta utilizada que

hace que la mera traslación de las categorías conceptuales tradicionales al

medio virtual no sea posible sin el previo sometimiento a unas

especificaciones y aclaraciones de todo punto imprescindible en virtud del

modo de perfeccionarse estos contratos contractuales, se hace necesario por

las consecuencias jurídicas que se puede derivar de su inobservancia.

Es decir, la aparición de estas nuevas formas de contratación traspasa

fronteras de la mera forma para constituirse en elementos definitorios de

cuestión tan relevantes en la práctica contractual como la delimitación de

cuestión exoneración de responsabilidades, la prestación de garantía o la

división de obligaciones entre las partes que no pueden sin más asemejarse a

las categorías convencionales, entre otras cosa por la globalización y por tanto

intersección de legislaciones nacionales. Ni siquiera los términos

tradicionalmente constituidos usos de los comercios, que según nuestra

legislación mercantil tiene carácter de fuente de Derecho son absolutamente

trasladables a este entorno, y ejemplo de ello es el intento de definición de

unos “e-terms” en una clara regulación paralela a los utilizados y reconocidos

“incoterms” en el tráfico mercantil internacional.

3.5. LA CONTRATACIÓN INFORMÁTICA

Definiéndola como la contratación de bienes o servicios informáticos.

Bienes informáticos son todos aquellos elementos que forman el sistema en

cuanto al hardware, ya sea la unidad central del proceso o sus periféricos, así

como todos los equipos que tienen una relación directa de uso con respecto a

ellos y que, en conjunto, conforman el soporte físico del elemento informático.

Así mismo, se consideran bienes informáticos los bienes inmateriales que

proporcionan las órdenes, datos, procedimientos e instrucciones en el

tratamiento automático de la información y que, en su conjunto, conforman el

soporte lógico del elemento informática. Los servicios informáticos son todos

aquellos servicios que sirven de apoyo y complemento a la actividad

informática en una relación de afinidad directa con ella.



Podemos dividir en dos grandes grupos diferenciados: respecto al objeto,

debido a las características especiales de los distintos objetos sobre los que

pueden versar estos contratos y respecto al negocio jurídico, debido a que los

contratos informáticos más comúnmente realizados se han llevado a cabo bajo

una figura jurídica determinada (compraventa, arrendamiento financiero,

mantenimiento, préstamo…) en la que han encontrado acomodo pero que en

casi todos los casos ha sido necesario adecuar.

La contratación de bienes y la prestación de servicios informáticos no tienen

una calificación uniforme para situarla en un modelo o tipo de contrato. Los

contratos informáticos están formados por elementos tan dispares que exigen

la mezcla o unión de dos o más tipos de contratos.

Así mismo, el desconocimiento por el usuario, en términos generales, de las

posibilidades y límites de la autonomía de la voluntad de las partes. En muchas

ocasiones son contratos de adhesión, en los que una de las partes fija las

cláusulas del contrato y la otra se adhiere a las mismas, sin tener posibilidad

de modificar ninguna de ellas.La contratación informática resulta

extremadamente complicada en la redacción de los contratos y en la fijación de

los derechos y obligaciones de las partes. A ello hay que añadir la inexistencia

de una normativa adecuada a los mismos y la dificultad en la fijación del objeto

cuando son contratos complejos.

Se debe redactar teniendo en cuenta un equilibrio de prestaciones y evitar en lo

posible la inexistencia de cláusulas oscuras. Y es aquí, de nuevo, donde la

figura del auditor informático cobra toda su importancia asesorando e

implantando en dicho acuerdo los requisitos técnicos y los términos específicos

que delimitan y concretan los aspectos imprescindibles cuyo cumplimiento

sebe ser objeto de los controles a los que se somete este tipo de contratación

cuyas particularidades requieren un asesoramiento especializado y experto.

3.6. TRANSFERENCIA ELECTRÓNICA DE FONDOS

Este es un tema común a la contratación electrónica, a la protección de datos

de carácter personal y al pago electrónico. En concreto este último adquiere

una relevancia en la práctica inusitada y en constante crecimiento.



Esta relevancia y sus particularidades justifican su tratamiento independiente.

Nos referimos en concreto a los medios de pago electrónico ya conocidos, esto

es, las tarjetas de crédito y a débito, o el caso particular de las asociadas a un

determinado establecimiento mercantil para la realización de compras en el

mismo, y solo mencionados aquí el naciente fenómeno de los micro pagos y

del dinero electrónico propiamente dicho y de las consecuentes entidades

emisoras del dinero electrónico.

No obstante y dado que una vez más tenemos que recordar el objeto de este

capítulo, no es este el lugar donde analizar las fases de la transferencia

electrónica de fondos, ni los derechos y obligaciones de las distintas partes

implicadas, el emisor del instrumento de pago y el usuario, ni la nueva

situación de desequilibrio derivada de la utilización de nuevo de los contratos

de adhesión, ni la confidencialidad ni seguridad de los datos de carácter

personal involucrados, ni la delimitación de las responsabilidades y riesgos

existentes en el uso de este medio de pago.La tarea específica de este ámbito

para el auditor, aparte de la posible y probable intersección de alguno de los

otros ámbitos específicos, reside en la comprobación de la interoperabilidad

entre los sistemas de lectura de las tarjetas y las redes de comunicaciones.

3.7. EL OUTSOURCING

El desarrollo de las Tecnologías de la Información y las Comunicaciones y

sobre todo las estrategias empresariales que pueden plantearse en un

determinado momento llevan a muchas empresas a recurrir al Outsourcing

informático.

Se trata por tanto de externalizar, por razones técnicas, económicas o de otra

naturaleza, la gestión de los sistemas de información total o parcialmente.El

Outsourcing informático puede ser definido como “la cesión de la gestión de

los sistemas de información de una entidad a un tercero que, especializado en

esta área, se integra en la toma de decisiones y desarrollo de las aplicaciones

y actividades propias de la referida gestión, con la finalidad de la optimización

de los resultados de la misma al tiempo que permite a la entidad el acceso a

nuevas tecnologías y la utilización de recursos especializados de los que no

dispone”



La externalizarían que se produce no supone, en modo alguno, que el

empresario pierda el control sobre la gestión y administración del sistema de

información, sino simplemente que encarga a un tercero especializado en la

materia que realice dicha gestión con el fin de ahorrar costes y centrarse en el

desarrollo de su actividad. El Outsourcing se convierte en una forma de

externalizar los costes de manteamiento y gestión del sistema de información

lo cual va a suponer que la entidad pueda optimizar sus recursos.

El hecho de que el Outsourcing de los sistemas de información sea un aspecto

crítico para las empresas determina que sea un área propicia para el

desarrollo de la auditoria informática.

4. CAUSA

La causa que puede tener un contrato de Auditoria de Información, dentro de su

licitud, tiene dos orígenes:

1. Partiendo de la Autonomía de la Voluntad, principio rector en materia de Derecho

Contractual Prescrito en el Artículo 1255 del Actual Código Civil, puede ser

solicitada a simple voluntad de la Empresa Auditada.

2. Como cumplimiento de la exigencia legal prevista en la normativa de protección

de datos de carácter personal y en concreto en el Artículo 17 del Reglamento de

Medidas de Seguridad.

5. EL INFORME DE AUDITORIA

ü Es el reporte que el auditor provee a las partes interesadas una vez finalizada la

auditoría.

ü Establece el alcance, objetivos, período de cobertura, y la naturaleza y extensión

del trabajo de auditoría realizado.

ü Identifica la organización, las partes interesadas y cualquier restricción acerca de

su distribución.

ü Incluye resultados, conclusiones, recomendaciones y cualquier reserva o

calificación que el auditor tenga respecto de la auditoría.

ü Es el medio formal para comunicar los objetivos de la auditoría, las normas de

auditoría utilizadas, el alcance y resultados, conclusiones y recomendaciones de

la auditoría.

ü El reporte debe ser objetivo, claro, conciso, constructivo y oportuno.



ü Existen esquemas recomendados con los requisitos mínimos aconsejables

respecto a estructura y contenido

ü Es la base razonable de la opinión del Auditor Informático

ü Debe ser:

· Relevante, Fiable,Suficiente, Adecuada

El Informe de Auditoría

1. Identificación del Informe

2. Identificación del cliente

3. Identificación de la entidad auditada

4. Objetivos de la auditoría informática

· Declaración de los objetivos para identificar propósito.

· Sialgún objetivo no fue satisfecho, éste hecho debe notificarse en el reporte.

5. Normativa aplicada y excepciones

· Identificación de normas legales utilizadas, excepciones de uso y el posible

impacto de los resultados de la auditoría

6. Alcance de la Auditoría

· Naturaleza y extensión del trabajo realizado

· Identificación del área de auditoría y el período cubierto

· Sistemas de información, aplicaciones o ambiente revisado

· Limitaciones al alcance

· Restricciones del auditado

7. Conclusiones

· Es la evaluación del área auditada

· Debe contener uno de los siguientes tipos de opinión: favorable, con

salvedades, desfavorable, denegada

· Se deben expresar recomendaciones para acciones correctivas.

El informe debe identificar al auditado e indicar la fecha de emisión de éste.

Especificar cuáles reportes son sólo para información, cuáles destinados a un

grupo como los auditores, panel de directores, gerencia y cuáles son

destinados a personas fuera de la institución (ejemplo, agencias de gobierno).

El reporte debe también declarar cualquier restricción que haya para su

distribución



CONTRATO DE AUDITORÍA EN INFORMÁTICA

Contrato de presentación de servicios profesionales en informática que celebran por una

parte _________________ ____representado por _______________________en su

carácter de ________________ y que en lo sucesivo se denomina al cliente, por otra parte

__________ representada por _______________________ a quien se denominara el

auditor, de conformidad con las declaraciones y cláusulas siguientes:

DECLARACIONES

1.-El cliente declara:

a) Que es una __________________

b) Que está representado para este acto por ________________ y tiene como su domicilio

________________________________________________

c) Que requiere obtener servicios de auditoria en informática, por lo que ha decidido

contratar los servicios del auditor

2.-Declara el auditor:

a) Que es una sociedad anónima, constituida y existente de acuerdo con las leyes y que

dentro de sus objetivos primordiales está el de prestar auditoria en informática

___________________________________________________________________

b) Que está constituida legalmente según escritura numero ________de fecha ________

ante el notario público nº _______ del ______________ Lic. _____________________

c) Que señala como su domicilio ____________________________________________

3.-Declaran ambas partes:

a) Que habiendo llegado a un acuerdo sobre lo antes mencionado, lo formalizan otorgando el

presente contrato que se contiene en las siguientes:



CLAUSULAS

Primera. Objetivo

El auditor se obliga a prestar al cliente los servicios de auditoria en informática para llevarla a

cabo la evaluación de la dirección de informática del cliente, que se detalla en la propuesta

de servicios anexa que, firmada por las partes, forma parte integrante del contrato.

Segunda. Alcance del trabajo

El alcance de los trabajos que llevara a cabo el auditor dentro de este contrato son:

a) evaluaciones de la dirección de informática en lo que corresponde a:

-su organización -capacitación

-estructura -planes de trabajo

-Recursos humanos -controles

-Normas y políticas -estándares

b) Evaluación de los sistemas

-evaluación de los diferentes sistemas en operación, (flujo de información, procedimientos, documentación, redundancia, organización de archivos, estándares de programación, controles, utilización de los sistemas).

-opinión de los usuarios de los diferentes sistemas

-evaluación de avance de los sistemas en desarrollo y congruencia con el diseño general

-evaluación de prioridades y recursos asignados (humanos y equipo de cómputo).

-seguridad física y lógica de los sistemas, su confidencialidad y respaldos.

c) Evaluación de equipos

-Capacidades -respaldos de equipo

-Utilización -seguros

-Nuevos proyectos -contratos

-seguridad física y lógica -proyecciones

d) Elaboraciones de informes que contengan conclusiones y recomendaciones por cada uno

de los trabajos señalados en los incisos a, b y c de esta cláusula.



Tercera. Programa de trabajo

El cliente y el auditor convienen en desarrollar en forma conjunta un programa de trabajo en

el que se determinen con precisión las actividades a realizar por cada una de las partes, los

responsables de llevarlas a cabo y las fechas de realización.

Cuarta. Supervisión

El cliente o quien designe tendrá derecho a supervisar los trabajos que se le han

encomendado al auditor dentro de este contrato y a dar por escrito las instrucciones que

estimen convenientes.

Quinta. Coordinación de los trabajos

El cliente designara por parte de la organización a un coordinador del proyecto quien será el

responsable de coordinar la recopilación de la información que solicite el auditor y de que las

reuniones y entrevistas establecidas en el programa de trabajo se lleven a cabo en las

fechas establecidas.

Sexta. Horario de trabajo

El personal del auditor declara el tiempo necesario para cumplir satisfactoriamente con los

trabajos materia de la celebración de este contrato, de acuerdo al programa de trabajo

convenido por ambas partes y gozaran de libertad fuera del tiempo destinado al

cumplimiento de las actividades.

Séptima. Personal asignado

El auditor designara para el desarrollo de los trabajos objeto de este contrato a socios del

despacho quienes, cuando consideren necesario incorporar personal técnico capacitado de

que dispone la firma, en el número que se requieran de acuerdo a los trabajos a realizar.

Octava. Relación laboral

El personal del auditor no tendrá ninguna relación laboral con el cliente y queda

expresamente estipulado que este contrato se suscribe en atención a que el auditor en

ningún momento se considera intermediario del cliente respecto al personal que ocupe para

dar cumplimiento de las obligaciones que se deriven de la relaciones entre él y su personal, y

exime al cliente de cualquier responsabilidad que a este respecto existiré.



Novena. Plazo de trabajo

El auditor se obliga a terminar los trabajos señalados en la cláusula segunda de este

contrato en ___ días hábiles después de la fecha en que se firme el contrato y sea cobrado

el anticipo correspondiente. El tiempo estimado para la terminación de los trabajos esta en

relación a la oportunidad en que el cliente entregue los documentos requeridos por el auditor

y por el cumplimiento de las fechas estipuladas en el programa de trabajo aprobado por las

partes, por lo que cualquier retraso ocasionado por parte del personal del cliente o de

usuarios de los sistemas repercutirá en el plazo estipulado, el cual deberá incrementarse de

acuerdo a las nuevas fechas establecidas en el programa de trabajo, sin perjuicio alguno

para el auditor.

Décima. Honorarios

El cliente pagara al auditor por los trabajos objetos del presente contrato, honorarios por la

cantidad de _________ más el impuesto al valor agregado correspondiente. La forma de

pago será la siguiente:

a) _____% a la firma del contrato

b) _____% a los 3 días hábiles después de iniciados los trabajos

c) _____% a la terminación de los trabajos y presentación del informe final.

Décimaprimera. Alcance de los Honorarios

El importe señalado en la cláusula décima compensará al auditor por sueldos, honorarios,

organización y dirección técnica propia de los servicios de auditaría, prestaciones sociales y

laborales de su personal.

Décimasegunda. Incremento de Honorarios

En caso de que se tenga un retraso debido a la falta d entrega de información, demora o

cancelación de las reuniones, o cualquier otra causa imputable al cliente, este contrato se

incrementará en forma proporcional al retraso y se señalará el incremento como un acuerdo.

Décimotercera. Trabajos adicionales

De ser necesaria alguna adición a los alcances o productos del presente contrato, las partes

celebraran por separado un convenio que formara parte integrante de este instrumento y en

forma conjunta se acordara el nuevo costo.



Décimomocuarta. Viaticos Y Pasajes

El importe de los viáticos y pasajes en que incurra el auditor en el traslado, hospedaje y

alimentación que requieren durante su permanencia en la ciudad

de________________________________________________

________________.Como consecuencia de los trabajos objeto de este contrato, será por

cuenta del cliente.

Décimoquinta.Gastos Generales

Los gastos de fotocopiado y dibujo que se produzcan con motivo de este contrato correrán

por cuenta del cliente.

Décimosexta. Causas de Rescisión

Serán causas de rescisión del presente contrato la violación o incumplimiento de cualquiera

de las cláusulas de este contrato.

Décimoséptima. Jurisdicción

Todo lo no previsto en este contrato se regirá por las disposiciones relativas, contenidas en

el código civil del ________________ y, en caso de controversia para su interpretación y

cumplimiento, las partes se someten a la jurisdicción de los tribunales federales, renunciando

al fuero que les pueda corresponder en razón de su domicilio presente o futuro.

Enteradas las partes del contenido y alcance legal de este contrato, lo rubrican y firman de

conformidad en original y tres copias, en la ciudad de_______________________, el día

___________________________.

_______________________ ______________________

EL CLIENTE EL AUDITOR



MODELO DE AUDITORIA INFORMÁTICA

En (…), a (…) de (…) de (…)

REUNIDOS

DE UNA PARTE, (…) mayor de edad, con D.N.I. número (…) y en nombre y representación

de (…), en adelante, el “CLIENTE”, domiciliada en (…), calle (…) nº (…), C.P. (…) y C.I.F.

(…).

DE OTRA PARTE, (…) mayor de edad, con D.N.I. número (…) y en nombre y

representación de la mercantil (…), en adelante, el “PROVEEDOR”, domiciliada en (…), calle

(…) nº (…), C.P. (…) y C.I.F. (…).

El CLIENTE y el PROVEEDOR, en adelante, podrán ser denominadas, individualmente, “la Parte” y, conjuntamente, “las Partes”, reconociéndose mutuamente capacidad jurídica y de

obrar suficiente para la celebración del presente Contrato

EXPONEN

PRIMERO: Que el CLIENTE está interesado en la contratación de los servicios de:

a) Auditoria de los sistemas informáticos.

b) Realización de un informe detallado sobre la situación de los sistemas informáticos,

con un plan que garantice el óptimo nivel de los sistemas informáticos.

c) Otros servicios consistentes en (…) [citar todos y cada uno de los servicios

adicionales en su caso]

El CLIENTE está interesado en contratar dichos servicios para conocer la situación y la

operatividad de sus sistemas informáticos, software y hardware. [indicar la necesidad del

cliente]

SEGUNDO: Que el PROVEEDOR es una empresa especializada en la prestación de

servicios de Auditoria, seguimiento, conservación de sistemas informáticos y formación.

TERCERO: Que las Partes están interesadas en celebrar un contrato de PRESTACIÓN DE

SERVICIOS INFORMÁTICOS en virtud del cual el PROVEEDOR preste al CLIENTE los

servicios de:

a) Auditoria de los sistemas informáticos.



b) Realización de un informe detallado sobre la situación de los sistemas informáticos,

con un plan que garantice el óptimo nivel de los sistemas informáticos.

c) Otros servicios consistentes en (…) [citar todos y cada uno de los servicios

adicionales en su caso]

Que las Partes reunidas en la sede social del CLIENTE, acuerdan celebrar el presente

contrato de PRESTACIÓN DE SERVICIOS INFORMÁTICOS, en adelante, el “Contrato”, de

acuerdo con las siguientes

CLÁUSULAS

PRIMERA.- OBJETO

En virtud del Contrato el PROVEEDOR se obliga a prestar al CLIENTE los servicios de

auditoría de los sistemas informáticos del CLIENTE y la realización posterior de un informe

detallado para conocer la situación y la operatividad de sus sistemas informáticos, software y

hardware, con un plan que garantice el óptimo nivel de los sistemas informáticos. [citar todos

los servicios] en adelante, “los Servicios”, en los términos y condiciones previstos en el

Contrato y en todos sus Anexos.

SEGUNDA.- TÉRMINOS Y CONDICIONES GENERALES Y ESPECÍFICOS DE PRESTACIÓN DE LOS SERVICIOS

2.1. Los Servicios se prestarán en los siguientes términos y condiciones generales:

2.1.1. El PROVEEDOR responderá de la calidad del trabajo desarrollado con la

diligencia exigible a una empresa experta en la realización de los trabajos

objeto del Contrato.

2.1.2. El PROVEEDOR se obliga a gestionar y obtener, a su cargo, todas las

licencias, permisos y autorizaciones administrativas que pudieren ser

necesarias para la realización de los Servicios.

2.1.3. El PROVEEDOR se hará cargo de la totalidad de los tributos, cualquiera que

sea su naturaleza y carácter, que se devenguen como consecuencia del

Contrato, así como cualesquiera operaciones físicas y jurídicas que conlleve,

salvo el Impuesto sobre el Valor Añadido (IVA) o su equivalente, que el

PROVEEDOR repercutirá al CLIENTE.



2.1.4. El PROVEEDOR guardará confidencialidad sobre la información que le facilite

el CLIENTE en o para la ejecución del Contrato o que por su propia naturaleza

deba ser tratada como tal. Se excluye de la categoría de información

confidencial toda aquella información que sea divulgada por el CLIENTE,

aquella que haya de ser revelada de acuerdo con las leyes o con una

resolución judicial o acto de autoridad competente. Este deber se mantendrá

durante un plazo de tres años a contar desde la finalización del servicio.

2.1.5. En el caso de que la prestación de los Servicios suponga la necesidad de

acceder a datos de carácter personal, el PROVEEDOR, como encargado del

tratamiento, queda obligado al cumplimiento de la Ley 15/1999, de 13 de

diciembre, de Protección de Datos de Carácter Personal y del Real Decreto

1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de

desarrollo de la Ley Orgánica 15/1999 y demás normativa aplicable.

El PROVEEDOR responderá, por tanto, de las infracciones en que pudiera

incurrir en el caso de que destine los datos personales a otra finalidad, los

comunique a un tercero, o en general, los utilice de forma irregular, así como

cuando no adopte las medidas correspondientes para el almacenamiento y

custodia de los mismos. A tal efecto, se obliga a indemnizar al CLIENTE, por

cualesquiera daños y perjuicios que sufra directamente, o por toda

reclamación, acción o procedimiento, que traiga su causa de un

incumplimiento o cumplimiento defectuoso por parte del PROVEEDOR de lo

dispuesto tanto en el Contrato como lo dispuesto en la normativa reguladora

de la protección de datos de carácter personal.

A los efectos del artículo 12 de la Ley 15/1999, el PROVEEDOR únicamente

tratará los datos de carácter personal a los que tenga acceso conforme a las

instrucciones del CLIENTE y no los aplicará o utilizará con un fin distinto al

objeto del Contrato, ni los comunicará, ni siquiera para su conservación, a

otras personas. En el caso de que el PROVEEDOR destine los datos a otra

finalidad, los comunique o los utilice incumpliendo las estipulaciones del

Contrato, será considerado también responsable del tratamiento,

respondiendo de las infracciones en que hubiera incurrido personalmente.



El PROVEEDOR deberá adoptar las medidas de índole técnica y

organizativas necesarias que garanticen la seguridad de los datos de carácter

personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado,

habida cuenta del estado de la tecnología, la naturaleza de los datos

almacenados y los riesgos a que están expuestos, ya provengan de la acción

humana o del medio físico o natural. A estos efectos el PROVEEDOR deberá

aplicar los niveles de seguridad que se establecen en el Real Decreto

1720/2007 de acuerdo a la naturaleza de los datos que trate.

2.1.6. El PROVEEDOR responderá de la corrección y precisión de los documentos

que aporte al CLIENTE en ejecución del Contrato y avisará sin dilación al

CLIENTE cuando detecte un error para que pueda adoptar las medidas y

acciones correctoras que estime oportunas.

2.1.7. El PROVEEDOR responderá de los daños y perjuicios que se deriven para el

CLIENTE y de las reclamaciones que pueda realizar un tercero, y que tengan

su causa directa en errores del PROVEEDOR, o de su personal, en la

ejecución del Contrato o que deriven de la falta de diligencia referida

anteriormente.

2.1.8. Las obligaciones establecidas para el PROVEEDOR por la presente cláusula

serán también de obligado cumplimiento para sus posibles empleados,

colaboradores, tanto externos como internos, y subcontratistas, por lo que el

PROVEEDOR responderá frente al CLIENTE si tales obligaciones son

incumplidas por tales empleados.

2.2. El PROVEEDOR prestará los Servicios en los siguientes términos y condiciones

específicos:

2.2.1. El PROVEEDOR realizará una auditoria de los sistemas informáticos del

CLIENTE para conocer la situación exacta en que se encuentran los sistemas

informáticos del CLIENTE, software y hardware.

2.2.2. Una vez realizada la auditoria, los técnicos encargados de la misma realizarán

un informe detallado de la situación, con un plan que garantice el óptimo nivel

de los sistemas informáticos en el día a día y que planifique las necesidades

que van surgiendo en el CLIENTE, atendiendo a las nuevas tecnologías y su

constante evolución. Dicho plan podrá llevar a la contratación de otros

servicios prestados por el PROVEEDOR.



2.2.3. Para la realización de la auditoria se desplazarán a la sede del CLIENTE dos

técnicos del PROVEEDOR, uno como analista de sistemas y otro como

asesor informático.

2.2.4. Los técnicos del PROVEEDOR realizarán su trabajo durante el horario

comercial del CLIENTE [indicar horario e incluir cuando proceda fines de

semana y festivos].

2.2.5. El CLIENTE con la asistencia del PROVEEDOR realizará las copias

necesarias de la programación, información, etc., para evitar su desaparición

en el transcurso de la auditoria.

2.2.6. El PROVEEDOR realizará controles remotos, para elaborar un diagnóstico a

través de soporte con P.C. o por teléfono, de los sistemas informáticos del

CLIENTE.

2.2.7. El encargado de los sistemas informáticos del CLIENTE estará en todo

momento a disposición de los técnicos del PROVEEDOR para la realización

de la auditoria y facilitará las claves y passwords necesarios para comprobar

todos los sistemas y la descripción de los mismos.

2.2.8. Realizada la auditoria y antes de finalizar el informe completo, sin el plan para

garantizar el óptimo nivel, se entregará al CLIENTE una copia del informe, en

su estado, para su estudio.

2.2.9. Una vez estudiado por el CLIENTE el informe y antes de elaborar el plan que

garantice el óptimo nivel de los sistemas, el encargado de los sistemas

informáticos del CLIENTE tendrá las reuniones necesarias con los técnicos del

PROVEEDOR para concretar las necesidades del CLIENTE. Cada parte

llevará a las reuniones una propuesta. Una vez concretadas las necesidades,

los técnicos del PROVEEDOR realizarán el plan.

2.2.10. Los plazos de entrega del informe y del plan se entregarán conforme la

cláusula 5ª de este contrato. Una vez entregado el informe incluyendo el plan,

el contrato estará cumplido

2.2.11. El contrato podrá ser ampliado para realizar los servicios necesarios para

llevar el plan a buen término. Dicha ampliación será por acuerdo escrito entre

las partes y el documento se unirá al presente contrato.



2.2.12. El PROVEEDOR ejecutará el Contrato realizando de manera competente y

profesional los Servicios, cumpliendo los niveles de calidad exigidos y

cuidando diligentemente los materiales del CLIENTE que tuviera que utilizar

como consecuencia del Contrato.

TERCERA.- POLÍTICA DE USO

1.1. El CLIENTE es el único responsable de determinar si los servicios que constituyen

el objeto de este Contrato se ajustan a sus necesidades, por lo que el PROVEEDOR

no garantiza que los servicios contratados se ajuste a las necesidades específicas

del CLIENTE.

CUARTA.- PRECIO Y FACTURACIÓN.-

2.1. El precio del Contrato es de (…) [indicar el precio de cada servicio] IVA excluido.

2.2. El pago de las facturas se realizará, tras la aceptación de los trabajos por el

CLIENTE, mediante transferencia bancaria a los 30 días de la fecha de recepción de

la factura a la siguiente cuenta corriente titularidad del PROVEEDOR: (…) [indicar nº

de cuenta].

QUINTA.- DURACIÓN DEL CONTRATO

3.1. El plazo de realización de la auditoria es de (…)

3.2. El plazo de entrega del informe para su estudio es de (…)

3.3. El plazo de entrega del informe definitivo es de (…) a partir de la fecha referida en

el encabezamiento del Contrato.

SEXTA.- ACUERDO DE NIVEL DE SERVICIO

4.1. Todos los Servicios prestados por el PROVEEDOR se realizarán por personal

especializado en cada materia. El personal del PROVEEDOR acudirá previsto de

todo el material necesario, adecuado y actualizado, para prestar los Servicios.

4.2. El PROVEEDOR deberá cumplir los plazos de entrega que se acuerden con el

CLIENTE. Se considerará un incumplimiento de los plazos cuando se supere

[indicar el plazo máximo que se puede superar] y en ese caso el CLIENTE podrá

exigir al PROVEEDOR el pago de los daños y perjuicios que corresponda.



SÉPTIMA.- MODIFICACIÓN

Las Partes podrán modificar el contrato de mutuo acuerdo y por escrito.

OCTAVA.- RESOLUCIÓN

Las Partes podrán resolver el Contrato, con derecho a la indemnización de daños y

perjuicios causados, en caso de incumplimiento de las obligaciones establecidas en

el mismo.

NOVENA.- NOTIFICACIONES

Las notificaciones que se realicen las Partes deberán realizarse por correo con acuse

de recibo [o cualquier otro medio fehaciente que acuerden las Partes] a las siguientes

direcciones:

· CLIENTE (…)

· PROVEEDOR: (…)

DÉCIMA.- REGIMEN JURÍDICO

El presente contrato tiene carácter mercantil, no existiendo en ningún caso vínculo

laboral alguno entre el CLIENTE y el personal del PROVEEDOR que preste

concretamente los Servicios.

Las partes para cualquiera controversia, discrepancia, aplicación o interpretación del

presente contrato, se someten expresamente, con renuncia a cualquier otro fuero que

pudiera corresponderles, a la decisión del asunto o litigio planteado, mediante el

arbitraje institucional del Tribunal Arbitral del Colegio Oficial de Ingeniería en

Informática de Cataluña, en adelante TA-COEIC, al cual encomiendan la

administración del arbitraje y la designación de los árbitros. El arbitraje será de

equidad y se realizará de acuerdo con el procedimiento establecido en el Reglamento

del TA-COEIC y, en aquello que no esté previsto, según la Ley 60/2003, de 23 de

diciembre, de Arbitraje.

Ambas partes se obligan a aceptar y cumplir la decisión contenida en el laudo arbitral,

dictado según lo que se establece en el mencionado reglamento del TACOEIC.

En caso de que el arbitraje no llegara a realizarse por mutuo acuerdo o fuera

declarado nulo, ambas partes se someten a los juzgados y tribunales de la ciudad de

(…) [domicilio del cliente], con renuncia a cualquier otro fuero que pudiera

corresponderles.



Y en prueba de cuanto antecede, las Partes suscriben el Contrato, en dos ejemplares

y a un solo efecto, en el lugar y fecha señalados en el encabezamiento.

POR EL CLIENTE POR EL PROVEEDOR

Fdo.:

Fdo.:

ANEXO

CLÁUSULA PENAL, CONVENIENTE EN CASO DE PODER SER NEGOCIADA

En virtud de la presente cláusula penal que tiene carácter cumulativo y no sustitutivo a

los efectos de lo dispuesto en el artículo 1152 del Código Civil, el CLIENTE podrá

aplicar las siguientes penalizaciones por incumplimiento del acuerdo de nivel de

servicio.

A los efectos de lo previsto en el artículo 1.153 del Código Civil, el PROVEEDOR no

podrá eximirse del cumplimiento de sus obligaciones pagando la pena. Asimismo, el

PROVEEDOR, además de satisfacer la pena establecida, deberá cumplir las

obligaciones cuyo incumplimiento se penaliza.

Las penalizaciones se detraerán del importe pendiente de pago al PROVEEDOR

CONCLUSIONES

La auditoría SITIC está, como es lógico, en evolución constante. Esa evolución depende

fundamentalmente de:

§ Las nuevas demandas y objetivos de cumplimiento

§ La disponibilidad de herramientas y técnicas que permitan hacer ciertas pruebas con

mayor cobertura y con menor riesgo y errores logrando una mayor productividad.

Contemplar las herramientas y técnicas, sin hacerlo desde la perspectiva de su

productividad, puede ser propio de tecnológicos o de historiadores; pero sería un error en

empresarios, gestores, economistas, gestores, economistas, responsable de auditoría y

auditores.

Los auditores son un recurso escaso, relativamente caro, con plazos de capacitación

significativos. Todo ello se amplifica, si cabe para los ASITIC.

Aumentar su disponibilidad y productividad es un reto importante.

Las CAAT pueden hacer viable y rentable el acceso a universos, en lugar de solo muestras.

También pueden permitir la automatización de muchas tareas rutinarias, con el consiguiente

aumento de la productividad del ASITIC.

Los factores críticos son unos pocos, y caben diversas estrategias, algunas muy

dependientes de las herramientas disponibles. Por señalar algunos aspectos y tendencias

importantes mostramos la tabla siguiente:

Aspecto – Dimensión Problema Tecnología – Técnica

Formación Lenta, deficitaria (cuantitativa y cualitativamente), sesgada muchas veces.

EAO: Enseñanza asistida por ordenador. Mayor participación de profesionales con experiencias. Compensar los déficits con aplicaciones de IA.

Disponibilidad Escasa en términos absolutos (n| de ASITIC) y relativos: tiempo, lugar, habilidades

Más auditoría embebida y automático.

Mas tele-auditoría

Mas groupware

Menos viajes Discreto – Continuo En enfoque discreto (puntual o

periodificado) es un atavismo que arrastramos por falta de recursos, experiencia y sobre todo por falta de cultura y reflexión.

Cuando antes se detecte un problema, menores serán sus costes.

Más auditoría embebida, automática, continua, en tiempo real.

Lagunas y Solapes Hay frecuentes e importantes solapes entre auditoría interna y externa, Auditoría Operativa, Auditoría de cuentas, Auditoría SITIC, Auditoría ISO 9001:2000, ISO 27001, ISO 14000; aparte de las intervenciones de control de directivos y supervisores, CSA y círculos de calidad, sin mencionar a las agencias reguladoras

Aquí antes que aplicar las técnicas habría que aplicar el sentido común.

Se debe partir del riesgo apreciado y la cobertura deseada, desestructurar todas las capas bebidas a intereses, ignorancia e incultura e instalar sistemas de Auditoría integrada.

Trabajo Administrativo El problema de escasez de

ASITIC cualificados, se ven forzados a dedicar la mayoría de su tiempo útil a trabajos administrativos(planificación táctica, concertar entrevistas, archivar papeles de trabajo, hacer antesalas, gestionar viajes)

Uso más eficaz de las herramientas horizontales.

Mejores, más baratas herramientas especializadas en gestión.

Equipos armónicos con las habilidades requeridas.

Pruebas sustantivas Hay un clamor creciente, en demanda de pruebas sustantivas, no limitadas a muestras sino extendidas al universo.

Mayor y más eficaz uso de las herramientas disponibles, y más concretamente de la auditoría embebida, automática, continua, en tiempo real y de las CAATT.

Cobertura - Granularidad Las pruebas en muchos casos deben tener cobertura y granularidad

Mayor y más eficaz uso de las herramientas disponibles, y más concretamente de la auditoría embebida, automática, continua, en tiempo real y de las CAATT.

En las bases de datos también es vital el establecimiento de controles efectivos, debido a

que es ahí donde reposa toda la información sensible de la organización e incluso de entes

externos a la organización como es el caso de los clientes. La importancia de las bases de

datos fueron mostradas a través de todo el informe y lo sensible de esta herramienta

tecnológica nos obliga a no descuidarlas.

Las Bases de Datos Oracle, mostraron lo robustas que son para el manejo de pequeñas

empresas como para grandes corporaciones, y la gama de productos en el ámbito de

seguridad que mantienen totalmente actualizados para mitigar los riesgos que las bases de

datos puedan estar expuestas. Las herramientas, como utilizarlas, en que área específica

utilizarlas fue mostrado y explicado, dejando al lector con buena información y motivándolo a

investigar más sobre cualquier punto que desee desarrollar.

El contrato de auditoría informática, como todo lo que afecta a la regulación jurídica de las

Tecnologías de la Información y las Comunicaciones, no es algo que se encuentre

delimitado. La inseguridad jurídica es palpable.

El objetivo propio de esta contratación, además de su multiplicidad, se caracteriza por la

dificultad de su configuración jurídica. La profesión de auditor informático, aparte de su falta

de regulación, sufre, entre otras cosas, de intrusismo profesional y de extralimitación de sus

funciones. La empresa que solicita una auditoria informática suele tener dudas en cuanto a

su objeto y a su resultado. La diferencia de expectativas es aquí mayor porque ni siquiera se

tiene claro lo que se espera, pues se espera todo, se espera una solución, no una detección

de los problemas. En cuanto a los terceros, menos claro tienen aún la existencia y

delimitación de la figura del contrato. Por otra parte, la causa, como hemos visto, es

escasamente legal en cuanto a periodicidad en la obligación.

Aprovechemos pues las similitudes existentes y la indefinición legal que sufre en muchos

puntos la auditoría de cuentas para comenzar un proceso normativo propio que delimite la

figura de la auditoria de sistemas de información en todos sus aspectos desde los subjetivos,

definiendo el perfil del auditor informático, hasta los objetivos, en cuanto a la regulación legal

principalmente, y los instrumentales u organizativos.

Es preciso lograr una regulación, del tipo que sea, propia y delimitadora, declarativa que no

constitutiva, de lo que es una realidad creciente en número e importancia: la profesión de

auditoría informática.

BIBLIOGRAFIA

· Normas Generales para la Auditoría de los Sistemas de Información ISACA

· Auditoria de Tecnologías y Sistemas de Información

· Piattini, M., Marcos, E., Calero, C. y Vela, B. (2006).Tecnología y Diseño de Base de Datos.

Madrid, Ra- Ma

LINKOGRAFIA

· http:// es.wikipedia.org/wiki/c%c3%b3rvido

· http:// es.wikipedia.org/wiki/Enhydra_lutris

· http:// es.wikipedia.org/wiki/Tool

· http:// es.wikipedia.org/wiki/Generalized_Audit_Software

· http:// es.wikipedia.org/wiki/Computer_Assisted_Auditing_Techniques

· http://www.isaca.org · Base de Datos Cobit, Disponible

http://www.bluecoreresearch.com/papers/cobit.pdf

· Introducción a la Auditoría Simple, Dsiponible

http://www.petefinnigan.com/papers/audit.sql

· Gestión de Seguridad de Base de Datos

http://www.desarrolloweb.com/articulos/gestion-seguridad-oracle-I.html

· Access Control on Tables, Views, Synonyms, or Rows

http://download.oracle.com/docs/cd/B19306_01/network.102/b14266/accessre.htm#CHDDG

EJG

trabajo final

Documents