Antes de ahondar en la auditoría informática es
necesario conocer que es la auditoria como tal. Puede considerarse, un examen crítico que se realiza con el fin de
evaluar la eficacia y eficiencia de una sección, un organismo, una entidad. La
palabra auditoría proviene del latín auditorius, y de esta proviene la palabra auditor, que se
refiere a todo aquel que tiene la virtud de oír; nace como un
órgano de control de algunas instituciones estatales y privadas.
La función auditora debe ser
absolutamente independiente; no tiene carácter ejecutivo, ni son vinculantes
sus conclusiones. Queda a cargo de la empresa tomar las decisiones pertinentes;
posee elementos de análisis, de verificación y de exposición de debilidades y
disfunciones. Aunque pueden aparecer sugerencias y planes de acción para
eliminar las disfunciones y debilidades antedichas; estas sugerencias plasmadas
en el Informe final reciben el nombre de recomendaciones.
La Auditoria se rige en su ejercicio
por una serie de principios, entre los mas importantes estan:
PRINCIPIO DE CALIDAD
• En el auditor deberá prestar sus servicios a
tenor de las posibilidades de la ciencia y medios a su alcance con absoluta
libertad respecto a la utilización de dichos medios y en unas condiciones
técnicas adecuadas para el idóneo cumplimiento de su labor.
• En los casos en el que la precariedad de medios
puestos a su disposición impidan o dificulten seriamente la realización de la
auditoría, deberá segarse a realizarla hasta que se garantice un mínimo de
condiciones técnicas que no comprometan la calidad de sus servicios o
dictámenes.
PRINCIPIO DE CAPACIDAD
• El auditor debe estar plenamente capacitado
para la realización de la auditoría encomendada, maximice teniendo en cuenta
que, a los auditados en algunos casos les puede ser extremadamente difícil verificar
sus recomendaciones y evaluar correctamente la precisión de las mismas.
• Debe, por tanto, ser plenamente consciente del
alcance de sus conocimientos y de su capacidad y aptitud para desarrollar la
auditoría evitando que una sobreestimación personal pudiera provocar el
incumplimiento parcial o total de la misma.
• Conviene indicar que en los casos de producirse,
por el contrario, una subestimación de su capacidad de su capacidad
profesional, esta circunstancia podría afectar negativamente en la confianza
del auditado sobre el resultado final de la auditoría.
• A efectos de garantizar, en la medida de lo
posible, la pertinencia de sus conocimientos, el auditor deberá procurar que
éstos evolucionen, al unísono con el desarrollo de las tecnologías de la
información, en una forma dinámica.
• Es deseable que se fortalezca la certificación
profesional de la aptitud de los auditores para realizar unos trabajos de
índole tan compleja.
• Esta certificación que deberá tener a plazo de
validez acorde con la evolución de las nuevas tecnologías de la información de
la información, debería estar validada y garantizada por la metodología
empleada para acreditar dicha especialización.
PRINCIPIO DE CAUTELA
• El auditor en todo momento debe ser
consiente de que sus recomendaciones deben estar basadas en el experiencia
contrastada que se le supone tiene adquirida, evitando que, por un exceso de
vanidad, el auditado se embarque en proyectos de futuro fundamentos en simples
intuiciones sobre la posible evolución de las nuevas tecnologías de la
información.
• Si bien es cierto que el auditor debe estar
al corriente del desarrollo de dichas tecnologías de información e informar al
auditado de su previsible evolución, no es menos cierto que deben evitar la
tentación de creer que, gracias a sus conocimientos, puede aventurar, con un
casi absoluto grado de certeza.
• Debe, por tanto, el auditor actuar con un
cierto grado de humildad, evitando dar la impresión de estar al corriente de
una información privilegiada sobre el estado real de la evolución de los
proyectos.
PRINCIPIO DE COMPORTAMIENTO
PROFESIONAL
• El auditor, tanto en sus relaciones con el
auditado como con terceras personas, deberá, en todo momento, actuar conforma a
las normas, implícitas o explícitas, de dignidad de la profesión y de
corrección en el trato personal.
• Para ello deberá cuidar la moderación en la
exposición de sus juicios u opiniones evitando caer en exageraciones o
atemorizaciones innecesarias procurando, en todo momento, transmitir una imagen
de precisión y exactitud en sus comentarios.
• El comportamiento profesional
exige del auditor una seguridad en sus conocimientos técnicos y una clara
percepción de sus carencias, debiendo eludir las injerencias no solicitadas por
él, de profesionales de otras áreas, en temas relacionadas o que puedan incidir
en el resultado da la auditoría.
Características de la Auditoría
Informática:
La información de la empresa y para la
empresa, siempre importante, por ello se considera un activo real de la
misma, como sus Stocks o materias primas si las hay. Del mismo modo, los
Sistemas Informáticos han de protegerse de modo global y particular: a ello se
debe la existencia de la Auditoría de Seguridad Informática en
general, o a la auditoría de Seguridad de alguna de sus áreas, como pudieran
ser Desarrollo o Técnica de Sistemas.
Cuando se producen cambios
estructurales en la Informática, se reorganiza de alguna forma su función: se
está en el campo de la Auditoría de Organización Informática.
Estos tres tipos de auditorías engloban
a las actividades auditoras que se realizan en una auditoría parcial. De otra
manera: cuando se realiza una auditoria del área de Desarrollo de Proyectos de
la Informática de una empresa, es porque en ese Desarrollo existen, además de
ineficiencias, debilidades de organización, o de inversiones, o de seguridad, o
alguna mezcla de ellas.
Auditoria Informática de Comunicaciones
El auditor de Comunicaciones
deberá proveerse de la topología de la Red de Comunicaciones,
actualizada, ya que la desactualización de esta documentación significaría una
grave debilidad. La inexistencia de datos sobre cuantas líneas existen, cómo
son y donde están instaladas, supondría que se bordea la Inoperatividad
Informática. Sin embargo, las debilidades más frecuentes o importantes se
encuentran en las disfunciones organizativas. La contratación e instalación de
líneas va asociada a la instalación de los Puestos de Trabajo correspondientes
(Pantallas, Servidores de Redes Locales, Computadoras con tarjetas de
Comunicaciones, impresoras, entre otros.).
Durante la realización de la auditoria de comunicaciones el auditor debe
controlar:
- La gestión de red, los equipos y su conectividad.
- La monitorización de las comunicaciones.
- La revisión de costes y la asignación formal de proveedores.
- Creación y aplicabilidad de estándares.
Para ello debe establecer objetivos de control:
- Tener una gerencia de comunicaciones con plena autoridad de voto y acción.
- Llevar un registro actualizado de módems, controladores, terminales, líneas y todo equipo relacionado con las comunicaciones.
- Mantener una vigilancia constante sobre cualquier acción en la red.
- Registrar un coste de comunicaciones y reparto a encargados.
- Mejorar el rendimiento y la resolución de problemas presentados en la red.
- Para garantizar el cumplimiento de los objetivos y garantizar el funcionamiento óptimo de las comunicaciones el auditor debe comprobar:
- El nivel de acceso a diferentes funciones dentro de la red.
- Coordinación de la organización de comunicación de datos y voz.
·
Han de existir normas de comunicación en:
- Tipos de equipamiento como adaptadores LAN.
- Autorización de nuevo equipamiento, tanto dentro, como fuera de las horas laborales.
- Uso de conexión digital con el exterior como Internet.
- Instalación de equipos de escucha como Sniffers (exploradores físicos) o Traceadores (exploradores lógicos).
- La responsabilidad en los contratos de proveedores.
- La creación de estrategias de comunicación a largo plazo.
- Los planes de comunicación a alta velocidad como fibra óptica.
- Planificación de cableado.
- Planificación de la recuperación de las comunicaciones en caso de desastre.
- Documentación sobre el diagramado de la red.
- Realizar pruebas sobre los nuevos equipos.
- Establecer las tasas de rendimiento en tiempo de respuesta de las terminales y la tasa de errores.
- Vigilancia sobre toda actividad on-line.