Auditoria

¿QUÉ SE AUDITA EN EL ÁREA DE LA INFORMÁTICA O SISTEMAS?

Una auditoría de un sistema de información debe cubrir tres áreas:

• Auditoría de la parte tecnológica. Deberá incluir obligatoriamente un estudio de la obsolescencia de nuestro parque y la estimación del final de su ciclo de vida: en hardware y en software (cuando el fabricante deja de mantener los equipos y el software asociado). Ver si se han actualizado los elementos de software: sistema operativo y software de dispositivos de una manera regular. Estudiar la configuración de las comunicaciones y su tecnología: tipo

• de red local, tipo de conexión remota (por telefonía, banda ancha u otros medios). A este análisis se le añadirán los riesgos, los planes de acción inmediatos (riesgos reales) y las recomendaciones (para riesgos potenciales clasificados por prioridad).

• Auditoría de la parte funcional. Incluirá una descripción detallada de las aplicaciones que utilizamos, tanto para ofimática como para registro de pacientes, historiales, etcétera, si es que usamos alguna.

• Auditoría de seguridad. Quizás sea la más importante, pero es totalmente dependiente de las dos anteriores. Por ejemplo, una tecnología obsoleta incrementa el riesgo de pérdida de información, una mala utilización de las aplicaciones aumenta el número de errores.

• Esta auditoria debe incluir obligatoriamente: cómo se realizan las copias de seguridad, qué sistema antivirus tenemos en uso y cómo se actualiza, qué sistema de bloqueo de acceso a internet estamos utilizando (firewall).

• Pero, además, cómo accedemos a la información: quién tiene acceso a qué y por qué, cómo está protegida la clave de administrador del sistema y quién la conoce, cómo controlamos los envíos de ficheros fuera de nuestro entorno, y un largo etcétera.

Alcance de la Auditoría Informática:

El alcance ha de definir con precisión el entorno y los límites en que va a desarrollarse la auditoría informática, se complementa con los objetivos de ésta. El alcance ha de figurar expresamente en el Informe Final, de modo que quede perfectamente determinado no solamente hasta que puntos se ha llegado, sino cuales materias fronterizas han sido omitidas.

Control de integridad de registros:

Hay Aplicaciones que comparten registros, son registros comunes. Si una Aplicación no tiene integrado un registro común, cuando lo necesite utilizar no lo va encontrar y, por lo tanto, la aplicación no funcionaría como debería.

Control de validación de errores:

Se corrobora que el sistema que se aplica para detectar y corregir errores sea eficiente.

Síntomas de Necesidad de una Auditoría Informática:

Las empresas acuden a las auditorías externas cuando existen síntomas bien perceptibles de debilidad. Estos síntomas pueden agruparse en clases:

• Síntomas de desorganización

• Puede ocurrir con algún cambio masivo de personal, o en una reestructuración fallida de alguna área o en la modificación de alguna Norma importante

• Síntomas de mala imagen e insatisfacción de los usuarios

• Síntomas de debilidades económico-financiera

• Síntomas de Inseguridad: Evaluación de nivel de riesgos

a. Seguridad Lógica

b. Seguridad Física

c. Confidencialidad

Dentro de las áreas generales, se establecen las siguientes divisiones de Auditoría

1. Informática

2. Explotación

3. Sistemas

4. Comunicaciones

5. Desarrollo de Proyectos

Revisión de Controles de la Gestión Informática:

Para ello, habrán de revisarse sucesivamente y en este orden:

1. Las Normas Generales de la Instalación Informática. Se realizará una revisión inicial sin estudiar a fondo las contradicciones que pudieran existir, pero registrando las áreas que carezcan de normativa, y sobre todo verificando que esta Normativa General Informática no está en contradicción con alguna Norma General no informática de la empresa.

2. Los Procedimientos Generales Informáticos. Se verificará su existencia, al menos en los sectores más importantes. Por ejemplo, la recepción definitiva de las máquinas debería estar firmada por los responsables de Explotación. Tampoco el alta de una nueva Aplicación podría producirse si no existieran los Procedimientos de Backup y Recuperación correspondientes.

3. Los Procedimientos Específicos Informáticos. Igualmente, se revisara su existencia en las áreas fundamentales. Así, Explotación no debería explotar una Aplicación sin haber exigido a Desarrollo la pertinente documentación. Del mismo modo, deberá comprobarse que los Procedimientos Específicos no se opongan a los Procedimientos Generales. En todos los casos anteriores, a su vez, deberá verificarse que no existe contradicción alguna con la Normativa y los Procedimientos Generales de la propia empresa, a los que la Informática debe estar sometida.

El sistema para auditar y dar el alta a una nueva Aplicación es bastante ardua y compleja, hoy (algunas empresas lo usarán, otras no) se utiliza un sistema llamado U.A.T (User Acceptance Test). Este consiste en que el futuro usuario de esta Aplicación use la Aplicación como si la estuviera usando en Producción para que detecte o se denoten por sí solos los errores de la misma. Estos defectos que se encuentran se van corrigiendo a medida que se va haciendo el U.A.T. Una vez que se consigue el U.A.T., el usuario tiene que dar el Sign Off ("Esto está bien"). Todo este testeo, auditoría lo tiene que controlar, tiene que evaluar que el testeo sea correcto, que exista un plan de testeo, que esté involucrado tanto el cliente como el desarrollador y que estos defectos se corrijan. Auditoría tiene que corroborar que el U.A.T. prueba todo y que el Sign Off del usuario sea un Sign Off por todo.

La decisión de abordar una Auditoría Informática de Seguridad Global

...