EDUCANDO A SUS MIEMBROS
Roberto Gómez López
AUDITORÍA E INFORMÁTICA
El concepto de auditoria es un examen crítico que se realiza con el fin de evaluar la eficacia y eficiencia de una sección, un organismo, una entidad, etc. La Informática hoy, está dentro de la gestión integral de la empresa, y por eso, las normas y estándares propiamente informáticos deben estar, sometidos a los generales de la misma.
AUDITORÍA E INFORMÁTICA
El concepto de auditoria es un examen crítico que se realiza con el fin de evaluar la eficacia y eficiencia de una sección, un organismo, una entidad, etc. La Informática hoy, está dentro de la gestión integral de la empresa, y por eso, las normas y estándares propiamente informáticos deben estar, sometidos a los generales de la misma.
En consecuencia, las organizaciones informáticas forman parte de lo que se ha denominado el “management” o gestión de la empresa. Cabe aclarar que la Informática no gestiona propiamente la empresa, ayuda a la toma de decisiones, desde el momento en que es una herramienta adecuada de colaboración. En este sentido y debido a su importancia en el funcionamiento de una empresa, existe la Auditoria Informática.
Los principales objetivos que constituyen a la auditoria Informática son el control de la función informática, el análisis de la eficiencia de los Sistemas Informáticos que comporta, la verificación del cumplimiento de la Normativa general de la empresa en este ámbito y la revisión de la eficaz gestión de los recursos materiales y humanos informáticos.
El auditor informático ha de velar por la correcta utilización de los amplios recursos que la empresa pone en juego para disponer de un eficiente y eficaz sistema de Información. Claro está, que para la realización de una auditoria informática eficaz, se debe entender a la empresa en su más amplio sentido, ya que una Universidad, un Ministro o un Hospital son tan empresas como una sociedad anónima o empresa pública. Todos utilizan la informática para gestionar sus “negocios” de forma rápida y eficiente con el fin de obtener beneficios económicos y de coste.
Los Sistemas Informáticos están sometidos al control correspondientes. El auditor informático ha de velar por la correcta utilización de los amplios recursos que la empresa pone en juego para disponer de un eficiente y eficaz herramienta de colaboración en el sistema de información.
Por eso, al igual que los demás órganos de la los Sistemas Informáticos están sometidos al control correspondiente, circunstancia que no se debe olvidar . La importancia de llevar un control de esta herramienta se puede deducir de varios aspectos que pasamos a citar:
- Las computadoras y los Centros de Proceso de Datos se convirtieron en blancos apetecibles no solo para el espionaje, sino para la delincuencia y el terrorismo. En este caso interviene la Auditoria Informática de Seguridad.
- Las computadoras creadas para procesar y difundir resultados o información elaborada pueden producir resultados o información errónea si dichos datos son, a su vez, erróneos. Este concepto obvio es a veces olvidado por las mismas empresas que terminan perdiendo de vista la naturaleza y calidad de los datos de entrada a sus Sistemas Informáticos, con la posibilidad de que se provoque un efecto cascada y afecte a Aplicaciones independientes. En este caso interviene la Auditoria Informática de Datos.
- Un Sistema Informático mal diseñado puede convertirse en una herramienta harto peligrosa para la empresa: como las maquinas obedecen ciegamente a las órdenes recibidas y la modelización de la empresa está determinada por las computadoras que materializan los Sistemas de Información, la gestión y la organización de la empresa no puede depender de un Software y Hardware mal diseñados.
Estos son solo algunos de los varios inconvenientes que puede presentar un Sistema Informático, de ahí, la necesidad de la Auditoría de Sistemas.
Alcance de la auditoría informática
El alcance ha de definir con precisión el entorno y los límites en que va a desarrollarse la auditoria informática, se completa con los objetivos de ésta. El alcance ha de figurar expresamente en el Informe Final, de modo que quede perfectamente determinado no solamente hasta que puntos se ha llegado, sino cuales materias fronterizas han sido omitidos. En este sentido un ejemplo de este control surge al plantearse las siguientes cuestiones ¿Se someterán los registros grabados a un control de integridad exhaustivo? ¿Se comprobará que los controles de validación de errores son adecuados y suficiente?
La indefinición de los alcances de la auditoria compromete el éxito de la misma. Caracteristicas de la auditoría informática.
La información de la empresa y para la empresa, siempre importante, se ha convertido en un Activo de la misma, como sus Stocks o materias primas si las hay. Por ende, han de realizarse inversiones informática, materia de la que se ocupa la Auditoria de Inversión Informática.
Del mismo modo, los Sistemas Informáticos han de protegerse de modo global y particular, ello se debe la existencia de la Auditoria de Seguridad Informática en general, o a la auditoria de Seguridad de alguna de sus áreas, como pudieran ser Desarrollo o Técnicas de Sistema.
Cuando se produce cambios estructurales en la Informática, se reorganiza de alguna forma su función: se está en el campo de la Auditoria de Organización Informática.
Estos tres tipos de auditorias engloban a las actividades auditorias que se realizan en una auditoria parcial. Además cuando se realiza una auditoria del área de Desarrollo de Proyecto de la Informática de una empresa , es porque en ese desarrollo existen, además de ineficiencias, debilidades de organización, o de inversiones, o de seguridad, o alguna mezcla de ellas.
La operatividad es una función de mínimo consistente en que la organización y las maquinas funcionan, siquiera mínimamente. No es admisible detener la maquinaria informática para descubrir sus fallos y comenzar de nuevo. La auditoria debe iniciar su actividad cuando los Sistemas están operativos, lo cual constituye el principal objetivo a mantener. Tal objetivo debe conseguirse tanto a nivel global como parcial.
Es por ello, por lo que la operatividad de los Sistemas ha de constituir entonces la principal preocupación del auditor informático. Para conseguirla hay que acudir a la realización de controles técnicos, generales de operatividad y control técnicos específicos de operatividad, previos a cualquier actividad de aquel.
Los controles gécnicos Generales son los que se realizan para verificar la compatibilidad de funcionamiento simultaneo del Sistema Operativo y el Software de base con todos los subsistemas existentes, así como la compatibilidad del Hardware y del Software instalados. Estos controles son importantes en las instalaciones que cuentan con varios competidores, debido a que la profusión de entornos de trabajo muy diferenciados obliga a la contratación de diversos productos de Software básico, con el consiguiente riesgo de abonar más de una vez el mismo producto o desaprovechar parte del Software abonado.
Puede ocurrir también con los productos de Software básico desarrolla dos por el personal de sistema interno, sobre todo cuando los diversos equipos están ubicados en centros de proceso de datos geográficos alejados. Lo negativo de esta situación es que puede producir la inoperatividad del conjunto. Cada centro de proceso de datos tal vez sea operativo trabajando independientemente, pero no será posible la interconexión e intercomunicación de todos los centros de proceso de datos si no existen productos comunes y compatibles.
Los controles técnicos específicos, de modo menos acusado, son igualmente necesario para lograr la Operatividad de los Sistemas.
Todas las Aplicaciones que se desarrollan son muy parametrizadas, es decir, que tienen un montón de parámetro que permiten configurar cual va a ser el comportamiento del Sistema. Una Aplicación va a usar para tal y tal cosa cierta cantidad de espacio en disco.
Si uno no analizó cual es la operatoria y el tiempo que le va a llevar a ocupar el espacio asignado, y se pone un valor muy pequeño, puede ocurrir que un día la Aplicación se caiga. Si esto sucede en medio de la operatoria y la Aplicación se cae, el volver a levantarla, con la nueva asignación de espacio, si hay por ejemplo que hacer reconversiones puede llegar a demandar muchísimo tiempo, lo que significa un riesgo enorme.
Auditoría Informática
RSS es un sencillo formato de datos que es utilizado para redifundir contenidos a suscriptores de un sitio web. El formato permite distribuir contenido sin necesidad de un navegador, utilizando un software disenado para leer estos contenidos RSS (agregador).
RSS es un sencillo formato de datos que es utilizado para redifundir contenidos a suscriptores de un sitio web. El formato permite distribuir contenido sin necesidad de un navegador, utilizando un software disenado para leer estos contenidos RSS (agregador).
La Informática hoy, está integrando en la gestión de la empresa, y por eso las normas y estándares propiamente informáticos deben estar sometidos a los generales de la misma. Debido a su importancia en el funcionamiento de una empresa, existe la Auditoría Informática. La Auditoría Informática es un examen crítico que se realiza con el fin de evaluar la eficacia y eficiencia de una empresa al nivel del tecnologias de la información.
Auditoría
Casos reales de problemas solucionados por nosotros
Clientes representativos de auditorias informáticas.
Control interno según los objetivos empresariales.
Los principales objetivos que constituyen a la Auditoría Informática son:
* el control de la función informática,* el análisis de la eficacia del Sistema Informático,* la verificación de la implantación de la Normativa,* la revisión de la gestión de los recursos informáticos.
Hemos seleccionado los siguientes articulos para usted:
El servicio de auditoría en la Ley Orgánica de Protección de Datos, Fuente externa: belt.es
Auditoría Informática, Alcance de la Auditoría Informática, Características de la Auditoría Informática, Planes de Contingencia, Fuente externa: monografias.com
Ya no hay excusa para perder archivos, Fuente externa: monografias.com
El servicio de auditoría en la Ley Orgánica de Protección de Datos
El artículo 9 de la Ley Orgánica de Protección de Datos de Carácter Personal (en adelante LOPD) establece que, tanto el Responsable del Fichero como el Encargado del Tratamiento, deberán adoptar las medidas no sólo de índole técnico sino también de índole organizativo para garantizar la seguridad y evitar la pérdida, alteración y destrucción de ficheros con datos de carácter personal.
Pero este artículo goza de su propio desarrollo reglamentario materializado en el Real Decreto 994/1999, de 11 de junio, por el que se aprueba el Reglamento de Medidas de Seguridad.
Concretamente, su artículo 17 establece que “Los sistemas de información e instalaciones de tratamiento de datos se someterán a una auditoría interna o externa, que verifique el cumplimiento del presente Reglamento, de los procedimientos e instrucciones vigentes en materia de seguridad de datos, al menos, cada dos años”.
Sin embargo, esta no fue la primera ley que habla de ello, sino que ya en la Instrucción 1/1995, de 1 de marzo, de la Agencia de Protección de Datos, relativa a Prestación de Servicios de Información sobre Solvencia Patrimonial y Crédito, se habla de la realización de una auditoría en lo que al tema de protección de datos se refiere, al establecer que la implantación, idoneidad y eficacia de las medidas de seguridad, deberá acreditarse mediante una auditoría y la remisión del informe final de la misma a la Agencia de Protección de Datos.
Sin embargo, la auditoria puede presentarse en dos figuras diferentes; una interna y otra externa.
En lo que respecta a la auditoría interna, las dudas acerca de una efectiva independencia son amplias, al ser realizada por personal interno de la propia organización.
De la auditoría externa, decir que es realizada por una empresa externa y que nada tiene que ver con la organización auditada.
Aunque la visión que tenemos hoy en día sobre una buena auditoría de seguridad de protección de datos de carácter personal, se queda en el plano de la simple auditoría sobre el cumplimiento de las medidas de seguridad, que podría calificarse como de incompleto y considerar que debe ser completada con la auditoria informática, tal y como establece la LOPD al hablar de medidas de índole técnica y organizativa.
Pero ¿cuál es el principal cometido en una auditoria? Es verificar la adecuación de procedimientos, medidas, estándares de seguridad establecidos por el responsable del tratamiento y el Reglamento de Medidas de Seguridad. Una vez realizado el análisis de todo lo anterior y detectadas las anomalías, el auditor procederá a proponer las medidas correctoras necesarias.
Los pasos de una auditoría son principalmente:• Fijación del calendario y de los interlocutores, tanto de la empresa auditada como de la empresa que audita.• Recogida de la documentación e información oportuna.• Entrevistas con los usuarios.• Análisis de la documentación y de la información previamente recogida.• Entrega del Informe de Auditoría y del Reglamento de Medidas de seguridad.
Pero ¿qué sucede con la figura del Auditor?El problema principal radica en que no se haya regulada en ningún manual y no existe ningún registro al respecto, por lo que el único requisito radica en su calificación y experiencia en diferentes proyectos.
Lo que sí debemos tener claro es que el Auditor debe ser una persona en constante formación debido a que la rapidez con la que progresan las nuevas tecnologías hace que, en caso contrario, se quede desfasado y fuera del mercado laboral.
Auditoría Informática
Alcance de la Auditoría InformáticaEl alcance ha de definir con precisión el entorno y los límites en que va a desarrollarse la auditoría informática, se complementa con los objetivos de ésta. El alcance ha de figurar expresamente en el Informe Final, de modo que quede perfectamente determinado no solamente hasta que puntos se ha llegado, sino cuales materias fronterizas han sido omitidas. Ejemplo: ¿Se someterán los registros grabados a un control de integridad exhaustivo*? ¿Se comprobará que los controles de validación de errores son adecuados y suficientes*? La indefinición de los alcances de la auditoría compromete el éxito de la misma.
*Control de integridad de registros: Hay Aplicaciones que comparten registros, son registros comunes. Si una Aplicación no tiene integrado un registro común, cuando lo necesite utilizar no lo va encontrar y, por lo tanto, la aplicación no funcionaría como debería.*Control de validación de errores: Se corrobora que el sistema que se aplica para detectar y corregir errores sea eficiente.
Características de la Auditoría InformáticaLa información de la empresa y para la empresa, siempre importante, se ha convertido en un Activo Real de la misma, como sus Stocks o materias primas si las hay. Por ende, han de realizarse inversiones informáticas, materia de la que se ocupa la Auditoría de Inversión Informática.Del mismo modo, los Sistemas Informáticos han de protegerse de modo global y particular: a ello se debe la existencia de la Auditoría de Seguridad Informática en general, o a la auditoría de Seguridad de alguna de sus áreas, como pudieran ser Desarrollo o Técnica de Sistemas.
Cuando se producen cambios estructurales en la Informática, se reorganiza de alguna forma su función: se está en el campo de la Auditoría de Organización Informática.Estos tres tipos de auditorías engloban a las actividades auditoras que se realizan en una auditoría parcial. De otra manera: cuando se realiza una auditoria del área de Desarrollo de Proyectos de la Informática de una empresa, es porque en ese Desarrollo existen, además de ineficiencias, debilidades de organización, o de inversiones, o de seguridad, o alguna mezcla de ellas.
Síntomas de Necesidad de una Auditoría Informática:
Las empresas acuden a las auditorías externas cuando existen síntomas bien perceptibles de debilidad. Estos síntomas pueden agruparse en clases:
* Síntomas de descoordinación y desorganización:
- No coinciden los objetivos de la Informática de la Compañía y de la propia Compañía.- Los estándares de productividad se desvían sensiblemente de los promedios conseguidos habitualmente.
* Síntomas de descoordinación y desorganización:
- No coinciden los objetivos de la Informática de la Compañía y de la propia Compañía.- Los estándares de productividad se desvían sensiblemente de los promedios conseguidos habitualmente.
[Puede ocurrir con algún cambio masivo de personal, o en una reestructuración fallida de alguna área o en la modificación de alguna Norma importante]
* Síntomas de mala imagen e insatisfacción de los usuarios:
. Ejemplos: cambios de Software en los terminales de usuario, refrescamiento de paneles, variación de los ficheros que deben ponerse diariamente a su disposición, etc.- No se reparan las averías de Hardware ni se resuelven incidencias en plazos razonables. El usuario percibe que está abandonado y desatendido permanentemente.
- No se cumplen en todos los casos los plazos de entrega de resultados periódicos. Pequeñas desviaciones pueden causar importantes desajustes en la actividad del usuario, en especial en los resultados de Aplicaciones críticas y sensibles.
* Síntomas de debilidades económico-financiero:
- Incremento desmesurado de costes.- Necesidad de justificación de Inversiones Informáticas (la empresa no está absolutamente convencida de tal necesidad y decide contrastar opiniones).- Desviaciones Presupuestarias significativas.
- Costes y plazos de nuevos proyectos (deben auditarse simultáneamente a Desarrollo de Proyectos y al órgano que realizó la petición).
* Síntomas de Inseguridad: Evaluación de nivel de riesgos
- Seguridad Lógica- Seguridad Física – Confidencialidad[Los datos son propiedad inicialmente de la organización que los genera. Los datos de personal son especialmente confidenciales]- Continuidad del Servicio. Es un concepto aún más importante que la Seguridad. Establece las estrategias de continuidad entre fallos mediante Planes de Contingencia* Totales y Locales.
- Centro de Proceso de Datos fuera de control. Si tal situación llegara a percibirse, sería prácticamente inútil la auditoría. Esa es la razón por la cual, en este caso, el síntoma debe ser sustituido por el mínimo indicio.
Planes de Contingencia:
Por ejemplo, la empresa sufre un corte total de energía o explota, ¿Cómo sigo operando en otro lugar? Lo que generalmente se pide es que se hagan Backups de la información diariamente y que aparte, sea doble, para tener un Backup en la empresa y otro afuera de ésta. Una empresa puede tener unas oficinas paralelas que posean servicios básicos (luz, teléfono, agua) distintos de los de la empresa principal, es decir, si a la empresa principal le proveía teléfono Telecom, a las oficinas paralelas, Telefónica. En este caso, si se produce la inoperancia de Sistemas en la empresa principal, se utilizaría el Backup para seguir operando en las oficinas paralelas. Los Backups se pueden acumular durante dos meses, o el tiempo que estipule la empresa, y después se van reciclando.
Ya no hay excusa para perder archivos
Crear una copia de seguridad del contenido de nuestro PC es una de esas cosas que, como alimentarnos bien o cambiar el aceite del auto, todos sabemos que hay que hacer, pero que pocos llevamos a cabo.
Durante años los expertos en computadoras nos han advertido que debemos hacer una versión de respaldo de nuestro disco duro regularmente, pero la mayoría no hemos hecho caso. Esto ocurre porque tradicionalmente se ha creído que esta tarea es tediosa, laboriosa o cara, dependiendo del método que se utilice.
Aún recuerdo cómo, cuando empezaba a hacer uso del ordenador, me sentaba y pasaba largo rato metiendo y sacando docenas de disquetes en el PC para tener una copia del disco duro. Más adelante, tuve que lidiar con drives de cintas voluminosos y softwares complicados para crear la copia de seguridad.
Pero salvaguardar nuestra información se ha vuelto más importante que nunca. Los ordenadores siempre han sido artefactos frágiles, sujetos a descomponerse y fallar. Ahora también son el blanco de ataques masivos de piratas informáticos, programadores de virus y otros delincuentes digitales. Estas agresiones pueden corromper o destruir nuestros archivos, o forzarnos a reformatear el disco duro, lo que también borra toda nuestra información.
Así que, ¿qué sistema de respaldo puede protegernos contra tales pérdidas, siendo lo suficientemente fácil de usar como para que la gente lo use regularmente? Yo recomiendo comprar un disco duro externo y utilizar un software de respaldo automatizado para copiar la información del disco duro principal a este disco de seguridad de manera regular.
Para superar la resistencia habitual del usuario, cualquier método de crear copias de seguridad debe ser sencillo, disponer del espacio suficiente y ser automático. Asimismo, deberá funcionar según un horario que le fijemos, sin que tengamos que prestarle atención y sin que tengamos que realizar ninguna operación manual.
Esto descarta copiar los archivos manualmente a un CD, DVD u otro tipo de discos extraíbles. Puede que ese sistema resulte útil para algunos, pero requiere demasiados esfuerzos manuales y esto no lo hace un método eficaz para la mayoría de la gente. Además, es sumamente fácil quedarse sin espacio o discos suficientes para almacenar toda la información.
Otro método, suscribirse a un servicio que hace una copia automática a través de Internet, tiene la ventaja de ser automático, pero puede ser también costoso. Además, los servicios basados en la Web raramente ofrecen el espacio suficiente para copiar la mayor parte de la información que contienen los enormes discos duros de hoy, a menos que uno esté dispuesto a pagar mucho.
Pero, si se utiliza correctamente, el método del disco duro externo ofrece suficiente espacio, puede ser totalmente automático y sorprendentemente económico. Ni siquiera hay que abrir el pc o instalar ningún accesorio dentro de ella. Hoy en día es verdaderamente fácil adquirir un disco duro externo que se puede conectar a una máquina Windows o Macintosh mediante un cable USB 2.0 o un puerto FireWire, y los sistemas operativos actuales lo reconocen inmediatamente y cuesta aproximadamente menos de US$100. Lo mantengo conectado a mi pc.
Cada noche, a las 2 a.m., el software se activa y sincroniza las carpetas clave que designé en mi disco duro con carpetas idénticas en el disco duro externo. Después de la primera vez solamente copia los archivos nuevos o modificados. Si en algún momento borro accidentalmente un documento o carpeta puedo recuperarlo fácilmente desde el disco de seguridad.
Hace poco probé un método más sencillo: un disco duro que incluye software, llamado OneTouch II, de Maxtor Corp. Este producto consiste en un disco duro externo, listo para funcionar en cuanto se conecta con una máquina Windows o Macintosh a través de un cable USB 2.0 o FireWire. Incluye un software simple y eficaz para copias de seguridad, con versiones tanto para Windows como para Mac. El software puede activarse con sólo apretar un botón, o entrar en funcionamiento automáticamente en un horario determinado.
Actualmente, el OneTouch II está disponible en EE.UU. en dos versiones relativamente grandes y caras: un modelo de 250 gigabytes, que cuesta en ese país US$329,95, y otro de 300 gigabytes, que vale allí US$379,95. Ambos están disponibles en América Latina al precio base de EE.UU., más impuestos locales.
Estos modelos tienen una capacidad superior a la que el usuario promedio necesita, pero la compañía asegura que producirá versiones más pequeñas, a precios más reducidos, para comienzos del año próximo.
La clave del OneTouch II es el software que incluye, una versión especial y simplificada de Retrospect, un programa de Dantz Development Corp. Éste puede copiar automáticamente toda la información de su disco duro o ciertos documentos y carpetas.
En mi prueba, hecha con una Hewlett-Packard Pavilion, el OneTouch II se instaló rápida y fácilmente y el software funcionó bien. Mi única queja es que la copia de seguridad inicial fue bastante lenta. Copiar unos 51 gigabytes de información tomó más de 12 horas. Los respaldos subsiguientes, que sólo copiaron los archivos nuevos o modificados, fueron mucho más rápidos. Borré un par de archivos y pude recuperarlos rápidamente utilizando la función de “restaurar” del programa.
OneTouch II es un buen producto, pero aunque uno elija este método, que incluye un software, o un disco duro externo que usa un software comprado por separado, hacer una copia de seguridad de nuestros archivos en un disco duro externo tiene mucho sentido.
Compartir
Recomendar
