La funcin del desarrollo abarca todas las fases que se deben de seguir desde que aparece la necesidad de disponer de un SI hasta que ste es construido e implantado. Incluye todo el ciclo de vida del SW, exceptuando explotacin, mantenimiento y retiro. La auditora de desarrollo trata de verificar la existencia y aplicacin de procedimientos de control adecuados que permitan garantizar que el desarrollo de SI se ha llevado a cabo siguiendo los principios de ingeniera de SW (entendindose por Ingeniera de SW el establecimiento y uso de principios de ingeniera robustos, orientados a obtener SW econmico que sea fiable, cumpla con los requisitos previamente establecidos y funcione de manera eficiente sobre mquinas reales) El rea de desarrollo y, por lo tanto, tambin su auditora, es importante por las siguientes razones: los avances en TI ha hecho que el principal factor de xito en informticas sea mejorar la calidad del SW; el gasto destinado al SW s cada vez mayor; el SW como producto es muy difcil de validar (a mayor control, mejor calidad y menores costos de mantenimiento); el ndice de fracasos en proyectos de desarrollo es demasiado alto; los SI son una herramienta de trabajo esencial para la administracin y toma de decisiones. La auditora se divide en dos grandes reas: auditora de la organizacin y administracin del rea de desarrollo y auditora de proyectos de desarrollo de SI. ISACA (Information Systems Audit and Control Association) propone una metodologa basada en administracin de riesgos, y determina controles para minimizar stos. Algunos de los controles se mencionan a continuacin. Auditora de la organizacin y administracin del rea de desarrollo 1. El rea de desarrollo debe tener cometidos asignados dentro del departamento y una organizacin que permita el cumplimiento de los mismos. a. Se deben establecer en forma clara las funciones del rea de desarrollo, por lo que se debe comprobar que: existe un documento que contiene las funciones que corresponden al rea, aprobado por la direccin de informtica y que se respeta. b. Debe especificarse el organigrama con la relacin de puestos del rea, as como del personal y el puesto que cada uno ocupa. Debe existir un procedimiento para la promocin del personal. c. El rea debe tener y difundir su propio plan a corto, mediano y largo plazo. Se debe comprobar que: El plan existe, es claro y realista; los recursos actuales y los que se planifica se integrarn posteriormente son suficientes para su cumplimiento; se revisa y actualiza peridicamente en funcin de las nuevas situaciones; se difunde a todos los empleados 2. El personal del rea de desarrollo debe contar con la formacin adecuada y estar motivado para realizar su trabajo a. Debe existir un protocolo de recepcin/abandono para las personas que se incorporan o dejan el rea. Se debe comprobar que: el protocolo existe y se respeta para cada incorporacin/abandono; para la incorporacin, incluye al menos los estndares definidos, manual de organizacin del rea, definicin de puestos, etc.; en los abandonos del personal se garantiza la proteccin del rea. b. El personal debe estar motivado en la realizacin de su trabajo. Se debe comprobar que: existe algn mecanismo que permite a los empleados hacer sugerencias sobre mejoras en la organizacin del rea; no existe gran rotacin de personal y hay un buen ambiente de trabajo; el rendimiento del personal no cae por debajo de los mismos y que el absentismo laboral es similar al del resto de la organizacin 3. La propuesta y aprobacin de nuevos proyectos debe realizarse de forma regulada a. Debe existir un procedimiento para la propuesta de realizacin de nuevos proyectos. Debe comprobarse que: existe un mecanismo para registrar necesidades de desarrollo de nuevos SI, con al menos la descripcin de la necesidad, departamento solicitante, riesgos, tiempo, costo de realizacin, ventajas que aporta, adaptacin a los planes del negocio, etc.; se respeta el mecanismo en todas las propuestas b. Debe existir un procedimiento de aprobacin de nuevos proyectos. Se debe comprobar que: hay un procedimiento para estudiar la justificacin y llevar un estudio de viabilidad de cada nuevo proyecto, incluyendo anlisis costo-beneficio; estn designadas las reas que decidirn la realizacin y prioridades de nuevos proyectos. 4. El desarrollo de SI debe hacerse aplicando principios de ingeniera de SW ampliamente aceptados a. Debe tenerse implementada una metodologa de desarrollo de SI soportada por herramientas de ayuda (CASE). b. Debe existir un mecanismo de creacin y utilizacin de estndares, as como estndares definidos para las actividades principales.
LA AUDITORA DE SISTEMA DE INFORMACIN
La auditoria en informtica es la revisin y la evaluacin de los controles, sistemas, procedimientos de informtica; de los equipos de cmputo, su utilizacin, eficiencia y seguridad, de la organizacin que participan en el procesamiento de la informacin, a fin de que por medio del sealamiento de cursos alternativos se logre una utilizacin ms eficiente y segura de la informacin que servir para una adecuada toma de decisiones. La auditoria en informtica deber comprender no slo la evaluacin de los equipos de cmputo, de un sistema o procedimiento especfico, sino que adems habr de evaluar los sistemas de informacin en general desde sus entradas, procedimientos, controles, archivos, seguridad y obtencin de informacin. La auditoria en informtica es de vital importancia para el buen desempeo de los sistemas de informacin, ya que proporciona los controles necesarios para que los sistemas sean confiables y con un buen nivel de seguridad. Adems debe evaluar todo (informtica, organizacin de centros de informacin, hardware y software).
LA AUDITORA DE LA EXPLOTACIN
El nivel de competencia que existe entre las empresas les obliga a tomar decisiones rpidas y acertadas, por lo que el funcionamiento adecuado y la continua actualizacin de los SI son muy necesarios. Los recursos de los SI se han de utilizar de forma que permitan la eficacia y eficiencia de la empresa, adems de que deben asegurar la confidencialidad de sus datos. Para hacer el seguimiento y comprobar que el SI est actuando como debe, ste habr de disponer de un control interno que prevenga los eventos no deseados, o en su defecto que los detecte y los corrija. Para esta rea de la auditora es posible seguir la gua de clasificacin de los controles que hace el proyecto CobiT (es un marco reconocido internacionalmente, que permite la estandarizacin de criterio relacionado con controles sobre TI).
LA AUDITORA DE REDES
Todos los sistemas de comunicacin, desde el punto de vista de auditora, presentan una problemtica comn: la informacin transita por lugares fsicamente alejados de las personas responsables. Esto presupone un compromiso en seguridad, ya que no existen procedimientos fsicos para garantizar la inviolabilidad de la informacin. En las redes, por causas propias de la tecnologa, pueden producirse bsicamente tres tipos de incidencias: alteracin de bits, ausencia de tramas y alteracin de la secuencia. Los tres mayores riesgos a controlar son la indagacin (un tercero puede leer la informacin), suplantacin (un tercero introduce un mensaje falso que el receptor cree proviene del emisor legtimo) y la modificacin (un tercero altera el contenido de un mensaje). El primer punto de una auditora de comunicaciones es determinar que la funcin de administracin de redes y comunicaciones est claramente definida, y que exista (entre otros): una gerencia de comunicaciones con autoridad para establecer procedimientos y polticas; procedimientos y registros de inventarios y cambios; funciones de vigilancia y uso de la red, ajustes a rendimientos, registro de incidencias y resolucin de problemas; procedimientos para el seguimiento al costo de las comunicaciones y su adecuada distribucin a las reas adecuadas; monitoreo de uso de la red para realizar mejoras en rendimiento; planes de comunicacin a largo y corto plazo, incluyendo estrategias de comunicaciones de voz y datos; normas para el tipo de equipo que puede ser instalado en la red; procedimientos de autorizacin para conectar nuevos equipos a la red. En la auditora de la red fsica debe analizarse hasta qu punto las instalaciones fsicas de los edificios ofrecen garantas y han sido estudiadas las vulnerabilidades existentes. Debe comprobarse que los accesos fsicos desde el exterior han sido registrados y que desde el interior del edificio no se intercepte fsicamente el cableado. En caso de desastres debe poder comprobarse cul es la parte del cableado que puedes seguir funcionando y qu actividad puede soportar. Algunos de los objetivos de control de esta rea son los siguientes, los cuales deben asegurar la existencia de: reas controladas para los equipos de comunicaciones para prevenir accesos no autorizados; proteccin y tendido adecuado de cables y lneas de comunicaciones para evitar accesos fsicos; controles de utilizacin y monitoreo de la red y su trfico; controles especficos en caso de que se utilicen lneas telefnicas con acceso a red de datos para prevenir accesos no autorizados. En el aspecto lgico, es necesario monitorear la red, revisar errores que se producen y tener establecidos procedimientos para detectar y aislar equipos que presenten comportamiento inadecuado. Como objetivos de control, se debe marcar la existencia de: contraseas y otros procedimientos para limitar y detectar cualquier intento no autorizado a la red; facilidades de control de errores para detectar errores de transmisin y establecer las retransmisiones apropiadas; controles para asegurar que las transmisiones van solamente a usuarios autorizados; registro de la actividad de la red para ayudar a reconstruir incidencias y detener accesos no autorizados; tcnicas de cifrado de datos donde existan riesgos de accesos no autorizados a transmisiones confidenciales; pruebas peridicas donde se simulen ataques para descubrir vulnerabilidades, documentando los resultados y corrigiendo las deficiencias encontradas.
LA AUDITORA DE LA SEGURIDAD
Para muchos la seguridad sigue siendo el rea principal a auditar, hasta el punto de que en algunas entidades se cre inicialmente la funcin de auditora informtica para revisar la seguridad, aunque despus se hayan ido ampliando los objetivos. Cada da es mayor la importancia de la informacin, especialmente relacionada con sistemas basados en el uso de tecnologa de informacin y comunicaciones, por lo que el impacto de las fallas, los accesos no autorizados, la revelacin de la informacin, entre otros problemas, tienen un impacto mucho mayor que hace algunos aos.