Dentro de lo que es la seguridad de sistemas de informacin, existen algunos
trminos que se confunden generalmente en sus fines y objetivos a lograr. Tal es el caso de la consultora, auditoria y eritacin, sin embargo sus funcionalidades est!n muy delimitadas y desde luego las cometencias de actuaciones as como los roductos originados. "xisten algunas rgidas fronteras que imiden a los exertos en estas tres !reas resentarse ante un cliente como un exerto en las tres. #as rinciales diferencias entre estos tres exertos son$ Tendencias en Auditora Informtica 2007 %omo se recoge en el informe Price&ater'ouse%ooers ())* +tate of t'e ,nternal Audit Profession +tudy durante los tres -ltimos a.os la seccin /)/ de la #ey +01 con los requerimientos esecficos que obligan a las coma.ias a 2documentar, evaluar, verificar y monitori3ar sus controles internos sobre los informes financieros4 'a suuesto en "".55. un gran aso cualitativo ara el afian3amiento de la Auditora ,nform!tica y 'a suuesto tambin un gran incremento de la demanda de Auditores ,nform!ticos 6ver informe comentado7. 0tras disosiciones legales como 8asilea ,,, 29,PAA4 6Acta, 29ealt' ,nsurance Portability and Accountability47 y :#8A 64:ra'am;#eac' 8liley Act47 tambin est!n contribuyendo.a este afian3amiento. #a entrada en vigor, durante ())*, de la norma ,+0<,"% (=))> como est!ndar mundial ara los +istemas de :estin de +eguridad de la ,nformacin +:+, y sus requerimientos de Auditora ara la obtencin de las certificaciones, tambin 'an de suoner un gran incremento de la demanda de Auditores ,nform!ticos. 0tros est!ndares en los que ya est! articiando "sa.a, como los %riterios %omunes, tambin recisan de Auditores de +eguridad de Productos y +istemas ,nform!ticos, 6ver resentacin7. "n "sa.a la #0PD 6#ey 0rg!nica de Proteccin de Datos Personales7 est! sirviendo de base ara que en nuestro as el Auditor en ,nform!tica sea un rofesional cada ve3 m!s solicitado. "n la actualidad tanto en las "mresas Privadas como en las Administraciones y 0rganismos P-blicos se est!n llevando a cabo royectos de adecuacin de sus +istemas ,nform!ticos a la #0PD que requieren de la Auditora ,nform!tica Aunque en la actualidad la legislacin existente relacionada con la Informtica sigue siendo escasa, en los -ltimos a.os los :obiernos comien3an a tomar conciencia de la necesidad de exigir responsabilidades en los riesgos derivados de los sistemas informticos y de la necesidad de establecer controles adecuados. Podemos observar como en estas nuevas leyes la Auditora ,nform!tica siemre est! resente. #a Auditora y +eguridad ,nform!tica avan3an en aralelo en la nueva +ociedad de la ,nformacin, que con su roio afian3amiento est! incrementando la demanda de Auditores en ,nform!tica e ,ngenieros eseciali3ados en +eguridad ,nform!tica. Software de auditoria 9asta 'ace ya algunos a.os se 'an utili3ado roductos soft&are llamados genricamente ?aquetes de auditora@, caaces de generar rogramas ara auditores escasamente cualificados desde el unto de vista inform!tico. A!s tarde, dic'os roductos evolucionaron 'acia la obtencin de muestreos estadsticos que ermitieran la obtencin de consecuencias e 'itesis de la situacin real de una instalacin. "n la actualidad, los roductos +oft&are eseciales ara la auditora inform!tica se orientan rincialmente 'acia lenguajes que ermiten la interrogacin de fic'eros y bases de datos de la emresa auditada. "stos roductos son utili3ados solamente or los auditores externos, or cuanto los internos disonen del soft&are nativo roio de la instalacin. Del mismo modo, la roliferacin de las redes locales y de la filosofa B%liente; +ervidorB, 'an llevado a las firmas de soft&are a desarrollar interfaces de transorte de datos entre comutadoras ersonales y mainframe, de modo que el auditor inform!tico coia en su roia P% la informacin m!s relevante ara su trabajo. %abe recordar, que en la actualidad casi todos los usuarios finales oseen datos e informacin arcial generada or la organi3acin inform!tica de la %oma.a. "fectivamente, conectados como terminales al B9ostB, almacenan los datos roorcionados or este, que son tratados osteriormente en modo P%. "l auditor se ve obligado 6naturalmente, deendiendo del alcance de la auditora7 a recabar informacin de los mencionados usuarios finales, lo cual uede reali3ar con suma facilidad con los olivalentes roductos descritos. %on todo, las oiniones m!s autori3adas indican que el trabajo de camo del auditor inform!tico debe reali3arse rincialmente con los roductos del cliente. Cinalmente, 'a de indicarse la conveniencia de que el auditor confeccione ersonalmente determinadas artes del ,nforme. Para ello, resulta casi imrescindible una cierta soltura en el manejo de Procesadores de Texto, aquetes de :r!ficos, 9ojas de %!lculo, etc. !emplos de software para la auditoria de redes ;;; PacDetTra 6'tt$<<&&&.PacDetTra DE+ Audit es una utilidad que une una o m!s direcciones ,P con sus corresondientes nombres DE+ 6Domain Eame +ystem ; +istema de nombres de dominio7. #a 'erramienta reali3a b-squedas en los nombres de DE+ ara que ueda asegurar que la redireccin y la b-squeda coinciden. #a 'erramienta adem!s muestra el valor de los arc'ivos de la Eet8,0+, local 'ost y ,m'ost ara cada direccin ,P. "l Auditor de DE+ es arte de %onjunto de 9erramientas "dicin Profesional tF*) ; control de la red y 'erramientas de diagnsticos en una -nica interfa3. ;;; PacDetTra 6'tt$<<&&&.PacDetTra.com Port +can es una utilidad que busca uertos de red abiertos T%P en uno o m!s nodos de la red. Port +can uede ser configurado ara escanear los uertos utili3ados m!s com-nmente o un conjunto de uertos ersonali3ados seg-n sean necesarios. #os r!idos y acertados resultados ueden ser exortados. Ping +can es arte de la +uite de 9erramientas tF*) ; 'erramientas de monitori3acin de redes de trabajo y diagntico en una solo interfa3. ;;; "l rograma Eet&orD Asset TracDer te genera un inventario en red sin instalar alg-n soft&are en la comutadora ersonal del usuario. 0btiene una comleta informacin sobre sistemas oerativos, aquetes de servicio, actuali3aciones, 'ard&are, soft&are y rocesos en ejecucin de manera r!ida en las comutadoras remotas. %rea reortes sobre 'ard&are, soft&are y rocesos en ejecucin en todas las comutadoras de tu red local. """ Total #etwor$ Inventor% es un rograma de inventario de P% y rograma de inventario de soft&are y 'ard&are en la red, o sea un rograma de inventario de red, ara redes de oficina y de emresas grandes. Total Eet&orD ,nventory interroga todos los ordenadores y ort!tiles en la red y genera la informacin comleta sobre el sistema oerativo, +ervice PacD, comilacin, disositivos, soft&are, rocesos ejecutados, etc. en los equios remotos. "sta informacin se a.ade a la base de datos centrali3ada y los administradores de la red ueden generar informes ara cada P% o ara todos los equios 6incluso ort!tiles7 en la red. "l rograma no necesita agente de soft&are ni rograma instalado en los equios remotos 6ort!tiles7.