Peritar vs Auditar

Dentro de lo que es la seguridad de sistemas de informacin, existen algunos

trminos que se confunden generalmente en sus fines y objetivos a lograr. Tal
es el caso de la consultora, auditoria y eritacin, sin embargo sus
funcionalidades est!n muy delimitadas y desde luego las cometencias de
actuaciones as como los roductos originados.
"xisten algunas rgidas fronteras que imiden a los exertos en estas tres
!reas resentarse ante un cliente como un exerto en las tres.
#as rinciales diferencias entre estos tres exertos son$
Tendencias en Auditora Informtica 2007
%omo se recoge en el informe Price&ater'ouse%ooers ())* +tate of t'e
,nternal Audit Profession +tudy durante los tres -ltimos a.os la seccin /)/ de
la #ey +01 con los requerimientos esecficos que obligan a las coma.ias a
2documentar, evaluar, verificar y monitori3ar sus controles internos sobre los
informes financieros4 'a suuesto en "".55. un gran aso cualitativo ara el
afian3amiento de la Auditora ,nform!tica y 'a suuesto tambin un gran
incremento de la demanda de Auditores ,nform!ticos 6ver informe comentado7.
0tras disosiciones legales como 8asilea ,,, 29,PAA4 6Acta, 29ealt' ,nsurance
Portability and Accountability47 y :#8A 64:ra'am;#eac' 8liley Act47 tambin
est!n contribuyendo.a este afian3amiento.
#a entrada en vigor, durante ())*, de la norma ,+0<,"% (=))> como est!ndar
mundial ara los +istemas de :estin de +eguridad de la ,nformacin +:+, y
sus requerimientos de Auditora ara la obtencin de las certificaciones,
tambin 'an de suoner un gran incremento de la demanda de Auditores
,nform!ticos. 0tros est!ndares en los que ya est! articiando "sa.a, como
los %riterios %omunes, tambin recisan de Auditores de +eguridad de
Productos y +istemas ,nform!ticos, 6ver resentacin7.
"n "sa.a la #0PD 6#ey 0rg!nica de Proteccin de Datos Personales7 est!
sirviendo de base ara que en nuestro as el Auditor en ,nform!tica sea un
rofesional cada ve3 m!s solicitado. "n la actualidad tanto en las "mresas
Privadas como en las Administraciones y 0rganismos P-blicos se est!n
llevando a cabo royectos de adecuacin de sus +istemas ,nform!ticos a la
#0PD que requieren de la Auditora ,nform!tica
Aunque en la actualidad la legislacin existente relacionada con la
Informtica sigue siendo escasa, en los -ltimos a.os los :obiernos
comien3an a tomar conciencia de la necesidad de exigir responsabilidades
en los riesgos derivados de los sistemas informticos y de la necesidad de
establecer controles adecuados. Podemos observar como en estas nuevas
leyes la Auditora ,nform!tica siemre est! resente.
#a Auditora y +eguridad ,nform!tica avan3an en aralelo en la nueva +ociedad
de la ,nformacin, que con su roio afian3amiento est! incrementando la
demanda de Auditores en ,nform!tica e ,ngenieros eseciali3ados en
+eguridad ,nform!tica.
Software de auditoria
9asta 'ace ya algunos a.os se 'an utili3ado roductos soft&are llamados
genricamente ?aquetes de auditora@, caaces de generar rogramas ara
auditores escasamente cualificados desde el unto de vista inform!tico.
A!s tarde, dic'os roductos evolucionaron 'acia la obtencin de muestreos
estadsticos que ermitieran la obtencin de consecuencias e 'itesis de la
situacin real de una instalacin.
"n la actualidad, los roductos +oft&are eseciales ara la auditora
inform!tica se orientan rincialmente 'acia lenguajes que ermiten la
interrogacin de fic'eros y bases de datos de la emresa auditada. "stos
roductos son utili3ados solamente or los auditores externos, or cuanto los
internos disonen del soft&are nativo roio de la instalacin.
Del mismo modo, la roliferacin de las redes locales y de la filosofa B%liente;
+ervidorB, 'an llevado a las firmas de soft&are a desarrollar interfaces de
transorte de datos entre comutadoras ersonales y mainframe, de modo que
el auditor inform!tico coia en su roia P% la informacin m!s relevante ara
su trabajo.
%abe recordar, que en la actualidad casi todos los usuarios finales oseen
datos e informacin arcial generada or la organi3acin inform!tica de la
%oma.a.
"fectivamente, conectados como terminales al B9ostB, almacenan los datos
roorcionados or este, que son tratados osteriormente en modo P%. "l
auditor se ve obligado 6naturalmente, deendiendo del alcance de la auditora7
a recabar informacin de los mencionados usuarios finales, lo cual uede
reali3ar con suma facilidad con los olivalentes roductos descritos. %on todo,
las oiniones m!s autori3adas indican que el trabajo de camo del auditor
inform!tico debe reali3arse rincialmente con los roductos del cliente.
Cinalmente, 'a de indicarse la conveniencia de que el auditor confeccione
ersonalmente determinadas artes del ,nforme. Para ello, resulta casi
imrescindible una cierta soltura en el manejo de Procesadores de Texto,
aquetes de :r!ficos, 9ojas de %!lculo, etc.
!emplos de software para la auditoria de redes
;;; PacDetTra 6'tt$<<&&&.PacDetTra DE+ Audit es una utilidad que une una o
m!s direcciones ,P con sus corresondientes nombres DE+ 6Domain Eame
+ystem ; +istema de nombres de dominio7. #a 'erramienta reali3a b-squedas
en los nombres de DE+ ara que ueda asegurar que la redireccin y la
b-squeda coinciden. #a 'erramienta adem!s muestra el valor de los arc'ivos
de la Eet8,0+, local 'ost y ,m'ost ara cada direccin ,P. "l Auditor de DE+
es arte de %onjunto de 9erramientas "dicin Profesional tF*) ; control de la
red y 'erramientas de diagnsticos en una -nica interfa3.
;;; PacDetTra 6'tt$<<&&&.PacDetTra.com Port +can es una utilidad que
busca uertos de red abiertos T%P en uno o m!s nodos de la red. Port +can
uede ser configurado ara escanear los uertos utili3ados m!s com-nmente o
un conjunto de uertos ersonali3ados seg-n sean necesarios. #os r!idos y
acertados resultados ueden ser exortados. Ping +can es arte de la +uite de
9erramientas tF*) ; 'erramientas de monitori3acin de redes de trabajo y
diagntico en una solo interfa3.
;;; "l rograma Eet&orD Asset TracDer te genera un inventario en red sin
instalar alg-n soft&are en la comutadora ersonal del usuario. 0btiene una
comleta informacin sobre sistemas oerativos, aquetes de servicio,
actuali3aciones, 'ard&are, soft&are y rocesos en ejecucin de manera r!ida
en las comutadoras remotas. %rea reortes sobre 'ard&are, soft&are y
rocesos en ejecucin en todas las comutadoras de tu red local.
""" Total #etwor$ Inventor% es un rograma de inventario de P% y rograma
de inventario de soft&are y 'ard&are en la red, o sea un rograma de
inventario de red, ara redes de oficina y de emresas grandes. Total Eet&orD
,nventory interroga todos los ordenadores y ort!tiles en la red y genera la
informacin comleta sobre el sistema oerativo, +ervice PacD, comilacin,
disositivos, soft&are, rocesos ejecutados, etc. en los equios remotos. "sta
informacin se a.ade a la base de datos centrali3ada y los administradores de
la red ueden generar informes ara cada P% o ara todos los equios 6incluso
ort!tiles7 en la red. "l rograma no necesita agente de soft&are ni rograma
instalado en los equios remotos 6ort!tiles7.