Auditoría Informática

MIGUEL ANGEL RAMOS GONZÁLEZ*

Doctor en Informática.
Socio-Director de Informáticos Europeos Extertos (IEE)

Sed quis custodiet ipsos custodes Quvenal)

1. Introducción

Aunque habitualmente hablamos de Auditoría Informática, sería preferible

hablar de Auditoría en Informática, como dicen muchos de nuestros colegas de
Hispanoamérica. Al mismo tiempo hemos de ir adaptando la denominación a la
realidad: Auditoría de Sistemas de Información; a algunos les faltará espacio
en las tarjetas si quieren precisar más y dicen Auditor en Sistemas de Información
(SI) y en Tecnología(s) de la Información (TI), pero ¿cuántos sistemas de
información empresariales hoy día no están basados en TI?

•* Miguel A. Ramos, Doctor en Infmmática (tesis sobre A.I.), CISA (Certified Information
Systems Auditor por ISACF), del Comité Directivo de OAI - !SACA; profesor de A.I. en la
Universidad Carlos III de Madrid. Coautor de libros técnicos. Socio Director de lEE -
Informáticos Europeos Expertos. E-mail: mramos@iee.es.

fnj{mnática y Derecho

657
 Hace algunos años se hablaba en inglés de EDP Auditor. auditor en proceso
electrónico de datos, pero también hablábamos de mecanización antes de eso. No
se trata al1ora de una modernización de términos sino de una nueva orientación
de es te tipo de auditoría, que puede abarcar globalmente los sistemas de
información: la planificación, el grado de alineamiento con las estrategias de las
entidades, cómo los SI y el aprovechamiento de las TI aportan ventajas
competitivas a la entidad, la gestión de los recursos, y la medida de la rentabilidad
de todo ello, que es quizá el único punto que personalmente temo cuando se nos
sugiere por parte de los clientes a la hora de establecer objetivos de la auditoría:
algunas entidades tienen detallados sus costes (contabilidad analítica), pero ¿cómo
cuantificar los auditores en algunas semanas las ventajas y los beneficios si la
propia entidad no ha podido hacerlo en toda su existencia?

2. Justificación

La Auditoría en Sistemas de Información como función interna está

plenamente justificada en las entidades de cierto volumen o criticidad de sus
operaciones, o simplemente más avanzadas en cuanto a planteamientos, y en esos
mismos casos y en otros puede estar igualmente justificada la Auditoría en
Sistemas de Información externa: an1bas pueden complementarse, lejos de ser
excluyentes .

Tanto la normativa como la auditoría son necesarias: una auditoría sin

estándares y normas sería subj etiva y has ta peligrosa (aunque en SI es una
situación habitual, que no normal); la existencia de normativa sin auditoría podría
equivaler a la no existencia de la Guardia Civil de Tráfico, lo que incrementaría
los accidentes, e iría convirtiendo la circulación en caótica y peligrosa.

Otros supuesto tan peligroso o más sería tratar de impartir justicia sm

leyes.

Por tanto, los auditores es tamos habituados a tener que auditar sistemas de
información en entidades sin políticas, con un marco legal incompleto, y usando
estándares internacionales, que a menudo los auditados ponen en tela de juicio
porque no están oblig-ados a cumplirlos.

En el panorama tecnológico can1biante que nos ha tocado vivir los riesgos

varían a gran velocidad según aparecen nuevas modalidades de proceso, pero

658
también surgen nuevos controles, técnicas y herramientas, si bien es aún largo
el camino que queda en la protección.

A modo de reflexión ¿cuántas entidades disponen de políticas y

procedimientos adecuados, así como de mecamsmos para revisar su
cumplimiento? ¿cuántas de clasificación de la información? ¿de separación de
entornos en cuanto a progran1as y datos? ¿cuántas han asignado "propietarios" de
ficheros, tienen plan d~ continuidad a diferentes niveles, realizan auditorías de los
S.I...?

Vendrían bien algunas estadísticas, que por ahora no se tienen.

En defmitiva, como decía un cliente: "No pasan más cosas porque Dios es
bueno", y no conocemos la mayor parte de las que pasan, porque ya se ocupan las
entidades de que no se difundan.

3. Control, Auditoría, e Inspección

Podemos considerar, en es te contexto, que un control aislado es una acción o

actividad, o un conjunto de ellas, realizadas por uno o varios elementos: humanos,
dispositivos ... para prevenir, detectar o corregir errores o irregularidades que
afecten al funcionamiento de algo.

Cuantos mejores controles tengamos -no es por tanto cuest1on de número-

mayor fiabilidad alcanzaremos, si bien debemos considerar tan1bién factores
como coste y productividad.

Los grandes gmpos de controles son los siguientes, además de poderlos

dividir en manuales y automáticos, o en generales y de aplicación:

·Controles directivos, que son los que establecen las bases, como las propias
políticas, o la creación de funciones: de administración de seguridad o auditoría
de S.I. interna.
·Controles preventivos: antes del hecho, como la identificación de visitas o
las contraseñas.

·Controles de detección, como determinadas reviSiones de accesos

producidos, o la detección de incendios.

fllj(mnática y Derecho

659
 ·Controles correctivos, para rectificar errores o acciones intencionadas, como
la recuperación de un archivo dañado desde una copia.

·Controles de recuperación, que facilitan la vuelta a la normalidad después

de accidentes o intermpciones, como puede ser un plan de continuidad
adecuado.

Debemos hablar tan1bién de Objetivos de Control, como declaraciones

sobre el resultado final deseado o propósito a ser alcanzado mediante los
procedin1ientos de control, como los recogidos en las publicaciones COBIT
(Control Objectives for Itiformation and Re!ated Teclmo!ogies) de ISACA (Information System
Attdit and Contro!Association / Foundation).

Cada entidad ha de definir sus propios objetivos de control, y crear y

mantener un Sistema de Control Interno (funciones, procesos, actividades,
dispositivos ...) que puedan garantizar que se alcanzan y se cumplen los objetivos
de control.

La auditoría puede considerarse el "control del control", como una línea de

defensa más.

Además de quienes ejercen funciones de control o de auditoría de S.I.

podemos encontrar otros órganos o gmpos relacionados como: Auditores
financieros u operativos, Inspección de Hacienda, Inspección del Banco de
España (para entidades fmancieras), Inspección de la Agencia de Protección de
Datos (para los de carácter personal), auditores infom1áticos venidos de otros
países en el caso de multinacionales, auditores de calidad, o administradores de la
seguridad.

Los auditores somos los "ojos y oídos" de la Dirección, que a menudo no

puede, o no debe, o no sabe, cómo realizar las verificaciones o evaluaciones.

En los informes se recomendará la implantación o refuerzo de controles, y en

ocasiones incluso que se considere la supresión de controles, si son redundantes o
ya no son necesar10s.

Se debe valorar qué cuesta implantar -y mantener- un control, frente al coste

de no implantarlo.

660
 El sistema de control interno se basa en las políticas, y en parte se puede
implantar con apoyo de herran1ientas, si bien encontramos a menudo que lo que
existe es más bien la implantación basada en el criterio de los técnicos, pero no
sustentada en nom1ativa, o habiendo partido ésta de los propios técnicos, sin
aprobaciones de otro nivel.

El control interno no está aún generalizado en España fuera de los procesos

que implican pagos, pero existen otros riesgos tan importantes o más que las
pérdidas monetarias directas, relacionados con la gestión adecuada de los recursos
informáticos o con la protección de la información, que en este último caso
podrían suponer responsabilidades y pérdidas muy importantes para la entidad.

Si existe un sistema de control interno adecuado los procesos de auditoría,

especialmente si son periódicos, son revisiones que requieren menos esfuerzo,
con inf01mes más breves; si el sistema de control interno es débil, la auditoría
llevará más tiempo, su coste será mayor, y las garantías de que se pong-an en
marcha las recomendaciones son mucho menores; en ocasiones la situación dista
tanto de lo aceptable como la del paciente que se somete a un chequeo después de
varios años sin control.

Más difícil que entre control y auditoría puede resultar matizar las diferencias
entre auditoría e inspección, y no bastaría con decir que inspección es el
concepto clásico y auditoría es un concepto anglosajón y de orientación moderna,
aunque el término auditoría provenga del latín y los antiguos ya llevaran a cabo
auditorías, al parecer principalmente escuchando las declaraciones de los
auditados.

Hoy día es más común hablar de auditoría en las entidades privadas, y de

inspección en las Administraciones Públicas, no habiendo calado aún el enfoque
de auditoría, con alguna excepción como el gmpo existente en el Ministerio de
Economía y Hacienda, integrado por Inspectores de la Hacienda Pública.

También podemos preguntamos las afinidades entre consultoría y auditoría de

S.I.

4. Áreas que puede abarcar la Auditoría

Informática y Derecho

661
 En realidad el concepto que tienen muchos respecto a la auditoría de S.L no
es exacto, y a menudo la confunden con la auditoría de cuentas con ayuda del
ordenador, si bien es claro que el objeto a examinar en ese caso son los estados
contables, balances y otros documentos y aun ficheros de ordenador (incluso con
ayuda de paquetes) pero no deja de ser el ordenador el medio o la herramienta, no
el objeto.

Simplificando podríamos decir que la auditoría de S.I. es la revisión de éstos y

de su entorno, y ello no implica que haya que usar el ordenador: puede tratarse
por ejemplo de una auditoría de funciones, de desarrollo de aplicaciones, de
gestión de proyectos, etc.

Aunque a veces se asocia auditoría de S.I. con auditoría de la seguridad, y és ta

es la función inicial de muchas áreas de auditoría de S.I. interna, la auditoría
puede abarcar muchas otras áreas cómo hemos señalado, y de hecho es dificil
determinar qué áreas no podría abarcar, sobre todo si se entra en la auditoría de la
gestión de los propios S.I.

Una vez centrado el tema, a modo de descripción más que de defmición

formal se propone:

La auditoría de sistemas de itiformación puede comprender:

la revisión, análisis y evaluación independiente y objetiva, p or parte de personas

independientesy técnicamente competentes de:

el entorno informático de una entidad, abarcando todas o algunas de sus áreas, como (sin
que sea con carácter excbgente):

equipos,
sistemas operativosy paquetes,
aplicacionesy elproceso de su desarrollo,
organización y fimciones,
las comunicaciones,
la propia gestión de los recursos informáticos,
la calidad de procesosy productos
las políticas, estándares y procedimientos en vigor etz la entidad, su idoneidad así como el
cumplimiento de:

662
 dichas políticas, estándaresy procedimientos,
los objetivos fijados,
los planes,
los presupuestos,
los contratosy las normas legales aplicables,

el grado de satisfacción de liSUariosy directivos,

los controles existentes,
un análisis de los posibles riesgos relacionadoJ con la Informática.

Como consecuencia de la revisión y examen ha de emitirse un informe

escrito que resuma la situación desde un punto de vista independiente y objetivo
y, en su caso, dicho informe ha de incluir deficiencias e indicación de mejoras.

Una de las utilidades indirectas de la auditoría de sistemas de información es

el apoyo a la auditoría de cuentas, ya que hoy día la mayoría de los entornos
cuentan con equipos inf01máticos para su gestión.

Es evidente que en general no puede considerarse totalmente fiable una

auditoría de cuentas de un entorno informatizado que no vaya acompañada de
una auditoría informática, que asegure que todo el proceso de los datos así como
los propios programas están razonablemente exentos de error y de fraude . Para el
auditor sin conocimientos técnicos es como encontrarse con una "caja negra".

5. El auditor en S.I.

El perfil que se requiere para llevar a cabo auditorías de sistemas de

información no está regulado, pero es evidente que es necesaria una formación y
sobre todo una experiencia acordes con la función, e incluso con las áreas a
auditar: seguridad, desarrollo de aplicaciones, gestión... además de ser
imprescindibles en el pe1::ftl otras características o circw1stancias como
independencia respecto a los auditados, madurez, capacidad de análisis y síntesis,
e interés no meramente económico.

En el seno de la citada ISACA existe un certificado relacionado: CISA

(Certified Information Systems A 11ditor).

Otro punto a considerar al crear la función interna es si se forma a técnicos en

Informática y Derecho

663
auditoría general o se forma a auditores en otras áreas en auditoría en S.I. La
independencia se consigue en parte ubicando la función en el lugar adecuado del
organigrama, fuera en todo caso del área de S.I., circunstancia que no se cumple
en gran número de entidades en Espall.a.

6. Auditoría de la Seguridad

Como decíamos, en algunos casos se llega a confundir auditoría con

seguridad, e incluso hemos encontrado a personas que ostentaban ambas
funciones a la vez, lo que es ilógico e incompatible.

La seguridad es una de las áreas objeto de la auditoría de S.I. pero en absoluto

la única ni en todos los casos la más importante: podrían estar los datos y los
sistemas muy seguros, y sin embargo por ejemplo estar sin cubrir las necesidades
de la entidad, porque las aplicaciones y las inversiones en SI y TI se hubieran
realizado sin alinean1iento con las estrategias de negocio o de servicio de la
entidad.

Desde la perspectiva de la auditoría de la seguridad es necesario revisar si se

han considerado las amenazas, o bien evaluarlas si es el objeto, y de todo tipo:
errores y negligencias en general, desastres naturales, fallos de instalaciones, o
bien fraudes o delitos, y que pueden traducirse en da.í'íos a personas, datos,
programas, redes, instalaciones, u otros, y llegarse a traducir en un peor servicio,
imagen degradada, e incluso pérdida irreversible de datos.

Debemos pensar que las medidas deben considerarse como INVERSIONES

en seguridad, aunque en algunos casos se nos diría que no es fácil reflejarlas
como activos contables y que cual es su rentabilidad; podemos estar de acuerdo,
pero ¿cuál es la rentabilidad de blindar la puerta de acceso a nuestro domicilio, o
la de instalar un antirrobo sofisticado en nuestro coche? Esa rentabilidad la
podemos determinar si los dispositivos o controles han servido para evitar la
agresión, y a veces habrá constituido una medida disuasoria y no llegaremos a
enterarnos de su efecto positivo.

En todo caso la seguridad tiene un impacto favorable en la imagen de las

entidades, aunque ello sólo no suela justificar sus costes, y tanto para clientes y
posibles clientes como para los empleados. Unos y otros pueden sentirse más
protegidos, así como considerar más protegidos sus activos.

664
 Y la protección no ha de basarse sólo en dispositivos y medios físicos, sino en
formación e información adecuada al personal, empezando por la
mentalización a los directivos para que, en "cascada", afecte a todos los niveles
de la pirámide organizativa.

Algunos autores se refieren a los accidentes no humanos como actos de Dios;

cuando ha habido intervención humana en muchos casos ha participado alguien
de la propia entidad afectada, al menos facilitando información sobre controles
existentes y sus debilidades . Cuando los sistemas informáticos son el fm más que
el medio se suele distinguir entre el cracker: alguien que quiere entrar en los
sistemas para hacer daño, y el hacker: quien intenta acceder a los sistemas más
para demostrar (a veces sobre todo para demostrarse a sí mismo/a) de qué es
capaz, y que puede superar las barreras de protección que se hayan establecido,
más que por hacer dafío, aunque finalmente todos lo hag-an de una forma más o
menos directa.

Frente a ello en la auditoría se recomiendan controles, que debieran poder

fundamentarse en la seguridad jurídica, si bien todavía hay muchos aspectos
que nuestras leyes no recogen: no se exige hacer copias de seguridad, por ejemplo,
aunque son evidentes los riesgos de no hacerlo, y de forma especial cuando las
amenazas se han traducido en incidencias.

Debieran también apoyarse los controles, en segundo término, en lo que

podemos denominar seguridad organizativo - administrativa, consistente en
políticas, normas y procedin1ientos, separación de funciones, funciones específicas
como administración de seguridad o la propia de auditoría interna, designación de
propietarios, clasificación de la información, y otras.

En relación con la separación de tareas: es peligroso que una misma

persona realice una transacción, la autorice, y revise después los resultados (un
diario de operaciones, por ejemplo), porque podría planificar un fraude o encubrir
cualquier anomalía, y sobre todo equivocarse y no detectarse; por ello deben
intervenir funciones /personas diferentes y existir controles suficientes.

Después ya podemos lleg-ar a otros controles más extendidos de seguridad

física y lógica.

En un proceso de auditoría, por tanto, se evaluarán estos aspectos, y otros

como si la seguridad es realmente una preocupación corporativa: que exista

lnfimnática y Derecho

665
presupuesto para ello no es suficiente, si las personas a diferentes niveles están
mentalizadas; que exista una cultura de la seguridad, si hay un comité que fije o
apmebe los objetivos correspondientes y en qué medida se alcanzan, qué modelo
de seguridad se quiere implantar o se ha implantado, qué políticas y
procedimientos existen: su idoneidad y grado de cumplimiento, así como la forma
en que se realiza el desarrollo: en un entorno seguro y con inclusión de controles
en las aplicaciones, si el proceso se lleva a cabo igualmente en un entamo seguro:
separación de programas y separación en cuanto a datos, si los seguros cubren !os
riesgos, pero sin que sea ésta la única medida de protección, y si está prevista la
continuidad de las operaciones en el caso de incidencias.

En ocasiones la entidad está en medio de un proceso de implantación de la

seguridad, y la evaluación normalmente abarcará qué proyectos hay en curso, y un
contraste de los objetivos y los medios usados o previstos .

Aunque no es posible en esta ocasión profundizar en todos los puntos sí

queremos incluir algunos comentarios sobre algunos de ellos: en cuanto a
evaluación de riesgos en general, se trata de evaluar la probabilidad de que algo
ocurra y el impacto o pérdida que puede suponer; para ello disponemos de listas,
que podemos incluir en hojas de cálculo, o bien usamos paquetes, y tal vez en el
futuro sistemas expertos. El problema sigue siendo la adaptación de los puntos a
cada caso: tales como actividad, din1ensión, tipo de datos, y plataformas, y asignar
el peso que puede tener cada uno de los puntos.

En el informe se explican los diferentes puntos, e incluso se clasifican por

importancia, y la entidad decide qué acciones tomar y con qué prioridad, a veces
en función de sus disponibilidades de recursos, o bien según qué planes tenga que
puedan afectar, como puede ser la sustitución de equipos o de aplicaciones.

Lo mejor sería poder eliminar los riesgos en todos los casos, pero
normalmente lo más que conseguin1os es disminuir o la probabilidad de que algo
se produzca o bien su impacto: con sistemas de detección, de extinción, mediante
revisiones, o bien copiando ficheros críticos, exigiendo una contraseña, u otros
controles según los casos.

Los manuales hablan de transferir los riesgos, por ejemplo contratando un

seguro, pero debemos recordar que si se nos pierden los datos la entidad
aseguradora nos dará el importe estipulado -si no puede agarrarse a alguna
cláusula en letra pequeña- pero seguiremos sin recuperar los datos.

666
 Finalmente otra posibilidad es asumir los riesgos, pero debe hacerse a un
nivel adecuado en la entidad, y considerando si puede ser mayor el coste de la
inseguridad que el de la seguridad, lo que a veces sólo se sabe cuando ha ocurrido
algo. ¿Cuál es el máximo admisible de riesgo que puede permitirse una entidad?
Depende de lo crítica que sea para ella la información y disponer de ella, e incluso
puede depender del momento: es un tema tan grave que no puede generalizarse la
respuesta ni decidirla un administrador de seguridad.

Volviendo a los aspectos físicos, que son una de las barreras más visibles,
hay puntos a considerar en la auditoría, desde el emplazamiento del centro de
procesos o de los servidores y terminales, el control de accesos, el uso de llaves,
protecciones frente al fuego, agua, vandalismo, robo, y hasta la continuidad de la
energía; respecto a la continuidad en general es fundan1ental disponer de copias
actualizadas en un lugar adecuado.

Además de la identificación física, y como paso siguiente, existe la

identificación y autenticación que denominamos lógica, generalmente mediante
contraseña, si bien si se sigue produciendo un abaratamiento progresivo se puede
empezar a utilizar la biométrica.
Podemos decir que una contraseña es un conjunto de caracteres que sólo
debe conocer el propio usuario, y que sirve para dar acceso a recursos tales como
todo un sistema, ficheros o bases de datos concretos, programas, transacciones, o
incluso el acceso físico .

Puntos a considerar en relación con las contraseñas:

-La contraseña debe ser fácil de recordar por el verdadero usuano, para
evitar que la tenga que escribir, y difícil de imaginar por otros.

·Si fuera necesario anotar la contraseña debe hacerse en lugares protegidos y

preferiblemente disimulada entre otras anotaciones.

·En la mayoría de casos y entornos (no en todos) es preferible que la asigne

el propio usuario, si bien siguiendo criterios adecuados.

·Para evitar situaciones de bloqueo el administrador ha de poder crear, con

el debido control, usuarios con un perfil determinado en caso de emergencia, o
bien existir éstos, y sus datos estar debidan1ente protegidos, incluida la propia

fnj(mnática y Derecho

667
contraseña.

·Se debe limitar el número de intentos cuando el usuario marca la

contraseña, previendo suplantaciones.

·En todo caso es necesario investigar los intentos de acceso fallidos para
verificar si se trata de errores del usuario o intentos de suplantación.

-Las contraseñas han de tener una vigencia limitada, por ejemplo treinta
días; incluso las puede haber de un sólo uso.

En algunos sistemas se trata de hacer al usuano preguntas que otros no

deberían conocer.

·Puede haber también otros modelos pregunta / respuesta, basados en una

función matemática que se ha comunicado al usuario.

·Existen algunos sistemas o aplicaciones que incluyen usuarios y contraseñas

"de fábrica", incluso con perfil de administradores, que deben vartarse o
protegerse, sobre todo cuando aparecen en los propios manuales.

·No deben aparecer en claro en las pantallas, ni en listados ni ficheros, en los

que deben estar cifradas.

Criterios de asignación:

En todo caso debe fijarse una longitud mínima según la criticidad de lo que
se quiere proteger: el código que usan1os para los cajeros de entidades fmancieras
tiene 10.000 posibilidades (10 4), pero si ampliamos la longitud a seis, y utilizamos
además de cifras las letras (unas 26 si el sistema no admite diferenciar mayúsculas
y minúsculas) y algunos símbolos como *, $... (pensemos que hasta cinco
símbolos) tenemos 416 posibilidades .

La realidad demuestra que a menudo se asignan palabras que están en un

procesador de textos, con lo que alguien que conozca algunos de sus caracteres
puede llegar a averiguar los restantes.

·Otra restricción aconsejable es no admitir las "x" últimas asignadas, para

evitar que el usuario asigne de forma alternativa dos o tres contraseñas, lo que

668
disminuye la seguridad.

·Se puede elegir una letra (por ejemplo la primera) de cada palabra de una
frase: refrán, título de una película ...

·O bien tomar una palabra de un libro (incluso siempre del mismo) y del que
anotamos pág-ina, línea y número de palabra, en vez de anotar la contraseña.

·Es evidente que ha de conocerla sólo el usuario y hay que evitar contraseñas
de gmpo o depattamentales, para poder saber quién hizo qué (además de cuándo
y desde dónde) y poder exigir responsabilidades.

Y una posibilidad ciertamente rebuscada pero que se da en forma de "caballo

de Troya", y especialmente peligrosa en un ''PC" que emule un terminal: que
alguien haya introducido un progran1a que sin1Ule el contenido de la pantalla de
identificación al sistema, con los mismos mensajes, grabe la contraseña, haga creer
al usuario que ha habido algún tipo de error y le haga repetir el proceso ya dentro
del procedin1iento normal, con lo que habrá recogido la contraseña (incluso de un
administrador), sin que nadie haya sospechado.

Cuando las contraseñas formen parte de mensajes de comunicaciones pueden

ir camufladas: partidas, en posición variable, y lo mejor de todo: cifradas mediante
algoritmos criptográficos.

El cifrado es una de las medidas más eficaces si se usa bien y se eligen

adecuadan1ente los sistemas, la longitud de las claves, y su distribución; puede
usarse no sólo en las comunicaciones sino tan1bién para proteger los sopottes
magnéticos que haya que trasladar -incluso por seguridad- y especialmente si lo
hacemos por canales menos fiables : para evitar la copia no autorizada o
interceptación del soporte.

Los métodos de los romanos: sustitución de caracteres de un alfabeto (en

todo el mensaje la A por la L, la M por la S...) o transposición (por ejemplo la
primera letra pasa al lugar de la quinta, la cuarta al segundo lugar del texto ...)
resultarían hoy pueriles, sobre todo usando los propios ordenadores para el
criptoanálisis.

Los métodos modernos son mucho más complejos y sus algoritmos más
sofisticados, aunque en muchos casos basados en la sustitución y transposición,

lnjl!rmática y Derecho

669
pero a nivel de "bits" y con todos los caracteres ASCII o EBCDIC.
El más extendido en aplicaciones comerciales, aw1que muy discutido en los
últimos años, es el DES ("Data Encryption Standard") que IBM desarrolló con
el nombre interno de "Lucifer". Es de clave privada y simétrico, es decir la clave
para descifrar es la misma c1ue para cifrar.

Entre los sistemas asimétricos de clave pública des taca RSA (de sus autores
"Rivest, Shamir, Adleman"), basado en las propiedades de los números primos
relativos y los residuos cuadráticos.

Puede cifrarse por "hardware" y por "software".

Las interceptaciones en las comunicaciones ("pinchados'') pueden ser pasivas:

sólo lectura, o activas: variación de contenido.

Deben limitarse los intentos de acceso para evitar que accedan suplantadores
por intentos sucesivos, y en algunos casos es preferible establecer una llamada de
retorno: el sistema identifica al usuario que quiere acceder y le obliga a "colgar"
para ser el propio sistema el que llama a la dirección registrada como válida.

E n el caso de las redes locales, son aplicables muchos de los controles de las
grandes redes, además de establecer controles específicos de prevención y
detección de vims y proteger la configuración de manera que los usuarios sólo
puedan realizar las funciones auto rizadas, en cuanto a cambios, carga de
progran1as, transferencia de ficheros, y otras, para evitar fugas de datos,
introducción de vims y carga o copias "pirata" de programas.

Al hablar de seguridad siempre se habla de sus tres dimensiones :

confidencialidad, integridad y disponibilidad de la información, y algunos
controles van más dirigidos a tratar de garantizar una (o dos) de estas
características.

- La confidencialidad: se cumple cuando sólo las personas autorizadas (en

un sentido amplio podrían1os referirnos tan1bién a sistemas) pueden conocer los
datos o la información correspondiente.

Podemos preguntarnos ¿qué ocurriría si un soporte magnético con los datos

de los empleados o clientes o pacientes de una entidad fuera cedido a terceros?
¿cuál podría ser su uso fmal ? ¿habría una cadena de cesiones o ventas

670
incontroladas de esos datos?

La LORTAD (Ley Orgánica de Regulación del Tratamiento Automatizado de

Datos de carácter personal) ha influido positivamente en concienciamos respecto
a la confidencialidad.

- La integridad: consiste en que sólo las personas autorizadas puedan variar

(modificar o borrar) los datos. Además deben quedar pistas para control posterior
y para auditoría.

Pensemos que alguien variara datos de forma que perdiéramos la información

de determinadas deudas a cobrar (o que sin perderla tuviéramos que recurrir a la
información en papel), o que modificara de forma aleatoria la última patte de los
domicilios de algunos clientes.

Algunas de estas acciones se podrían tardar en detectar, y tal vez las diferentes
copias de seguridad hechas a lo largo del tiempo estarían "viciadas" (cormptas se
dice a veces), lo que haría difícil la reconstrucción.

- La disponibilidad: se alcanza si las personas autorizadas pueden acceder a

tiempo a la información a la que estén autorizadas.

El disponer de la información después del momento necesario puede

equivaler a la falta de disponibilidad. Otro tema es disponer de la información a
tiempo pero que ésta no sea correcta, e incluso que no se sepa? lo que puede
originar la toma de decisiones erróneas .

Otro caso grave es la ausencia de disponibilidad absoluta, por haberse

producido algún desastre. En ese caso, a medida que pasa el tiempo el impacto
será mayor, hasta llegar a suponer la falta de continuidad de la entidad, como ha
pasado en muchos de los casos producidos (más de un 80% según las
es tadís tic as) .

Por tanto, los datos son uno de los activos que más y mejor debemos
proteger, hasta el punto de que en muchas multinacionales la función que
conocemos como administración de seguridad se llan1a data secttriry: es necesaria la
designación de propietarios, clasificación de los datos, restricción de su uso para
pmebas, inclusión de muescas para poder detectar usos no autorizados, así como
aprovechar las posibilidades del Sistema de Gestión de Bases de Datos que se esté

lnjármática y Derecho

671
utilizando.

Uno de los primeros pasos que deben dar las entidades es la clasificación de
la información: definición de unos cuantos niveles y asignación de categorías,
como pueden ser: Pública (no clasificada), Confidencial o Restringida, Secreta, e
incluso de Alto Secreto ("TOP SECRET"), además de pendiente de clasificar.

De este modo se podrá defmir qué pueden conocer los empleados de tal
departamento, o restringir la variación de determinados datos a tal función.

Decíamos que la LORTAD ha supuesto un impulso a la protección de datos

en España, sobre todo en algunos sectores, a pesar de que aún está pendiente el
Reglamento de Seguridad.

Deben establecerse controles en la entrada, proceso y salida de los datos, e

incluso después respecto al tiempo que hay que conservarlos y si es necesario
fmalmente destmirlos, y tanto en soporte magnéti.co, como papel u otros.

En los casos de transacciones más críticas se puede exigir la revisión por un

supervisor independiente antes del proceso.

En cuanto a las bases de datos existen unos criterios generales, además de

recomendaciones específicas según sean bases de datos documentales, orientadas
a objetos, distribuidas, con datos críticos, muy volátiles ...

Cuando se trata de bases de datos con diferentes niveles de confidencialidad e

integridad se pueden usar bases de datos multinivel, que permiten etiquetar los
elementos de datos, y que usuarios o gmpos de usuarios con distintos niveles de
acceso tengan vistas diferentes de la misma base de datos.

Como sobre todo en las entidades grandes y medias los sistemas se basan en
redes de redes, con conexiones internas y externas, es necesario proteger y
controlar los sistemas frente a posibles transferencias de ficheros, ya que los
datos que pueden estar perfectamente protegidos en equipos centrales, una vez
que son transferidos a redes con menor protección pueden a su vez transferirse a
equipos de uso personal e incluso portátiles.

En relación con ello se va imponiendo la identificación y autenticación únicas

(single sign-on), y el intento de que los datos viajen por diferentes plataformas

672
con la misma etiqueta de seguridad que hayan podido tener inicialmente según su
clasificación.

Otro aspecto es la protección de los programas, al menos desde dos

perspectivas: de los progran1as que sean propiedad de la entidad, realizados por el
personal propio o contratados a terceros, y el uso adecuado de aquellos
programas de los que se teng-a licencia de uso, pero este tema se tratará en otra
ponencia expresamente y por un verdadero especialista.

Es necesario hablar de virus, que hace años era un problema que se

relacionaba con el uso de progran1as no legales, y cuya incidencia ha disminuido
aunque nunca hay que bajar la guardia: la disminución en buena medida se debe
al uso progresivo de programas legales, aunque aún estemos lejos de los niveles de
otros países, a las medidas preventivas generales, y al uso de herran1ientas de
prevención y detección, lo que supone en las redes un gran esfuerzo de
administración y actualización, además del coste que suponen los propios
paquetes, hasta el punto de que en muchos casos se protege sólo el servidor, y a
nuestro juicio se debe completar la situación con la existencia de normas
adecuadas y la posibilidad de responsabilizar al usuario.

Existe un riesgo constante porque de forma continua aparecen nuevas

modalidades de virus (a menudo en países distantes) que no son detectadas por
los programas antivims hasta que las nuevas versiones los contemplan. Y un
riesgo adicional es que los virus pudieran llegar a impactar los grandes sistemas,
sobre todo a través de las redes, pero es to es realmente difícil -no nos atrevemos a
decir que imposible- por las características y complejidad de los grandes equipos y
de sus sistemas operativos.

Un último aspecto a considerar en la auditoría de la seguridad, ya citado, es la

continuidad: que en el caso de incidencias de diferente impacto las operaciones
de la entidad puedan reanudarse -incluso no intenumpirse- en un plazo inferior al
fijado, según la criticidad de las aplicaciones. En relación con ello es necesario
revisar en la auditoría si se han determinado los registros vitales -y la información
es uno de ellos- y las aplicaciones que la procesan, y los sistemas de proceso y
redes son necesarios también. A la vez se suele revisar el denominado plan de
evacuación, que afecta más directamente a las personas, y que puede existir con
independencia del anterior, y con carácter general en la entidad o edificio.

Los activos se deben proteger pensando en los intereses de los accionistas, de

lijfórmúrica y Derecho

(;73
los clientes, y también pensando en los empleados y en los proveedores.

7. Auditoría de la Gestión

Es una de las áreas más novedosas para los auditores, hasta el punto de que a
veces en los cursos nos preguntan, incluso profesionales con experiencia, si
realmente tendrían que abordar tan1bién estas áreas .

Entre los objetivos pueden estar:

·Alineamiento y sincronización de las inversiones y uso de los sistemas de

información con las estrategias generales de "negocio" o de servicio.

·Aportación de los S.I. y del aprovechamiento de las tecnologías de la

información para conseguir ventajas competitivas.

·Cobertura de necesidades de cada área usuaria y nivel de servicio, frente al

riesgo de que se vaya a la tecnología por la tecnología.

·Organigrama adecuado.

·Contratos.

·Calidad: de procesos y de productos .

-La llamada informática de usuario fmal, así como la existencia del gran
almacén de datos (Data Warehouse) y su aprovechamiento, llegando a la minería de
datos o Data Mining.

·Políticas, estándares y procedinuentos relacionados con la gestión.

-Existencia y aportación de Con1ités.

·Gestión económica: costes, posible repercusión, rentabilidad.

Es necesario revisar lo que podemos llamar arquitecturas. de datos, de

aplicaciones, de equipos, y topología de comunicaciones.

674
 8. Auditoría del Desarrollo de Aplicaciones

Algunos aspectos a revisar pueden ser: metodología seguida, normativa, grado

de participación de los usuarios, entornos de desarrollo, lenguajes, herramientas,
pruebas, calidad, productividad, costes, e incluso comparación con otros o con
niveles medios o destacados (bencbmarking); y no sólo en el caso de desarrollos
propios, sino desarrollos contratados o con equipos mixtos, e incluso los términos
del contrato, o en el caso del us o de paquetes de aplicación.

El diseño y las pruebas tienen mucho que ver con la calidad, relacionada en
muchos aspectos con la seguridad; así, deben probarse los módulos, rutinas y
programas, realizar pruebas en cadena, de volumen o de "estrés", de aceptación
(por parte de los usuarios, por la unidad de producción o explotación, y por el
área de mantenimiento de aplicaciones), además de considerar la posibilidad de
lanzar versiones alfa y beta, y realizar paralelos.

El uso o no de datos reales vendrá determinado por la clasificación de la

información, y en el caso de usar datos reales debería "mimetizarse" su contenido.

El pase al entorno de explotación real debe estar controlado, no

descartándose la revisión de programas por parte de técnicos independientes del
proyecto, para determinar, además de la calidad, la ausencia de "Caballos de
Troya", bombas lógicas y similares.

9. Auditoría de la Producción

Algunos aspectos a revisar son: el nivel de servicio frente a las necesidades de

los usuarios, la capacidad de proceso, la planificación y control de la explotación,
la posible repercusión de costes, la gestión de problemas y can1bios, y la atención
a usuanos.

10. Técnicas y métodos

En cada proceso de auditoría se fijan los objetivos, án1bito y profundidad, lo

que sirve para la planificación, y para la consideración de las fuentes, según los
objetivos. El factor sorpresa puede llegar a ser necesario en las revisiones, según

lnj(mnática y Derecho

675
lo que se quiera verificar.

Como métodos y técnicas podemos considerar los cuestionarios, las

entrevistas, la observación, los muestreos, las CAAT (Computer Aided
Auditing Techniques), las utilidades y programas, los paquetes específicos, las
pruebas, la simulación en paralelo con datos reales y programas de auditor, o la
revisión de programas.

11. El informe

El informe debe ser escrito en todos los casos, y debe ir firmado.

En él deben constar los antecedentes, el objetivo del proceso de auditoría, los

agradecimientos (si proceden), las posibles limitaciones, y un resumen para la
Dirección, en términos no técnicos.

En cada punto que se incluya debe explicarse, siempre que sea posible, por
qué es un incumplimiento o una debilidad, y alguna recomendación, a veces
abarcando varios puntos.

El informe ha ·de discutirse con los auditados antes de emitir el definitivo.

En algunos casos, bien en el propio informe o en otro documento, se recogen

las respuestas de los auditados.

La entidad decide qué acciones tomar, y en el caso de los internos suelen

hacer también un seguimiento de las implantaciones.

Los auditados siempre buscan un informe lo más benigno posible, mientras

que los auditores nos proponemos lleg-ar a un informe veraz y útil; estos
diferentes puntos de vista a veces crean conflictos en la discusión del informe.

12. Conclusión

La auditoría en S.I. no está suficientemente implantada en la mayoría de las

entidades españolas, si bien supondría una mayor garantía de que las cosas se
hacen bien y como la entidad quiere: en general hay coincidencia entre ambos

676
puntos. Puede ser también una profesión con futuro cuando la auditoría _:
despegue.

Como función aporta al auditor un conocimiento privilegiado del área de S.I.,

con una perspectiva muy amplia.

El auditor, como cualquiera que esté relacionado con las tecnologías de h

información, ha de mantener sus conocimientos al día.

La forma de realizar el trabajo va variando y se está llegando a aplicar el

control por excepción y la teleauditoría.

En cuanto a nuevas áreas, surgen las relaciones con el comercio electrónico

y el uso de SET (Secttre Electronic Transaction), e incluso en cuanto a las pági~as
WEB, y por algunos casos que se han producido, la revisión de quien autoriza,
varía y controla los contenidos; cada vez es más necesaria la separación de
dominios: en las entidades por seguridad y productividad, y en los hogares,
aunque esto se sale de la auditoría y queda en el control, para evitar que ·los ·
menores accedan a contenidos con violencia o pornografía.

Volviendo a las entidades, se están dando muchos casos de uso indebido de

acceso a redes: en varias empresas de Estados Unidos muy conocidas se
registraron más de cuatro mil accesos en 1996 sólo a la revista Pentbouse.
Por último, dos aspectos que hay que tener muy en cuenta: la revisión de los
sistemas en cuanto a su adaptación al euro, y la previsión del tratamiento
adecuado al año 2000, que podría impedirnos entrar en el nuevo milenio con
"buen pie"; ya se están produciendo errores: uno de los más leves el de un
paciente de un centro sanitario de Madrid para el que el ordenador emitió un
volante de pediatría ¡el paciente tiene 101 años! pero este problema se ha dado a
menudo en diferentes sectores y mucho antes de que afecte el cambio de siglo y
de milenio: debemos llegar al 2000 entusiastas, preparados y prevenidos.

Informática y Derecho

677

.. '
 13.ANEXOS

ORGANISMOS Y ENTIDADES RELACIONADOS

ANSEI (Asociación Nacional de Seguridad en Entornos Informáticos)

Tfno: (91) 722 50 40

ASIS (Sociedad americana para la Seguridad Industrial)

Génova, 3
28004 MADRID

AESPI (Asociación Española de Sociedades de Protección contra

Incendios)
Tfno: (91) 411 27 56

Instituto de Auditores Internos

Montera, 24- 4° A
28013 MADRID

OAI (Organización de Auditoría Informática), Capítulo Español de ISACA

Claudia Coello, 18
28001 MADRID

Secretariado de ISO American National Standards Institute

1430 Broadway
New York, NY 10018 Estados Unidos
Tel: 1-212-642-4900

Commission of the European Communities

Senior Officials Group- Information Systems Security Secretariat
DG X111F, TR61, 2/30
Ruede la Loi 200, B-1049 Bruselas BÉLGICA
Fax: + 322-235-0654

Information Systems Audit and Control Association (ISACA)

(Antes Electronic Data Processing Auditors Association, Inc.)
3701 Algonquin Rd., Suite 1010

678
Rolling Meadows, IL 60008 Estados Unidos
Fax: 07-1-708-253-1443

Information Systems Security Association (ISSA)

4350 Dipaolo Ctr.
Glenview, IL 60025
Tel.: 1-708-699-6441
Fax: 1-708-699-6369

Informática y Derecho

679
 REVISTAS Y PUBLICACIONES

SIC (Seguridad en Informática y Comunicaciones)

Jorge Juan, 96 - Bajo 1
28009 MADRID

Cuadernos de Seguridad
Avda. de la Industria, 32, nave 2
28100 ALCOBENDAS (Madrid)

Selecciones Security Management (en español)

Edf. EULEN
Ctra. de La Comña Km. 17,900
28230 LAS ROZAS (Madrid)
Tfno: (91) 631 08 00
Fax: (91) 631 08 51

Computer Fraud & Security Bulletin

Elsevier Advanced Technology, Mayfield House
256 Banbury Rd.
Oxford OX2 7DH Inglaterra
Te! +44-71-239-7764
Fax +44 (O) 865-310981

Computers & Security

Elsevier Advanced Teclmology, Mayfield House
256 Banbury Rd.
Oxford OX2 7DH Ingla

680
Computers Security Journal
Computer Security Institute
600 Harrison St.,
San Francisco, CA 94107 Estados Unidos
Tel: 415-905-2626
Fa.,'{: 415-905-2218

Auditor Journal
ISACA,
3701 Algonquin Rd., Suite 1010,
Rolling Meadows, IL 60008 USA
Phone 1-708-253-1545
Fax 1-708-682-4010

EDPACS -- The EDP Audit, Control, and Security Newsletter

Auerbach Publications, Warren Gorham Lamont,
210 South St.,
Bastan, MA 02111-2797 Estados Unidos
Tel 1-617-423-2020

lnformation Systems Security

Auerbach Publications,
One Penn Plaza,
New York, NY 10119 Estados Unidos
Tel: 1-212-971-5005

ISSAJournal
Dain Gary, Software Engineering Institute
Carnegie Mellan University
Pittsburgh, PA 15212 Estados Unidos
Tel: 1-412-268-5724
Fa.x 1-412-268-6989

Security Management
American Society for Industrial Security,
1655 North Fort Myer Drive, Suite 1200,
Arlington, VA 22209 USA
Tel: 1-703-522-5800
Fax 1-703-243-4954

lnj(mnática y Derecho

681
 BIBLIOGRAFÍA

Abrams, M. D ., Jajodia, S. and Podell, S. J. Information Securiry. IEEE Computer

Security Press. 1995.

Acha Iturmendi. Auditoría Informática. Paraninfo. Madrid 1993/1994.

Alonso Rivas, Gonzalo. Auditoría Informática. (Editorial Díaz de Santos).

Baker, Richard H. The Computer Secttriry Handbook . TAB Professional and

Reference Books.

British Standards Institution. A Code of Practice for Information Securiry Management.

Department ofTrade and Industty, British Government. Londres, 1993

Bruce, Glen y Dempsey, Rob. Secttriry In Distributed Computing: Did You Lock the
Door?. Prentice Hall. 1996.

Caballero, P. Introducción a la Criptogrqfla. RA-MA, Textos Universitarios, 1996.

Calle Guglieri, J.A. &ingeniería y Segundad en el Ciberespacio. Ed. Díaz de Santos.

Madrid, 1997.

Castano, S., Fugini, M., Maetella, G., Samarati, P. Database Secun'ry. Addison
Wesley, 1994.

Chapman, D. B., Zwicky, E. D. Buildi11g Internet Fimvalls. O'Relly & Associates,

1995.

Coelli, William, Longley, Dennis and Shain, Michael. Information Secun'ry.

Handbook. Macmillan Publishers,Ltd.

Data Secun'ry Management. Auerbach.

Datapro Reports on Information Securiry. DATAPRO. McGraw- Hill.

682
Davara, Miguel Ángel. De las Autopistas de la Información a la Sociedad Virtual.
Editorial Aranzadi. Pamplona, 1996.

Davies, D . W. and Price, W. L. S ecuriry for Computer Net1vorks. J ohn Wiley & Sons.

Del Peso, Emilio y Ramos, Miguel A. Confidencialidady Seg11ridad de la Información: la

LORTAD y sus Implicaciones Socioeconómicas. Editorial Diaz de Santos, Setiembre
1994. Madrid.

Del Peso, Emilio, Miguel A. Ramos et al. Manual de Dictámenesy Peritqjes. Editorial
Diaz de Santos, Noviembre 1995. Madrid.

Dupont, Daniel G, and Richard Lardner. The Culture o/ Secrery. Government

Executive, vol. 27, n° 6. Junio, 1995.

EDP Auditing, AUERBACH

Eloff,J. H. P . and Von Sloms, S. H. Information Securiry- the Next Decade. Chapman
& Hall. May, 1995.

Ford, Warwick. Computer Communications Sernriry: Principies, Standard Protocols and

Techniques. Prentice Hall. 1994.

Geyelin, Milo. W-?Y Many Businesses Can't Keep Their Secrets. The Wall Street Joumal,
20 Noviembre, 1995.

Ginn, Ron. Continuiry Planning. Elsevier Advanced Technology.

Henry. M. Practica! Computer- NetJvork Sernriry. Artech House, 1995.

Hughes, L. J. Internet Sernriry Techniques. New Riders Publishing, 1995.

Hutt, Arthur E., Douglas B. Hoyt, y Seymour Bosworth. Computer Sernriry

Handbook. 3a edición, 1995. John Wiley & Sons. Nueva York, 1995.

ISACA (Information Systems Audit and Control Association / Foundation) .

Varios libros editados.

Informática y Derecho

683
----- COBIT: Control Objectives for Itiformation and Related Technology. Abril, 1996.

IT security: the need for internacional cooperation. Proceedings if the IFIP TCII
International Coriference on Information Secttriry. Singapur. Mayo, 1992

Kaufman, Charles, Perlman, Radia y Speciner, Michael. Nettvork Secttriry: Private

Communication in a Public World. Prentice Hall. 1995

Longley, Dennis and Shain, Niichael. Data & Computer Secun·ry. Macmillan
Publishers, Ltd.

Morant, J.L., Ribagorda, A. T y Sancho, J. Segundad y Protección de la Iriformación.

Editorial Centro de Estudios Ramón Areces. Madrid, 1994.

Murphy Michael A. y Parker Xenia L. Handbook if EDP Auditing, Warren,

Gorham & Lamont

O'Shea, G. Secttn·ry in computeroperatúzg .rystems. NCC Blackwell. Oxford, 1991.

Palmer, l. C. and Potter, G.A. Computer Secun·ry- Risk Management. Jessica Kingsley
Publishers.

Perry, William E. and Kuong, Javier F. EDP Risk Anafysis and Control Justification.

Pfleeger, Charles P. Secun·ry in Compttting, 2/E. Prencice-Hall, 1996.

Piattini, M.G. Control interno y auditoría en un entorno de bases de datos relacionales. Parte
I y JI. Revista Base no 21, noviembre 1992 y n° 22, abril 1993.

Prooceedings if the Sixth IFIP. Internacional Conference on Computer Security and

Informacion Intergrity. Helsinki- Mayo 1990.

RACF. Auditor's Guide. IBM.

Ramos González, MA. La seguridad y confidencialidad de la información y la

LORTAD. Actas XXII Curso de Informática y Derecho: ~ de Protección de Datos
Personales. UNED. Mérida, 1993.

684
-----La Auditoría de la seguridad informática. Revista CHIP. Marzo, 1992.

----- Contribución a la mejora de las técnicas de Auditoría Informática mediante la

aplicación de métodos y herramientas de Ingeniería del Conocimiento. Tesis
Doctoral. Facultad de Informática. Universidad Politécnica de Madrid.

----- La importancia de la seguridad informática en el ámbito empresarial. Ponencias

JI Conjérencia de Seguridad Informática. Madrid, 1989.

----- Auditoría de la Seguridad: charlas en dos ediciones de Securmática

----- Auditoría (en) informática. Seguridad informática. Núm. 17. Noviembre, 1995.

----- La información como activo estratégico: seguridad y protección. Selecciones de

Securiry Management. Núm. 75. Madrid, 1995.

----- La Auditoría Informática y el Reglamento de Seguridad de la LORTAD.

Revista Seguridad Informática y Comunicaciones . Septiembre 1997 (en prensa) .

----- Auditoría de la Seguridad. Capítulo en la obra Auditoría Informática

coordinada por Del Peso, Emilio, y Piattini, Mario. Ed. RA - MA, Octubre 1997
(en preparación).

----- (Coautor de otras obras; vid. Del Peso ...).

Ribagorda Garnacha, A. Seguridad y Protección de la !'!formación. De este autor y de

JL Morant y J. Sancho. Editorial Centro de Estudios Ramón Areces. Madrid,
1994.

----- Glosario de Términos de Segundad de fas T.I. Ediciones CODA. Madrid, Abril
1997.

R. Posch. Communications and Multimedia Securiry. G raz University of Technology,

Austria. August 1995.

Sánchez,JI. e Ignoto, MJ. La Segundad Informática. Manuales IMPI. Madrid, 1991.

SEDISI. Guía de Segundad Itifórmática. (Asociación Española de Empresas de

Tecnologías de la Información) . Abril, 1997.

Inform ática y Derecho

685
Security. Module 9. Systems Auditability and Control. The Institute Interna/ Auditors
Research Foundation. Altamonte Springs, 1991.

Simpson, Glenn R. A '90s Espionage Tale Stars Software Riva/s, E-Mai/ Spy. The Wall
StreetJournal, 25 Octubre, 1995.

~iyan, K., Hare, Ch. Internet Firewa//s and Network Securiry. New Riders publishing,
1995.

Stalling, William. Network and InternetJvork Securiry: Principies and Practice. Prentice
Hall. 1995

Tantam, Mark. Computer Abuse Investigator. Elsevier, 1991 (Gran Bretaña)

The EDP Audit, Control, and Securiry Newsletter. EDPACS. Auerbach Publications.

The Journal, revista de la ISACA.

Vallabhaneni, Rao. Auditing computer secun·ry. A manual with case studies. John Wiley
& Sons, 1989.

Wong, Ken y Watt, Steve. Managing Itifórmation Secun·ry. Elsevier, 1990 (Gran
Bretaña).

Wood, Charles Cresson. A Polúy for an Information Secun·ry Management Committee.

Computer Security Alert, n° 115. Octubre, 1992. Publisher: Computer Security
Institute, San Francisco, CA, USA.

686
 ALGUNAS DIRECCIONES "WEB"
/ /www.acl.com Herramientas para auditoría
/ /www.aenor.es Asociación Española de Normalización
/ /www.amazon.com Libros
/ /www.ansi.org American Nacional Standards Institute
/ /www.auditserve.com Articulas, noticias
/ /www.bibliomania.com Libros
/ /www.booksatoz.com Libros
/ /www.bookshop.com Libros
/ /www.bookwire.com Libros
/ /www.compubooks.com/books .html Localización de libros de informática
/ /www.datapro.com Datapro
/ /www.echo.lu Comisión Europea
/ /www.elservier.com Libros, revistas, congresos
1/www.etsi.fr European Telecomunications Standards Institute
/ /www.fundesco .es Consulta catálogos de bibliotecas
/ /www.hp.com 1/www.hp.es Hewlett Packard mundial / española
1/www.ibm.com / /www.ibm.es IBM Mundial / española
/ /www.iee.es IEE - Infotmáticos Europeos Expertos
/ /www.ifip .or.at IFIP
/ /www.iso.ch Internacional Standards Organization
/ /www.it-ch.com Chapman & Hall (Libros sobre TI)
/ /www.mec.es Educación y Ciencia(+ información tesis: teseo)
/ /www.microsoft.com
1/www.ovum.com Informes Técnicos
1/www.rsa.com Algoritmo de cifrado
/ /www.uned.es Universidad Nacional de Educación a D istancia
/ /www.wiley.com Libros técnicos

Informática y Derecho

687