A finales del siglo XX, los Sistemas Informticos se han constituido en las herramientas ms poderosas para materializar uno

de los conceptos ms vitales y necesarios para cualquier organizacin empresarial, los Sistemas de Informacin de la empresa. El trmino de Auditora se ha empleado incorrectamente con frecuencia ya que se ha considerado como una evaluacin cuyo nico fin es detectar errores y sealar fallas. A causa de esto, se ha tomado la frase "Tiene Auditora" como sinnimo de que, en dicha entidad, antes de realizarse la auditora, ya se haban detectado fallas. El concepto de auditora es mucho ms que esto. La palabra auditora proviene del latn auditorius, y de esta proviene la palabra auditor, que se refiere a todo aquel que tiene la virtud de or. " La auditora no es una actividad meramente mecnica que implique la aplicacin de ciertos procedimientos cuyos resultados, una vez llevado a cabo son de carcter indudable." El auditor informtico ha de velar por la correcta utilizacin de los amplios recursos que la empresa pone en juego para disponer de un eficiente y eficaz Sistema de Informacin.

Las computadoras y los Centros de Proceso de Datos se convirtieron en blancos apetecibles no solo para el espionaje, sino para la delincuencia y el terrorismo. En este caso interviene la Auditora Informtica de Seguridad. Un Sistema Informtico mal diseado puede convertirse en una herramienta harto peligrosa para la empresa: como las maquinas obedecen ciegamente a las rdenes recibidas y la modelizacin de la empresa est determinada por las computadoras que materializan los Sistemas de Informacin, la gestin y la organizacin de la empresa no puede depender de un Software y Hardware mal diseados. Estos son solo algunos de los varios inconvenientes que puede presentar un Sistema Informtico, por eso, la necesidad de la Auditora de Sistemas. OBJETIVOS DE LA INFORMATICA: El trmino informtica es un neologismo creado en Francia en 1962 por Philippe Dreyfus. El trmino frances es informatique y est formado por la contraccin de las palabras information automatique. Existen muchas definiciones posibles de informtica. La Academia Francesa de la Lengua la define en 1966 como la ciencia del tratamiento racional, por medio de

maquinas automticas, de la informacin, considerada sta como soporte de los conocimientos humanos y de las comunicaciones, en los campos tcnicos, econmico y social. El hombre se ha tenido que enfrentar a problemas, ue han justificado el hecho de automatizar las ms diversas tareas humanas. Enumeremos las principales razones que han obligado a la automatizacin del tratamiento de las informaciones, que son a la postre los objetivos perseguidos por la informtica: La primera, es el tener que realizar funciones que el hombre por s solo no puede cubrir, como seran las comunicaciones a largas distancias, el radar, el sonar, etc. A veces es necesario realizar funciones que el hombre puede aboradar por s mismo, pero llevaran un tiempo muy largo incluso si son ejecutadas por muchos individuos juntos, de tal modo que se conseguiria la operatividad y el fin perseguido. Podra ser el caso de unos clculos muy complejos, necesarios en el seguimiento y control de naves espaciales. Con todo esto podemos afirmar que son pocas las actividades humanas que nada tiene que ver con la informtica, y aunque no nos demos cuenta est presente en casi todos los lugares: OBJETIVOS DE LA AUDITORIA INFORMATICA: La Auditora Informtica la podemos definir como el conjunto de procedimientos y tcnicas para evaluar y controlar un sistema informtico con el fin de constatar si sus actividades son correctas y de acuerdo a las normativas informticas y generales prefijades en la organizacin. La Auditora Informtica deber comprender no slo la evaluacin de los equipos de cmputo, de un sistema o procedimiento especfico, sino que adems habr de evaluar los sistemas de informacin en general desde sus entradas, procedimientos, controles, archivos, seguridad y obtencin de informacin. Esta es de vital importancia para el buen desempeo de los sistemas de informacin, ya que proporciona los controles necesarios para que los sistemas sean confiables y con un buen nivel de seguridad. Adems debe evaluar todo: informtica, organizacin de centros de informacin, hardware y software. La Auditora del Sistema de Informacin en la empresa, a travs de la evaluacin y control que realiza, tiene como objetivo fundamental mejorar la rentabilidad, la seguridad y la eficacia del sistema mecanizado de informacin en que se sustenta. En un principio hablaremos de todo lo relacionado con la seguridad, luego trateremos todo aquello relacionado con la eficacia y terminar con la evalucin del sistema informtico. Los aspectos relativos al control de la Seguridad de la Informacin tiene tres lneas bsicas en la auditoria del sistema de informacin:

Aspectos generales relativos a la seguridad. la seguridad operativa de los programas, seguridad en suministros y funciones auxiliares, seguridad contra radiaciones, atmsferas agresivas, agresiones y posibles sabotajes, seguridad fsics de las instalaciones, del personal informtico, etc. Aspectos relativos a la confidencialidad y seguridad de la informacin. Estos aspectos se refieren no solo a la proteccin del material, el logicial, los soportes de la informacin, sino tambin al control de acceso a la propia informacin (a toda o a parte de ella, con la posibilidad de introducir modificaciones en la misma). Aspectos jurdicos y econmicos relativos a la seguridad de la informacin. En este grupo de aspectos se trata de analizar la adecuada aplicacin del sistema de informacin en la empresa en cuanto al derecho a la intimidad y el derecho a la informacin, y controlar los cada vez ms frecuentes delitos informticos que se cometen en la empresa. En el conjunto de delitos informticos cometido por medio de sistenas informticos cabra sealar, siempre con carcter doloso, manipulaciones fraudulentas de logiciales, informaciones contenidas en bases de datos, falsificaciones, estafas, etc... Merece la pena por su frecuencia y la dificultad de prueba el llamado hurto de uso. Este delito suele producirse cuando se utilizan los eqipos informticos de una organizacin para fines privados (trabajos externos, simple diversin,...). Se trata, en definitiva, de la utilizacin de unos equipos si tener derecho a ello o para un uso distinto del autorizado, y en el que lo lesionado no es la propiedad, sino una de las facultadas inherentes a la misma. De la misma manera, a travs de la auditoria del sistema de informacin sera necesario controlar el adecuado equilibrio entre riesgos y costes de seguridad y la eficacia del propio sistema. Uno de los aspectos ms significativos de la Auditora Informtica se refiere a los datos relativos a la Rentabilidad del Sistema, homogeneizadas en unidades econmicas de cuenta. evaluar de forma concreta estos tres aspectos fundamentales, que conforman la rentabilidad del sistema de informacin, es lo que se analiza seguidamente. Evalucin de los costes actuales. Hardware Software. Capturas de datos. Grabacin de datos. Explotacin. Aplicaciones. Personal. Documentacin. Difusin de la informacin.

2) Comparacin de los costes actuales con magnitudes representativas de la organizacin. Se trata de conocer los porcentajes que en relacin con el coste total son imputables al hardware, al software, a la captura de datos, grabacin, explotacin, aplicaciones, suministros, mantenimiento, personal, documentacin y difusin de la informacin. Conocer la relacin de costes/ahorro/productividad del personal (analistas, programadores, operadores, auxiliares, etc.) y analizar la evolucin del coste de la hora til de la memoria central. El dato de costes del sistema y su comparacin con otras magnitudes constituye una valiosa informacin que deber ser especificada en las conclusiones de la auditora informtica y que tendr una notable incidencia respecto a los planteamientos de futuro del sistema de informacin. 3) Comparacin de los costes del sistema de informacin de la empresa con los de empresas similares. El anlisis de costes y su comparacin con otras magnitudes representativas, debe completarse, siempre que ello sea posible, con los costes de los sistemas de informacin de empresas similares a la que es objeto de auditora. Es imprescindible conocer los costes que representa la obtencin, tratamiento y difusin de la informacin en la empresa. La informacin es un recurso de la empresa y por lo tanto un activo de la misma. De ah la importancia de poder disponer de una comparacin de los costes del sistema de informacin con los de otras empresas. Los tres aspectos analizados en relacin con los costes aportarn una importante informacin que permitir adoptar correctas decisiones, a partir de la auditora realizada sobre el sistema de informacin de la empresa.

PRINCIPIOS Y REGLAS DE AUDITORIA. Principio: auditar racionalmente significa explicitar sus finalidades, y deducir de stas los medios y las acciones de investigacin que se consideren necesarios y suficientes. La auditora informtica slo tiene sentido si se define su finalidad: examen de la eficacia o seguridad de un sistema, de la fiabilidad de una aplicacin, verificacin de la aplicacin,etc... La finalidad est en emitir un juicio sobre el mangement del sistema de Informaciones. Regla : la auditora informtica consiste en comparar uno o varios actos de management, desde uno o varios puntos de vista, con los que deberan ser. La auditora informtica siempre llegar a una conclusin cuando los medios asignados sean suficientes y las acciones sean posibles. La auditora informtica jams debe empaar su finalidad ni limitarse a lo que es ms sencillo de examinar,so pena de que el juicio que emita carezca de valor al caer fuera de la cuestin verdadera. Debe ser completa en su finalidad, ya que basta una laguna para que deje de estar garantizada la solidez de todo el control.

Regla: los medios y las acciones elegidas por el auditor deben adaptarse exclusivamente a la finalidad de la auditora, siendo coherentes entre s y, desde luego,fiables y seguros. En determinados casos la tarea del auditor puede ser muy compleja, para ello deber dividirla en funciones obteniendo conclusiones parciales de stas y establecer un plan de aquellas que resulten ser ms significativas. Pese a la apariencia de complejidad de la auditora informtica apreciamos cmo el buen uso del ordenador proporciona una mayor garanta y fiabilidad que cuando ste no es utilizado.

MEDIOS DISPONIBLES Y ESPECIFICOS DE AUDITORIA. MEDIOS TECNICOS: A.1) Equipo fsico y locales. A.2) Software bsico. MEDIOS HUMANOS. MEDIOS FINANCIEROS.

A.1) Equipo fsico y locales: Comprende el ordenador propiamente dicho, el hardware anejo y los soportes fsicos de los ficheros, as como los locales donde se instalan estas mquinas. Aspectos a tener en cuenta: 1.- Los equipos fsicos y locales han de adaptarse a la finalidad, es decir, a las aplicaciones, tanto cualitativas como cuantitativas. 2.- Dada la evolutividad de los objetivos el equipo fsico debe ser tambin evolutivo sin dejar de resultar adecuado y modular. 3.- Cada componente del equipo fsico de formar parte de un todo homogneo. 4.- Otros criterios de eleccin son la fiabilidad del material y la rapidez de las restauraciones. 5.- Para garantizar la consecucin de la finalidad se hace necesario garantizar la seguridad del hardware. Es conveniente disponer de un plan El plan preventivo debe prever catstrofes generales ( incendio, inundacin,...)

El plan curativo Resulta fundamental la salvaguarda en lugares distintos de un nmero suficiente de generaciones de ficheros, de programas y su modo de empleo. 6.- Una documentacin actualizada y disponible debe describir las caracterstica tcnicas del equipo fsico. Herramientas de auditora especfica: El auditor valorar la adaptacin a los objetivos y a las acciones tomando como base de juicio la evolucin histrica. El estudio del presupuesto de seguridad evaluando los medios en funcin del sevicio que prestan y conforme a la probabilidad de fallo que pueden tener. Tambin se examinar la seguridad del material suplementario y los formularios que contienen talonarios y letras. A.2) Software bsico: Constituye una parte creciente del coste de un sistema. Tiene una importancia primordial en la seguridad de las operaciones pero a medida que va creciendo ms compleja es su evaluacin. Aspectos a tener en cuenta: 1.-El software bsico se adapta a las finalidades siempre y cuando permita una correcta utilizacin del hardware con el lenguaje y en el modo de explotacin elegidos para ejecutar las aplicaciones. 2.-La evolutividad del software exige una transparencia de su dependencia con respecto a las aplicaciones del equipo fsico. 3.-Los componentes del software bsico deben estar adaptados entre s y con la configuracin del equipo fsico siempre en funcin de la finalidad. 4.-La fiabilidad del software bsico se consigue mediante el registro de las anomalas para su posterior anlisis y rectificacin por el constructor aunque el software debe emplear ayudas para diagnstico de fallos. 5.-Para la seguridad del software bsico se requiere una proteccin contra los accesos prohibidos, especialmente en el modo interactivo y en un sistema de base de datos. Se aconseja la proteccin de los programas y datos temporales alojados en la memoria central, as como recomendable la rpida destuccin de ficheros con informacin confidencial. 6.-Resulta importante que el software contenga una documentacin completa y actualizada que le sirva de referencia al usuario.

Herramienta de auditora especfica: a) La auditora del software bsico, en primer lugar, puede tener por fin la evaluacin de su adaptacin y de su evolutividad as como de su homogeneidad con los otros componentes. Igualmente, la auditora del software bsico puede versar sobre la fiabilidad y/o la seguridad. b) El auditor ha de ser realista pues al examinar el software directamente no puede hacer ms que comprobar reducidos fragmentos, incluso cuando la documentacin existe y est bien hecha. c) El auditor ha de examinar la consulta de la documentacin pues sto le indica la complejidad del software o bien su falta de actualizacin. B) Medios humanos. 1.- Las personas tienen su propia finalidad la cul tratan de satisfacer, 2.- Es necesario un reparto de las responsabilidades de forma arborescente, 3.- Tambin es importante una formacin y una informacin suficiente para que el personal tenga una visin bastante amplia de los problemas y de las interrelaciones. 4.- La seguridad comienza por la seleccin del personal y contina por el control mutuo en la realizacin de las tareas ms importantes. 6.- Sin informacin no hay motivacin, Herramientas de auditora especfica: a) Es conveniente tener el historial general del servicio y de los movimientos del personal. b) Comprobar la adecuacin al plan de los medios humanos por medio de los organigramas y fichas de funcin. c) Los medios humanos del sistema de informaciones son tambin piezas externas al servicio informtico. C) Medios financieros. La eleccin de los medios financieros ha de considerarse de forma global. No slo consiste en determinar qu equipos fsicos, programas o realizaciones cuestan ms o menos, sino tambin abarca otros aspectos, adems del econmico, tales como: fiabilidad, velocidad de procesamiento, rentabilidad, etc....

Aspectos a tener en cuenta: 1.- La adecuacin de los medios financieros a la finalidad se mide por la proporcin entre los gastos exigidos y los resultados (financieros o no) obtenidos. 2.- es muy til verificar peridicamente si los costes imputados son todava competitivos con relacin a un servicio exterior. 3.- Los costos deben ser registrados de forma fiable, completa y pertinente, y los clculos y agrupaciones efectuados deben ser legtimos 4.- La seguridad financiera se obtiene por una rentabilidad duradera de la financiacin de hardware y el software. 5.- Tanto los contratos de adquisicin y seguro como los documentos contables comprenden la documentacin sobre los medios financieros. Herramientas de auditora especfica: a) Unos mnimos conocimientos por el auditor a nivel de contabilidad analtica y presupuestaria as como de derecho comercial y seguros, con lo que podr comprobar la existencia y la adecuacin de los presupuestos de inversin, la correccin de las previsiones y medios de control, as como la forma de financiacin. b) Para la seguridad de los medios financieros el auditor consultar todos los documentos contractuales que vinculan a la empresa.