METODOLOGIAS PARA AUDITORIA INFORMATICA Una vez definida la Auditoria Informática, sus fines y utilidades, así como expuestas sus clases y tipos, procedemos a describir el método de trabajo que el equipo auditor ha de seguir, desde la contratación por parte del cliente o la orden de la Dirección (según que la Auditoria sea externa o interna), hasta la confección y entrega por escrito del Informe final. Toda la función auditora se comprendía en la entrega del mencionado Informe a quien lo solicitó. El método de trabajo auditor pasa por las siguientes fases, a saber: 1. 2. 3. 4. 5. 6. 7.
Alcance y Objetivos de la Auditoria Informática. Estudio inicial del entorno auditable. Determinación de los Recursos necesarios para efectuar la Auditoria. Elaboración del Plan y de los Programas de Trabajo. Actividades propias de la Auditoria (Análisis, entrevistas, etc.). Confección y Redacción del Informe Final. Redacción de la "Carta de Presentación" del Informe Final.
1. DEFINICION DE ALCANCE Y OBJETIVOS El alcance de la Auditoria expresa los límites de la misma. Debe existir un acuerdo preciso entre autoridades y clientes sobre las funciones, materias y organizaciones auditadas. Por ejemplo, en la Auditoria de Explotación deberá fijarse previamente si se incluye o no la función de Soporte Técnico, dependiendo de su ubicación en el organigrama. Especial importancia tiene la determinación del ámbito de la Auditoria cuando se incluyan áreas no informáticas de la empresa u Oficinas de Servicios Informáticos ajenos a la misma, Soporte de la firma constructora, etc. Resulta beneficioso para ambas partes expresar las excepciones de alcance de la Auditoria, manifestar por escrito cuáles materias no van a ser auditadas, tanto el alcance de la Auditoria como las excepciones del mismo, han de figurarse al comienzo del documento final. Los objetivos de la Auditoria se han de conocer con precisión, de forma que los objetivos perseguidos sean susceptibles de ser cumplidos, debe comprender con exactitud los deseos y pretensiones del cliente. Bien determinados los objetivos específicos, el auditor tendrá presente que éstos se añadirán al objetivo general y a toda Auditoria informática: La Operatividad de los Sistemas y los Controles de Gestión Informática. Por lo demás, los objetivos más habituales pueden ser: Evaluación de funcionamiento de áreas informáticas, aumentos de Seguridad y Fiabilidad, Conectividad, Compatibilidad, aumento de Calidad, Costos y Plazos, etc.
Dentro del Alcance y Objetivos se incluye la fijación de los interlocutores del equipo auditor. El interlocutor comprende a las personas que tienen poder de decisión y validación en la empresa, igualmente, los auditores conocerán con exactitud la persona o personas destinatarias del Informe. 2. ESTUDIO INICIAL La metodología de trabajo del equipo auditor comporta un estudio inicial de la situación general, aun en el caso de que la Auditoria a realizar sea sectorial, para realizar este estudio se examina las funciones y actividades generales de la informática: a) Organización. b) Entorno Operacional. c) Aplicaciones Informáticas, Base de Datos y Archivos. a) Organización Para el auditor conocer quién ordena, diseña y quién ejecuta es fundamental. No podrá realizar su misión sin conocer la estructura organizativa de la Informática sujeta a Auditoria. Al menos, debe fijar los siguientes conceptos: Organigrama: expresa la estructura de la organización. El auditor dibujará el organigrama con detalle, sin omitir las funciones auxiliares o complementarias no informáticas. Los textos de los recuadros deberán ser auto explicativos. El auditor podrá comprobar con facilidad la identidad que debe existir entre lo oficial y lo real, si se descubre que existe un organigrama diferente al oficial, se pondrá de manifiesto tal circunstancia. Departamentos: Órganos que siguen tras la Dirección. El equipo auditor describirá breve y claramente las funciones más importantes de los recuadros del organigrama que constituyen cada uno de ellos, y los que dependen directamente de éste. Relaciones jerárquicas y funcionales entre órganos de la Organización: Verificará si cumplen las relaciones jerárquicas y funcionales, las relaciones de jerarquía implican subordinación y las funcionales indican relaciones complementarias. Estas relaciones deben ser bien definidas, el nivel superior informa a sus grupos la existencia de tales relaciones o variación en ellas. Las relaciones no jerárquicas contribuyen a proporcionar mayor flexibilidad a las estructuras. Sin embargo, y también como principio, deberán restringirse al máximo las "dependencias funcionales". Al referirnos a "flujos de información", las dependencias funcionales tienen imprecisiones organizativas de importancia y género, aceptables sólo en circunstancias excepcionales, y que esté prevista su desaparición a plazo fijo.
Flujos de información: Además de las corrientes intra departamentales y las directrices de Dirección, la estructura organizativa, produce corrientes de información horizontales extra departamentales, el flujo de información entre los grupos es imprescindible para su gestión siempre y cuando no distorsionen el organigrama. Las organizaciones crean canales alternativos y resulta inevitable la existencia de flujos de información no deseados, esta realidad termina en la proliferación de dichos flujos, los flujos no previstos obedecen a afinidades personales o comodidad. Estos flujos producen perturbaciones en la organización. Número de Puestos de Trabajo: Comprobar que los nombres de los Puestos corresponden a funciones reales distintas, es frecuente que bajo nombres diferentes se realicen funciones idénticas, lo que indica existencia de funciones operativas redundantes, asta situación pone de manifiesto deficiencias estructurales. Los auditores expresarán tal circunstancia con el número de Puestos de trabajo diferentes, difícilmente existen más de 5 o 6 Puestos operativos distintos por rama informática, en muchas organizaciones aparecen hasta 10 o 12 por rama. Número de personas por Puesto de Trabajo: Los auditores informáticos deben considerar. La inadecuación del personal, falta o sobra de plantilla en las secciones, determina que el número de personas que realizan las mismas funciones rara vez coincida con la estructura oficial de la organización. Los auditores expondrán el número de empleados reales de cada sección auditada, así se pone de manifiesto una distribución ineficiente de recursos o la necesidad de una reorganización para modificar la estructura oficial. b) Entorno operacional El equipo de Auditoria informático debe poseer una adecuada referencia del entorno en el que ha de desenvolverse, este conocimiento previo se logra determinando los siguientes extremos: 1. Situación geográfica de los Sistemas Se determinará la ubicación geográfica de los Centros de Proceso de Datos distintos de la empresa. Se verificará la existencia de responsables por cada uno de ellos, así como el uso de los mismos estándares de trabajo. 2. Arquitectura y configuración de Hardware y Software Sobre todo cuando existen varios Centro de Proceso de Datos, es fundamental la configuración elegida para cada uno de ellos en tanto deben constituir un
Sistema compatible e intercomunicado. La configuración de los Sistemas está muy ligada a las políticas de Seguridad Lógica Informática de las Compañías. Los Planes de Contingencia rara vez tienen materialización efectiva cuando llega la ocasión, cuando un Centro de Datos queda inoperativo, su sustitución no es inmediata. Debe tener en cuenta los costos que representa un Centro Alternativo a la empresa con cargas reducidas mientras llega el desastre. En otro orden, la organización informática necesita una configuración muy flexible, facilitada en la actualidad por la versatilidad de los Sistemas. 3. Inventario de Hardware y Software El auditor recaba información escrita de la empresa, donde figuran elementos físicos y lógicos de la instalación. En cuanto a Hardware, figurarán CPU, procesadores, unidades de control locales y remotas, periféricos, terminales, pc personales, etc. Es conveniente que el inventario físico figure igualmente las líneas disponibles con los datos fundamentales de cada una de ellas. El inventario software contiene todos los productos lógicos del Sistema, desde el software básico hasta los programas de utilidad adquiridos o desarrollados internamente. Suele ser habitual clasificarlos en facturables y no facturables. 4. Comunicaciones y Redes de Comunicaciones Los auditores dispondrán del número, situación y características principales de las líneas, así como de los accesos a la red pública de comunicaciones. Igualmente, poseerán información de las Redes Locales de la empresa. La información de líneas y Redes debe figurar en el Inventario del punto anterior, debe estimularse la construcción de un Inventario Hardware y Software único. c) Aplicaciones bases de datos y archivos El estudio inicial que han de realizar los auditores se cierra y culmina con una idea general de los procesos informáticos realizados en la empresa auditada. El entorno auditable se pone de manifiesto principalmente por medio de las siguientes características: 1. Volumen, antigüedad y complejidad de las Aplicaciones El equipo de Auditoria hallará un promedio de los conceptos epigrafiádos. Se pondrá especial énfasis en la periodicidad de ejecuciones de la carga. 2. Metodología del Diseño Se calificará la existencia total o parcial de metodologías de desarrollo de Aplicaciones. Si se han utilizado varias a lo largo del tiempo se pondrá de
manifiesto tal circunstancia, si se han desarrollado simultáneamente varias Aplicaciones con metodologías diferentes. 3. Documentación Desde el punto de vista práctico, la existencia de una adecuada documentación de las Aplicaciones proporciona beneficios tangibles e inmediatos muy importantes. Una documentación correcta es importante para el departamento. En efecto, la documentación de programas disminuye el mantenimiento de los mismos. La actividad de mantenimiento de Aplicaciones es en la actualidad uno de los problemas más importantes, y representa a veces hasta un 70% del total de los recursos de Desarrollo. 4. Cantidad y complejidad de Bases de Datos y Archivos El auditor recabará información de tamaño y características de las Bases de Datos, clasificándolas en relacionales y jerárquicas. Hallará un promedio de número de accesos a ellas por horas o días. Esta operación se repetirá con los archivos, así como la frecuencia de actualizaciones de los mismos. Estos datos proporcionan una visión aceptable de las características de la carga informática. 3. DETERMINACION DE RECURSOS DE LA AUDITORIA INFORMATICA Con los resultados del estudio inicial realizado, se procede a determinar el recurso humano y material ha emplearse en la Auditoria. Recursos materiales Es importante su determinación, la mayoría son proporcionados por el cliente, sobre el cual gravita el aumento de carga e interferencias sobre el desarrollo de su trabajo, las herramientas software del equipo auditor que se utiliza en el Sistema auditado, por lo que han de convenirse en fechas y horas de uso entre auditor y cliente. Los recursos materiales del auditor son de dos tipos: a) Recursos materiales Software Programas propios de la Auditoria. Se añaden a las ejecuciones de los procesos del cliente pura verificar los recorridos de aquéllos. Monitores. Se utilizan en la observación de la actividad Técnica de Sistemas del auditado y de la cantidad y calidad de los datos ya existentes.
b) Recursos materiales Hardware: Los recursos hardware que el auditor necesita son proporcionados por el cliente, los procesos de control deben efectuarse en los Ordenadores del auditado, por tanto debe convenir el tiempo de máquina y oportunidad de fecha, hora y duración de las sesiones de medida. Finalmente, se convendrán: Cantidad de pantallas, espacio en disco, montajes de cintas, impresoras y líneas de comunicaciones a utilizarse en exclusiva, el auditor deberá calcular con los incrementos de carga por él generados. Recursos Humanos La cantidad de recursos depende del volumen auditable. Las características y perfiles del personal seleccionado dependen de la materia auditable. En una Auditoria es habitual la presencia de personas no informáticas pero expertas en temas de organización y análisis de costos, el equipo auditor no es solo expertos es necesaria la cohesión con un informático generalista. La Auditoria Informática es ejercida por profesionales universitarios y otras personas de experiencia multidisciplinaria, en el siguiente cuadro se relaciona los perfiles profesionales de un equipo auditor informático para una auditoria. PROFESION Informático Generalista Experto en Proyectos
Desarrollo
ACTIVIDADES Y CONOCIMIENTOS DESEABLES Experiencia en distintas ramas. Explotación Desarrollo de Proy. Conocedor de Sistemas.
y
de Experiencia responsable de Proyectos. Analista. Conocedor de las metodologías de Desarrollo.
Técnico de Sistemas
Experto en S. Operativos y Software Básico. Conocedor de los Productos en el mercado. Amplios conocimientos de Explotación.
Experto en Base de datos y Con experiencia en mantenimiento de BD. Conocimiento de Productos compatibles y administración de las mismas equivalentes. Conocimientos de Explotación. Experto en Software Comunicaciones
de Especialización Conocimientos Teleproceso.
en Técnica de Redes y
de Sistemas. subsistemas de
Experto en Explotación y Responsable de algún Centro de Cómputo. Gestión de Centro de Proceso Experiencia en Automatización de Trabajos. Experto en relaciones humanas. de Datos Técnico de Organización Técnico Costos
de
evaluación
Organizador y coordinador. Especialista en el análisis de flujos de información.
de Economista con conocimientos de informática. Gestión de Costos.
4. ELABORACION DEL PLAN Y DE LOS PROGRAMAS DE TRABAJO Una vez asignadas los recursos, el responsable de la Auditoria y sus colaboradores establece un plan de trabajo. Decidido éste, se procede a la programación del mismo por parte del responsable de cada sector o de cada especialista, que los reportan el mencionando responsable de la Auditoria para la aprobación final. El Plan de Auditoria se elabora teniendo en cuenta lo siguiente:
a) Si la Revisión ha de realizarse por áreas generales o áreas específicas. En el primer caso, la elaboración final es más compleja y costosa, lo cual redonda en una superior calidad. b) Si la Auditoria es global, de toda la Informática, o parcial. El volumen determina no solamente el número de auditores necesarios, sino las especialidades necesarias de personal. En el Plan no se consideran calendarios porque se manejan recursos genéricos y no específicos. En el Plan se establecen los Recursos y Esfuerzos globales que van a ser necesarios. El Plan establece las prioridades de materias auditables, de acuerdo siempre con las prioridades del cliente. El Plan establece la disponibilidad futura del personal y de los demás recursos durante la duración de la Revisión. El Plan estructura las tareas a realizar por cada integrante del equipo En el Plan se expresan todas las ayudas que el auditor ha de recibir del auditado. Una vez elaborado el Plan, se procede a la Programación de actividades. Esta ha de ser lo suficientemente flexible como para permitir modificaciones a lo largo del proyecto. Los Programas de Trabajo son las cuantificaciones del Plan. En ellos se asignan los recursos humanos y materiales concretos para cada sector del Plan. En Programa de Trabajo se establece el calendario real de actividades a realizar. La Auditoria informática necesita de Planificación y Programación detallada. Posee la naturaleza de un verdadero Proyecto, y por ello le son aplicables las reglas generales de los mismos.
5. ACTIVIDADES DE LA AUDITORIA INFORMATICA En este Apartado vamos a hacer un repaso de las acciones auditoras, las técnicas concretas que se utilizan y las herramientas de las que se ayudan. Auditoria por temas generales o por áreas específicas La Auditoria informática general se realiza por áreas generales o por áreas específicas. El método de trabajo es diferente: Si se examina por temas, resulta mayor calidad, empleo de más tiempo y mayores recursos. En la Seguridad revisamos: la seguridad, la identificación de la Dirección con el modelo informático, la percepción de usuarios finales respecto a la Explotación, el Desarrollo, etc., y finalmente el funcionamiento de la informática. Cuando la Auditoria se realiza por áreas específicas, se abarcan todas las peculiaridades que afectan a las mismas, el resultado es rápido y con menor calidad. Cuando se aborda la Auditoria de Desarrollo, se tienen en cuenta los factores que afectan, como la Seguridad, la percepción del usuario, etc. Finalizada la revisión del área de Desarrollo, no es preciso volver sobre el mismo concepto, si no comenzar el análisis de otra rama específica, Explotación por ejemplo. Técnicas de trabajo Análisis de la información recabada del auditado Análisis de la información propia. Cruzamiento de las informaciones anteriores. Entrevistas Simulación Muestreos Herramientas Cuestionario general inicial Cuestionario-Checklist. Estándares. Monitores. Simuladores (Generadores de Datos). Paquetes de Auditoria (Generadores de Programas). Matrices de Riesgo. Es conveniente ahondar en este último concepto. Las matrices de riesgo tienen la doble particularidad de que deben ser incorporadas al Informe Final y de que pueden considerarse también como elementos decisorios para la realización de una Auditoria Informática de Seguridad.
6. INFORME FINAL La función auditora se materializa exclusivamente por escrito. El auditor avala personalmente su juicio de forma documental. La elaboración del Informe Final es la única referencia constatable de toda Auditoria, y el exponente de su calidad, la necesidad de redactar borradores e informes parciales previo al citado informe final, es el método más adecuado para equilibrar las técnicas analíticas utilizadas durante la Auditoria, con las sintéticas que la confección del informe necesita. Los borradores e informes parciales son elementos de contraste de opiniones entre auditor y auditado y pueden descubrir fallos de apreciación en el auditor. La Auditoria difiere de cualquier actuación coercitiva. El auditado no es un acusado sino un profesional informático. La ética auditora ha de facilitar la información aproximada, pero clara, de los resultados provisionales de aquél. Estructura del Informe Final El Informe se inicia con fecha de inicio de la Auditoria y fecha de redacción del mismo. Se incluye nombres del equipo auditor y de personas entrevistadas, con indicación de la Jefatura, responsabilidad o puesto de trabajo que ostente. Tras estos prologo, se expondrá lo siguiente: 1. Definición de objetivos y alcance de la Auditoria 2. Enumeración de temas considerados 3. Cuerpo expositivo Para cada tema objeto de Auditoria, se seguirá el siguiente orden, a saber: a) Situación actual. Se analiza una situación, su evolución en el tiempo, se expondrá la situación prevista y la situación real. b) Tendencias. Se tratarán de hallar parámetros que permitan establecer tendencias de situación futura. No siempre es posible tal pretensión. c) Puntos débiles y amenazas. Deberán explicarse por sí mismos, sin referencias a otros lugares del informe. d) Recomendaciones y Planes de Acción. Constituyen con la exposición de puntos débiles, el verdadero objeto de la Auditoria informática. e) Redacción posterior de la Carta de Introducción o Presentación. Modelo conceptual de exposición del informe final El modelo de Informe final de Auditoria informática por el que hemos optado es utilizado por Compañías y auditores independientes prestigiosos. Se basa en los dos principios fundamentales:
A) El Informe debe incluir solamente hechos importantes. La inclusión de hechos poco relevantes o accesorios desvía la atención del que lo lee y desvirtúa el informe en su conjunto. B) El Informe debe consolidar los hechos que se describen en el mismo. En Auditoria el término "hechos consolidados" adquiere un especial significado de verificación objetiva y estar documentalmente probados y soportados. La consolidación de los hechos debe satisfacer los siguientes criterios: 1. El hecho que se incluya debe poder ser sometido a cambio. 2. Las ventajas del cambio deben superar los inconvenientes derivados de mantener la situación. 3. No deben existir alternativas viables que superen, por más beneficiosos y por mejor ratio prestación/ costo, al cambio propuesto. 4. La recomendación del auditor sobre el hecho ha de mantener o mejorar las Normas y estándares existentes en la instalación. La aparición de un hecho en un informe de Auditoria implica necesariamente la existencia de una debilidad que ha de ser corregida. Veamos el modelo de flujo del hecho o debilidad, y el orden, desde su aparición hasta la recomendación del auditor para eliminarla: 1. Hecho encontrado Ha de ser relevante para el auditor y para el cliente. Ha de ser exacto, y además convincente. No deben existir hechos repetidos. Deben procurarse evitar incluso las referencias y alusiones a otros hechos. 2. Consecuencias del hecho Las consecuencias deben redactarse de modo que sean directamente deducibles del hecho. 3. Repercusión del hecho Se redactará, si existe influencias directas que el hecho pueda tener sobre otros aspectos o ámbitos informáticos de la empresa auditada. 4. Conclusión del hecho No deben redactarse conclusiones más que en los casos en la exposición haya sido muy extensa y compleja. 5. Recomendación del auditor informático Siempre se explicitará la palabra "Recomendación", y ninguna otra.
Deberá entenderse por sí sola, por su simple lectura. Deberá estar suficientemente soportada en el propio texto. Ser concreta y exacta en el tiempo y verificada su implementación. Se redactará de forma que vaya dirigida expresamente a la persona o personas que puedan implementarla. Deberán evitarse Recomendaciones generales. 7. CARTA DE INTRODUCCION O PRESENTACION DEL INFORME FINAL La Carta de Introducción tiene especial importancia porque en un máximo de 3 ó 4 folios ha de resumirse la Auditoria realizada. Es de naturaleza sumamente restrictiva: Se destina exclusivamente al responsable máximo de la empresa, o a la persona concreta que encargó o contrató la misma, o a la persona en quién ella hubiese delegado expresamente, así como pueden existir tantas copias del Informe Final como solicite el cliente, siempre que éste especifique los nombres de los destinatarios, la Auditoria no hará copias de la citada Carta de Introducción. Se entiende que la Carta de Presentación del Informe debe sintetizar al máximo el contenido de aquél. El máximo responsable del cliente debe formarse una idea aproximada de la situación con la lectura de esta Carta. La misma, poseerá los siguientes atributos: Tendrá una longitud máxima de 4 folios, aunque la Auditoria tenga centenares de ellos. Incluirá fecha, naturaleza, objetivos y alcance. Cuantificará la importancia de las áreas analizadas. Proporcionar una conclusión, concretando las áreas de debilidad. Presentar las debilidades en orden de gravedad, mayor a menor. En la Carta de Introducción no se escribirán nunca Recomendaciones. Pautas de Lenguaje y redacción del informe Títulos: Han de ser expresivos, pero breves. Párrafos: En cada párrafo debe tratarse un solo asunto. Cada párrafo debe tener 8 ó 10 líneas máximo. Cuando exceda se dividirá en dos. Frases: En cada frase debe existir una sola idea. La idea suele ser expresada por el verbo. Por ello, cada frase contendrá un verbo, dos como máximo. La frase no debe superar las tres líneas.
No deben cambiarse verbos por nombres. Ejemplo "... hemos realizado un examen..."; hay que escribir "... hemos examinado...". Otros: Utilizar lenguaje sobrio normal, no excesivamente culto. Se permiten anglicismos y palabras técnicas muy conocidas. Utilizar la voz activa o reflexiva, pero nunca la pasiva. Omitir palabras innecesarias. No deben usarse expresiones como "Con referencia a", "en nuestra opinión", "creemos que", etc. Evitar redundancias de lenguaje. ejemplo, "hemos revisado y analizado". No expresarse por medio de adverbios y adjetivos simultáneamente. Ejemplo: No debe redactarse "es estrictamente necesario que.".