Dialnet-AuditoriaInformatica-248257

Vista previa del material en texto

Auditoría Informática 
MIGUEL ANGEL RAMOS GONZÁLEZ* 
Doctor en Informática. 
Socio-Director de Informáticos Europeos Extertos (IEE) 
Sed quis custodiet ipsos custodes Quvenal) 
1. Introducción 
Aunque habitualmente hablamos de Auditoría Informática, sería preferible 
hablar de Auditoría en Informática, como dicen muchos de nuestros colegas de 
Hispanoamérica. Al mismo tiempo hemos de ir adaptando la denominación a la 
realidad: Auditoría de Sistemas de Información; a algunos les faltará espacio 
en las tarjetas si quieren precisar más y dicen Auditor en Sistemas de Información 
(SI) y en Tecnología(s) de la Información (TI), pero ¿cuántos sistemas de 
información empresariales hoy día no están basados en TI? 
•* Miguel A. Ramos, Doctor en Infmmática (tesis sobre A.I.), CISA (Certified Information 
Systems Auditor por ISACF), del Comité Directivo de OAI - !SACA; profesor de A.I. en la 
Universidad Carlos III de Madrid. Coautor de libros técnicos. Socio Director de lEE -
Informáticos Europeos Expertos. E-mail: mramos@iee.es. 
fnj{mnática y Derecho 
657 
Hace algunos años se hablaba en inglés de EDP Auditor. auditor en proceso 
electrónico de datos, pero también hablábamos de mecanización antes de eso. No 
se trata al1ora de una modernización de términos sino de una nueva orientación 
de es te tipo de auditoría, que puede abarcar globalmente los sistemas de 
información: la planificación, el grado de alineamiento con las estrategias de las 
entidades, cómo los SI y el aprovechamiento de las TI aportan ventajas 
competitivas a la entidad, la gestión de los recursos, y la medida de la rentabilidad 
de todo ello, que es quizá el único punto que personalmente temo cuando se nos 
sugiere por parte de los clientes a la hora de establecer objetivos de la auditoría: 
algunas entidades tienen detallados sus costes (contabilidad analítica), pero ¿cómo 
cuantificar los auditores en algunas semanas las ventajas y los beneficios si la 
propia entidad no ha podido hacerlo en toda su existencia? 
2. Justificación 
La Auditoría en Sistemas de Información como función interna está 
plenamente justificada en las entidades de cierto volumen o criticidad de sus 
operaciones, o simplemente más avanzadas en cuanto a planteamientos, y en esos 
mismos casos y en otros puede estar igualmente justificada la Auditoría en 
Sistemas de Información externa: an1bas pueden complementarse, lejos de ser 
excluyentes . 
Tanto la normativa como la auditoría son necesarias: una auditoría sin 
estándares y normas sería subjetiva y has ta peligrosa (aunque en SI es una 
situación habitual, que no normal); la existencia de normativa sin auditoría podría 
equivaler a la no existencia de la Guardia Civil de Tráfico, lo que incrementaría 
los accidentes, e iría convirtiendo la circulación en caótica y peligrosa. 
Otros supuesto tan peligroso o más sería tratar de impartir justicia sm 
leyes. 
Por tanto, los auditores es tamos habituados a tener que auditar sistemas de 
información en entidades sin políticas, con un marco legal incompleto, y usando 
estándares internacionales, que a menudo los auditados ponen en tela de juicio 
porque no están oblig-ados a cumplirlos. 
En el panorama tecnológico can1biante que nos ha tocado vivir los riesgos 
varían a gran velocidad según aparecen nuevas modalidades de proceso, pero 
658 
también surgen nuevos controles, técnicas y herramientas, si bien es aún largo 
el camino que queda en la protección. 
A modo de reflexión ¿cuántas entidades disponen de políticas y 
procedimientos adecuados, así como de mecamsmos para revisar su 
cumplimiento? ¿cuántas de clasificación de la información? ¿de separación de 
entornos en cuanto a progran1as y datos? ¿cuántas han asignado "propietarios" de 
ficheros, tienen plan d~ continuidad a diferentes niveles, realizan auditorías de los 
S.I...? 
Vendrían bien algunas estadísticas, que por ahora no se tienen. 
En defmitiva, como decía un cliente: "No pasan más cosas porque Dios es 
bueno", y no conocemos la mayor parte de las que pasan, porque ya se ocupan las 
entidades de que no se difundan. 
3. Control, Auditoría, e Inspección 
Podemos considerar, en es te contexto, que un control aislado es una acción o 
actividad, o un conjunto de ellas, realizadas por uno o varios elementos: humanos, 
dispositivos ... para prevenir, detectar o corregir errores o irregularidades que 
afecten al funcionamiento de algo. 
Cuantos mejores controles tengamos -no es por tanto cuest1on de número-
mayor fiabilidad alcanzaremos, si bien debemos considerar tan1bién factores 
como coste y productividad. 
Los grandes gmpos de controles son los siguientes, además de poderlos 
dividir en manuales y automáticos, o en generales y de aplicación: 
·Controles directivos, que son los que establecen las bases, como las propias 
políticas, o la creación de funciones: de administración de seguridad o auditoría 
de S.I. interna. 
·Controles preventivos: antes del hecho, como la identificación de visitas o 
las contraseñas. 
·Controles de detección, como determinadas reviSiones de accesos 
producidos, o la detección de incendios. 
fllj(mnática y Derecho 
659 
·Controles correctivos, para rectificar errores o acciones intencionadas, como 
la recuperación de un archivo dañado desde una copia. 
·Controles de recuperación, que facilitan la vuelta a la normalidad después 
de accidentes o intermpciones, como puede ser un plan de continuidad 
adecuado. 
Debemos hablar tan1bién de Objetivos de Control, como declaraciones 
sobre el resultado final deseado o propósito a ser alcanzado mediante los 
procedin1ientos de control, como los recogidos en las publicaciones COBIT 
(Control Objectives for Itiformation and Re!ated Teclmo!ogies) de ISA CA (Information System 
Attdit and Contro!Association / Foundation). 
Cada entidad ha de definir sus propios objetivos de control, y crear y 
mantener un Sistema de Control Interno (funciones, procesos, actividades, 
dispositivos ... ) que puedan garantizar que se alcanzan y se cumplen los objetivos 
de control. 
La auditoría puede considerarse el "control del control", como una línea de 
defensa más. 
Además de quienes ejercen funciones de control o de auditoría de S.I. 
podemos encontrar otros órganos o gmpos relacionados como: Auditores 
financieros u operativos, Inspección de Hacienda, Inspección del Banco de 
España (para entidades fmancieras), Inspección de la Agencia de Protección de 
Datos (para los de carácter personal), auditores infom1áticos venidos de otros 
países en el caso de multinacionales, auditores de calidad, o administradores de la 
seguridad. 
Los auditores somos los "ojos y oídos" de la Dirección, que a menudo no 
puede, o no debe, o no sabe, cómo realizar las verificaciones o evaluaciones. 
En los informes se recomendará la implantación o refuerzo de controles, y en 
ocasiones incluso que se considere la supresión de controles, si son redundantes o 
ya no son necesar10s. 
Se debe valorar qué cuesta implantar -y mantener- un control, frente al coste 
de no implantarlo. 
660 
El sistema de control interno se basa en las políticas, y en parte se puede 
implantar con apoyo de herran1ientas, si bien encontramos a menudo que lo que 
existe es más bien la implantación basada en el criterio de los técnicos, pero no 
sustentada en nom1ativa, o habiendo partido ésta de los propios técnicos, sin 
aprobaciones de otro nivel. 
El control interno no está aún generalizado en España fuera de los procesos 
que implican pagos, pero existen otros riesgos tan importantes o más que las 
pérdidas monetarias directas, relacionados con la gestión adecuada de los recursos 
informáticos o con la protección de la información, que en este último caso 
podrían suponer responsabilidades y pérdidas muy importantes para la entidad. 
Si existe un sistema de control interno adecuado los procesos de auditoría, 
especialmente si son periódicos, son revisiones que requieren menos esfuerzo, 
con inf01mes más breves; si el sistema de control internoes débil, la auditoría 
llevará más tiempo, su coste será mayor, y las garantías de que se pong-an en 
marcha las recomendaciones son mucho menores; en ocasiones la situación dista 
tanto de lo aceptable como la del paciente que se somete a un chequeo después de 
varios años sin control. 
Más difícil que entre control y auditoría puede resultar matizar las diferencias 
entre auditoría e inspección, y no bastaría con decir que inspección es el 
concepto clásico y auditoría es un concepto anglosajón y de orientación moderna, 
aunque el término auditoría provenga del latín y los antiguos ya llevaran a cabo 
auditorías, al parecer principalmente escuchando las declaraciones de los 
auditados. 
Hoy día es más común hablar de auditoría en las entidades privadas, y de 
inspección en las Administraciones Públicas, no habiendo calado aún el enfoque 
de auditoría, con alguna excepción como el gmpo existente en el Ministerio de 
Economía y Hacienda, integrado por Inspectores de la Hacienda Pública. 
También podemos preguntamos las afinidades entre consultoría y auditoría de 
S.I. 
4. Áreas que puede abarcar la Auditoría 
Informática y Derecho 
661 
En realidad el concepto que tienen muchos respecto a la auditoría de S.L no 
es exacto, y a menudo la confunden con la auditoría de cuentas con ayuda del 
ordenador, si bien es claro que el objeto a examinar en ese caso son los estados 
contables, balances y otros documentos y aun ficheros de ordenador (incluso con 
ayuda de paquetes) pero no deja de ser el ordenador el medio o la herramienta, no 
el objeto. 
Simplificando podríamos decir que la auditoría de S.I. es la revisión de éstos y 
de su entorno, y ello no implica que haya que usar el ordenador: puede tratarse 
por ejemplo de una auditoría de funciones, de desarrollo de aplicaciones, de 
gestión de proyectos, etc. 
Aunque a veces se asocia auditoría de S.I. con auditoría de la seguridad, y és ta 
es la función inicial de muchas áreas de auditoría de S.I. interna, la auditoría 
puede abarcar muchas otras áreas cómo hemos señalado, y de hecho es dificil 
determinar qué áreas no podría abarcar, sobre todo si se entra en la auditoría de la 
gestión de los propios S.I. 
Una vez centrado el tema, a modo de descripción más que de defmición 
formal se propone: 
La auditoría de sistemas de itiformación puede comprender: 
la revisión, análisis y evaluación independiente y objetiva, por parte de personas 
independientes y técnicamente competentes de: 
el entorno informático de una entidad, abarcando todas o algunas de sus áreas, como (sin 
que sea con carácter excbgente): 
equipos, 
sistemas operativos y paquetes, 
aplicaciones y el proceso de su desarrollo, 
organización y fimciones, 
las comunicaciones, 
la propia gestión de los recursos informáticos, 
la calidad de procesos y productos 
las políticas, estándares y procedimientos en vigor etz la entidad, su idoneidad así como el 
cumplimiento de: 
662 
dichas políticas, estándares y procedimientos, 
los objetivos fijados, 
los planes, 
los presupuestos, 
los contratos y las normas legales aplicables, 
el grado de satisfacción de liSUarios y directivos, 
los controles existentes, 
un análisis de los posibles riesgos relacionadoJ con la Informática. 
Como consecuencia de la revisión y examen ha de emitirse un informe 
escrito que resuma la situación desde un punto de vista independiente y objetivo 
y, en su caso, dicho informe ha de incluir deficiencias e indicación de mejoras. 
Una de las utilidades indirectas de la auditoría de sistemas de información es 
el apoyo a la auditoría de cuentas, ya que hoy día la mayoría de los entornos 
cuentan con equipos inf01máticos para su gestión. 
Es evidente que en general no puede considerarse totalmente fiable una 
auditoría de cuentas de un entorno informatizado que no vaya acompañada de 
una auditoría informática, que asegure que todo el proceso de los datos así como 
los propios programas están razonablemente exentos de error y de fraude. Para el 
auditor sin conocimientos técnicos es como encontrarse con una "caja negra". 
5. El auditor en S.I. 
El perfil que se requiere para llevar a cabo auditorías de sistemas de 
información no está regulado, pero es evidente que es necesaria una formación y 
sobre todo una experiencia acordes con la función, e incluso con las áreas a 
auditar: seguridad, desarrollo de aplicaciones, gestión... además de ser 
imprescindibles en el pe1::ftl otras características o circw1stancias como 
independencia respecto a los auditados, madurez, capacidad de análisis y síntesis, 
e interés no meramente económico. 
En el seno de la citada ISACA existe un certificado relacionado: CISA 
(Certified Information Systems A 11ditor). 
Otro punto a considerar al crear la función interna es si se forma a técnicos en 
Informática y Derecho 
663 
auditoría general o se forma a auditores en otras áreas en auditoría en S.I. La 
independencia se consigue en parte ubicando la función en el lugar adecuado del 
organigrama, fuera en todo caso del área de S.I., circunstancia que no se cumple 
en gran número de entidades en Espall.a. 
6. Auditoría de la Seguridad 
Como decíamos, en algunos casos se llega a confundir auditoría con 
seguridad, e incluso hemos encontrado a personas que ostentaban ambas 
funciones a la vez, lo que es ilógico e incompatible. 
La seguridad es una de las áreas objeto de la auditoría de S.I. pero en absoluto 
la única ni en todos los casos la más importante: podrían estar los datos y los 
sistemas muy seguros, y sin embargo por ejemplo estar sin cubrir las necesidades 
de la entidad, porque las aplicaciones y las inversiones en SI y TI se hubieran 
realizado sin alinean1iento con las estrategias de negocio o de servicio de la 
entidad. 
Desde la perspectiva de la auditoría de la seguridad es necesario revisar si se 
han considerado las amenazas, o bien evaluarlas si es el objeto, y de todo tipo: 
errores y negligencias en general, desastres naturales, fallos de instalaciones, o 
bien fraudes o delitos, y que pueden traducirse en da.í'íos a personas, datos, 
programas, redes, instalaciones, u otros, y llegarse a traducir en un peor servicio, 
imagen degradada, e incluso pérdida irreversible de datos. 
Debemos pensar que las medidas deben considerarse como INVERSIONES 
en seguridad, aunque en algunos casos se nos diría que no es fácil reflejarlas 
como activos contables y que cual es su rentabilidad; podemos estar de acuerdo, 
pero ¿cuál es la rentabilidad de blindar la puerta de acceso a nuestro domicilio, o 
la de instalar un antirrobo sofisticado en nuestro coche? Esa rentabilidad la 
podemos determinar si los dispositivos o controles han servido para evitar la 
agresión, y a veces habrá constituido una medida disuasoria y no llegaremos a 
enterarnos de su efecto positivo. 
En todo caso la seguridad tiene un impacto favorable en la imagen de las 
entidades, aunque ello sólo no suela justificar sus costes, y tanto para clientes y 
posibles clientes como para los empleados. Unos y otros pueden sentirse más 
protegidos, así como considerar más protegidos sus activos. 
664 
Y la protección no ha de basarse sólo en dispositivos y medios físicos, sino en 
formación e información adecuada al personal, empezando por la 
mentalización a los directivos para que, en "cascada", afecte a todos los niveles 
de la pirámide organizativa. 
Algunos autores se refieren a los accidentes no humanos como actos de Dios; 
cuando ha habido intervención humana en muchos casos ha participado alguien 
de la propia entidad afectada, al menos facilitando información sobre controles 
existentes y sus debilidades . Cuando los sistemas informáticos son el fm más que 
el medio se suele distinguir entre el cracker: alguien que quiere entrar en los 
sistemas para hacer daño, y el hacker: quien intenta acceder a los sistemas más 
para demostrar (a veces sobre todo para demostrarse a sí mismo/a) de qué es 
capaz, y que puede superar las barreras de protección que se hayan establecido,más que por hacer dafío, aunque finalmente todos lo hag-an de una forma más o 
menos directa. 
Frente a ello en la auditoría se recomiendan controles, que debieran poder 
fundamentarse en la seguridad jurídica, si bien todavía hay muchos aspectos 
que nuestras leyes no recogen: no se exige hacer copias de seguridad, por ejemplo, 
aunque son evidentes los riesgos de no hacerlo, y de forma especial cuando las 
amenazas se han traducido en incidencias. 
Debieran también apoyarse los controles, en segundo término, en lo que 
podemos denominar seguridad organizativo - administrativa, consistente en 
políticas, normas y procedin1ientos, separación de funciones, funciones específicas 
como administración de seguridad o la propia de auditoría interna, designación de 
propietarios, clasificación de la información, y otras. 
En relación con la separación de tareas: es peligroso que una misma 
persona realice una transacción, la autorice, y revise después los resultados (un 
diario de operaciones, por ejemplo), porque podría planificar un fraude o encubrir 
cualquier anomalía, y sobre todo equivocarse y no detectarse; por ello deben 
intervenir funciones /personas diferentes y existir controles suficientes. 
Después ya podemos lleg-ar a otros controles más extendidos de seguridad 
física y lógica. 
En un proceso de auditoría, por tanto, se evaluarán estos aspectos, y otros 
como si la seguridad es realmente una preocupación corporativa: que exista 
lnfimnática y Derecho 
665 
presupuesto para ello no es suficiente, si las personas a diferentes niveles están 
mentalizadas; que exista una cultura de la seguridad, si hay un comité que fije o 
apmebe los objetivos correspondientes y en qué medida se alcanzan, qué modelo 
de seguridad se quiere implantar o se ha implantado, qué políticas y 
procedimientos existen: su idoneidad y grado de cumplimiento, así como la forma 
en que se realiza el desarrollo: en un entorno seguro y con inclusión de controles 
en las aplicaciones, si el proceso se lleva a cabo igualmente en un entamo seguro: 
separación de programas y separación en cuanto a datos, si los seguros cubren !os 
riesgos, pero sin que sea ésta la única medida de protección, y si está prevista la 
continuidad de las operaciones en el caso de incidencias. 
En ocasiones la entidad está en medio de un proceso de implantación de la 
seguridad, y la evaluación normalmente abarcará qué proyectos hay en curso, y un 
contraste de los objetivos y los medios usados o previstos . 
Aunque no es posible en esta ocasión profundizar en todos los puntos sí 
queremos incluir algunos comentarios sobre algunos de ellos: en cuanto a 
evaluación de riesgos en general, se trata de evaluar la probabilidad de que algo 
ocurra y el impacto o pérdida que puede suponer; para ello disponemos de listas, 
que podemos incluir en hojas de cálculo, o bien usamos paquetes, y tal vez en el 
futuro sistemas expertos. El problema sigue siendo la adaptación de los puntos a 
cada caso: tales como actividad, din1ensión, tipo de datos, y plataformas, y asignar 
el peso que puede tener cada uno de los puntos. 
En el informe se explican los diferentes puntos, e incluso se clasifican por 
importancia, y la entidad decide qué acciones tomar y con qué prioridad, a veces 
en función de sus disponibilidades de recursos, o bien según qué planes tenga que 
puedan afectar, como puede ser la sustitución de equipos o de aplicaciones. 
Lo mejor sería poder eliminar los riesgos en todos los casos, pero 
normalmente lo más que conseguin1os es disminuir o la probabilidad de que algo 
se produzca o bien su impacto: con sistemas de detección, de extinción, mediante 
revisiones, o bien copiando ficheros críticos, exigiendo una contraseña, u otros 
controles según los casos. 
Los manuales hablan de transferir los riesgos, por ejemplo contratando un 
seguro, pero debemos recordar que si se nos pierden los datos la entidad 
aseguradora nos dará el importe estipulado -si no puede agarrarse a alguna 
cláusula en letra pequeña- pero seguiremos sin recuperar los datos. 
666 
Finalmente otra posibilidad es asumir los riesgos, pero debe hacerse a un 
nivel adecuado en la entidad, y considerando si puede ser mayor el coste de la 
inseguridad que el de la seguridad, lo que a veces sólo se sabe cuando ha ocurrido 
algo. ¿Cuál es el máximo admisible de riesgo que puede permitirse una entidad? 
Depende de lo crítica que sea para ella la información y disponer de ella, e incluso 
puede depender del momento: es un tema tan grave que no puede generalizarse la 
respuesta ni decidirla un administrador de seguridad. 
Volviendo a los aspectos físicos, que son una de las barreras más visibles, 
hay puntos a considerar en la auditoría, desde el emplazamiento del centro de 
procesos o de los servidores y terminales, el control de accesos, el uso de llaves, 
protecciones frente al fuego, agua, vandalismo, robo, y hasta la continuidad de la 
energía; respecto a la continuidad en general es fundan1ental disponer de copias 
actualizadas en un lugar adecuado. 
Además de la identificación física, y como paso siguiente, existe la 
identificación y autenticación que denominamos lógica, generalmente mediante 
contraseña, si bien si se sigue produciendo un abaratamiento progresivo se puede 
empezar a utilizar la biométrica. 
Podemos decir que una contraseña es un conjunto de caracteres que sólo 
debe conocer el propio usuario, y que sirve para dar acceso a recursos tales como 
todo un sistema, ficheros o bases de datos concretos, programas, transacciones, o 
incluso el acceso físico . 
Puntos a considerar en relación con las contraseñas: 
-La contraseña debe ser fácil de recordar por el verdadero usuano, para 
evitar que la tenga que escribir, y difícil de imaginar por otros. 
·Si fuera necesario anotar la contraseña debe hacerse en lugares protegidos y 
preferiblemente disimulada entre otras anotaciones. 
·En la mayoría de casos y entornos (no en todos) es preferible que la asigne 
el propio usuario, si bien siguiendo criterios adecuados. 
·Para evitar situaciones de bloqueo el administrador ha de poder crear, con 
el debido control, usuarios con un perfil determinado en caso de emergencia, o 
bien existir éstos, y sus datos estar debidan1ente protegidos, incluida la propia 
fnj(mnática y Derecho 
667 
contraseña. 
·Se debe limitar el número de intentos cuando el usuario marca la 
contraseña, previendo suplantaciones. 
·En todo caso es necesario investigar los intentos de acceso fallidos para 
verificar si se trata de errores del usuario o intentos de suplantación. 
-Las contraseñas han de tener una vigencia limitada, por ejemplo treinta 
días; incluso las puede haber de un sólo uso. 
En algunos sistemas se trata de hacer al usuano preguntas que otros no 
deberían conocer. 
·Puede haber también otros modelos pregunta / respuesta, basados en una 
función matemática que se ha comunicado al usuario. 
·Existen algunos sistemas o aplicaciones que incluyen usuarios y contraseñas 
"de fábrica", incluso con perfil de administradores, que deben vartarse o 
protegerse, sobre todo cuando aparecen en los propios manuales. 
·No deben aparecer en claro en las pantallas, ni en listados ni ficheros, en los 
que deben estar cifradas. 
Criterios de asignación: 
En todo caso debe fijarse una longitud mínima según la criticidad de lo que 
se quiere proteger: el código que usan1os para los cajeros de entidades fmancieras 
tiene 10.000 posibilidades (104), pero si ampliamos la longitud a seis, y utilizamos 
además de cifras las letras (unas 26 si el sistema no admite diferenciar mayúsculas 
y minúsculas) y algunos símbolos como *, $ ... (pensemos que hasta cinco 
símbolos) tenemos 416 posibilidades . 
La realidad demuestra que a menudo se asignan palabras que están en un 
procesador de textos, con lo que alguien que conozca algunos de sus caracteres 
puede llegar a averiguar los restantes. 
·Otra restricción aconsejable es no admitir las "x" últimas asignadas, para 
evitar que elusuario asigne de forma alternativa dos o tres contraseñas, lo que 
668 
disminuye la seguridad. 
·Se puede elegir una letra (por ejemplo la primera) de cada palabra de una 
frase: refrán, título de una película ... 
·O bien tomar una palabra de un libro (incluso siempre del mismo) y del que 
anotamos pág-ina, línea y número de palabra, en vez de anotar la contraseña. 
·Es evidente que ha de conocerla sólo el usuario y hay que evitar contraseñas 
de gmpo o depattamentales, para poder saber quién hizo qué (además de cuándo 
y desde dónde) y poder exigir responsabilidades. 
Y una posibilidad ciertamente rebuscada pero que se da en forma de "caballo 
de Troya", y especialmente peligrosa en un ''PC" que emule un terminal: que 
alguien haya introducido un progran1a que sin1Ule el contenido de la pantalla de 
identificación al sistema, con los mismos mensajes, grabe la contraseña, haga creer 
al usuario que ha habido algún tipo de error y le haga repetir el proceso ya dentro 
del procedin1iento normal, con lo que habrá recogido la contraseña (incluso de un 
administrador), sin que nadie haya sospechado. 
Cuando las contraseñas formen parte de mensajes de comunicaciones pueden 
ir camufladas: partidas, en posición variable, y lo mejor de todo: cifradas mediante 
algoritmos criptográficos. 
El cifrado es una de las medidas más eficaces si se usa bien y se eligen 
adecuadan1ente los sistemas, la longitud de las claves, y su distribución; puede 
usarse no sólo en las comunicaciones sino tan1bién para proteger los sopottes 
magnéticos que haya que trasladar -incluso por seguridad- y especialmente si lo 
hacemos por canales menos fiables : para evitar la copia no autorizada o 
interceptación del soporte. 
Los métodos de los romanos: sustitución de caracteres de un alfabeto (en 
todo el mensaje la A por la L, la M por la S ... ) o transposición (por ejemplo la 
primera letra pasa al lugar de la quinta, la cuarta al segundo lugar del texto ... ) 
resultarían hoy pueriles, sobre todo usando los propios ordenadores para el 
criptoanálisis. 
Los métodos modernos son mucho más complejos y sus algoritmos más 
sofisticados, aunque en muchos casos basados en la sustitución y transposición, 
lnjl!rmática y Derecho 
669 
pero a nivel de "bits" y con todos los caracteres ASCII o EBCDIC. 
El más extendido en aplicaciones comerciales, aw1que muy discutido en los 
últimos años, es el DES ("Data Encryption Standard") que IBM desarrolló con 
el nombre interno de "Lucifer". Es de clave privada y simétrico, es decir la clave 
para descifrar es la misma c1ue para cifrar. 
Entre los sistemas asimétricos de clave pública des taca RSA (de sus autores 
"Rivest, Shamir, Adleman"), basado en las propiedades de los números primos 
relativos y los residuos cuadráticos. 
Puede cifrarse por "hardware" y por "software". 
Las interceptaciones en las comunicaciones ("pinchados'') pueden ser pasivas: 
sólo lectura, o activas: variación de contenido. 
Deben limitarse los intentos de acceso para evitar que accedan suplantadores 
por intentos sucesivos, y en algunos casos es preferible establecer una llamada de 
retorno: el sistema identifica al usuario que quiere acceder y le obliga a "colgar" 
para ser el propio sistema el que llama a la dirección registrada como válida. 
En el caso de las redes locales, son aplicables muchos de los controles de las 
grandes redes, además de establecer controles específicos de prevención y 
detección de vims y proteger la configuración de manera que los usuarios sólo 
puedan realizar las funciones auto rizadas, en cuanto a cambios, carga de 
progran1as, transferencia de ficheros, y otras, para evitar fugas de datos, 
introducción de vims y carga o copias "pirata" de programas. 
Al hablar de seguridad siempre se habla de sus tres dimensiones : 
confidencialidad, integridad y disponibilidad de la información, y algunos 
controles van más dirigidos a tratar de garantizar una (o dos) de estas 
características. 
- La confidencialidad: se cumple cuando sólo las personas autorizadas (en 
un sentido amplio podrían1os referirnos tan1bién a sistemas) pueden conocer los 
datos o la información correspondiente. 
Podemos preguntarnos ¿qué ocurriría si un soporte magnético con los datos 
de los empleados o clientes o pacientes de una entidad fuera cedido a terceros? 
¿cuál podría ser su uso fmal? ¿habría una cadena de cesiones o ventas 
670 
incontroladas de esos datos? 
La LORTAD (Ley Orgánica de Regulación del Tratamiento Automatizado de 
Datos de carácter personal) ha influido positivamente en concienciamos respecto 
a la confidencialidad. 
- La integridad: consiste en que sólo las personas autorizadas puedan variar 
(modificar o borrar) los datos. Además deben quedar pistas para control posterior 
y para auditoría. 
Pensemos que alguien variara datos de forma que perdiéramos la información 
de determinadas deudas a cobrar (o que sin perderla tuviéramos que recurrir a la 
información en papel), o que modificara de forma aleatoria la última patte de los 
domicilios de algunos clientes. 
Algunas de estas acciones se podrían tardar en detectar, y tal vez las diferentes 
copias de seguridad hechas a lo largo del tiempo estarían "viciadas" (cormptas se 
dice a veces), lo que haría difícil la reconstrucción. 
- La disponibilidad: se alcanza si las personas autorizadas pueden acceder a 
tiempo a la información a la que estén autorizadas. 
El disponer de la información después del momento necesario puede 
equivaler a la falta de disponibilidad. Otro tema es disponer de la información a 
tiempo pero que ésta no sea correcta, e incluso que no se sepa? lo que puede 
originar la toma de decisiones erróneas . 
Otro caso grave es la ausencia de disponibilidad absoluta, por haberse 
producido algún desastre. En ese caso, a medida que pasa el tiempo el impacto 
será mayor, hasta llegar a suponer la falta de continuidad de la entidad, como ha 
pasado en muchos de los casos producidos (más de un 80% según las 
es tadís tic as) . 
Por tanto, los datos son uno de los activos que más y mejor debemos 
proteger, hasta el punto de que en muchas multinacionales la función que 
conocemos como administración de seguridad se llan1a data secttriry: es necesaria la 
designación de propietarios, clasificación de los datos, restricción de su uso para 
pmebas, inclusión de muescas para poder detectar usos no autorizados, así como 
aprovechar las posibilidades del Sistema de Gestión de Bases de Datos que se esté 
lnjármática y Derecho 
671 
utilizando. 
Uno de los primeros pasos que deben dar las entidades es la clasificación de 
la información: definición de unos cuantos niveles y asignación de categorías, 
como pueden ser: Pública (no clasificada), Confidencial o Restringida, Secreta, e 
incluso de Alto Secreto ("TOP SECRET"), además de pendiente de clasificar. 
De este modo se podrá defmir qué pueden conocer los empleados de tal 
departamento, o restringir la variación de determinados datos a tal función. 
Decíamos que la LORTAD ha supuesto un impulso a la protección de datos 
en España, sobre todo en algunos sectores, a pesar de que aún está pendiente el 
Reglamento de Seguridad. 
Deben establecerse controles en la entrada, proceso y salida de los datos, e 
incluso después respecto al tiempo que hay que conservarlos y si es necesario 
fmalmente destmirlos, y tanto en soporte magnéti.co, como papel u otros. 
En los casos de transacciones más críticas se puede exigir la revisión por un 
supervisor independiente antes del proceso. 
En cuanto a las bases de datos existen unos criterios generales, además de 
recomendaciones específicas según sean bases de datos documentales, orientadas 
a objetos, distribuidas, con datos críticos, muy volátiles ... 
Cuando se trata de bases de datos con diferentes niveles de confidencialidad e 
integridad se pueden usar bases de datos multinivel, que permiten etiquetar los 
elementos de datos, y que usuarios o gmpos de usuarios con distintos niveles de 
acceso tengan vistasdiferentes de la misma base de datos. 
Como sobre todo en las entidades grandes y medias los sistemas se basan en 
redes de redes, con conexiones internas y externas, es necesario proteger y 
controlar los sistemas frente a posibles transferencias de ficheros, ya que los 
datos que pueden estar perfectamente protegidos en equipos centrales, una vez 
que son transferidos a redes con menor protección pueden a su vez transferirse a 
equipos de uso personal e incluso portátiles. 
En relación con ello se va imponiendo la identificación y autenticación únicas 
(single sign-on), y el intento de que los datos viajen por diferentes plataformas 
672 
con la misma etiqueta de seguridad que hayan podido tener inicialmente según su 
clasificación. 
Otro aspecto es la protección de los programas, al menos desde dos 
perspectivas: de los progran1as que sean propiedad de la entidad, realizados por el 
personal propio o contratados a terceros, y el uso adecuado de aquellos 
programas de los que se teng-a licencia de uso, pero este tema se tratará en otra 
ponencia expresamente y por un verdadero especialista. 
Es necesario hablar de virus, que hace años era un problema que se 
relacionaba con el uso de progran1as no legales, y cuya incidencia ha disminuido 
aunque nunca hay que bajar la guardia: la disminución en buena medida se debe 
al uso progresivo de programas legales, aunque aún estemos lejos de los niveles de 
otros países, a las medidas preventivas generales, y al uso de herran1ientas de 
prevención y detección, lo que supone en las redes un gran esfuerzo de 
administración y actualización, además del coste que suponen los propios 
paquetes, hasta el punto de que en muchos casos se protege sólo el servidor, y a 
nuestro juicio se debe completar la situación con la existencia de normas 
adecuadas y la posibilidad de responsabilizar al usuario. 
Existe un riesgo constante porque de forma continua aparecen nuevas 
modalidades de virus (a menudo en países distantes) que no son detectadas por 
los programas antivims hasta que las nuevas versiones los contemplan. Y un 
riesgo adicional es que los virus pudieran llegar a impactar los grandes sistemas, 
sobre todo a través de las redes, pero es to es realmente difícil -no nos atrevemos a 
decir que imposible- por las características y complejidad de los grandes equipos y 
de sus sistemas operativos. 
Un último aspecto a considerar en la auditoría de la seguridad, ya citado, es la 
continuidad: que en el caso de incidencias de diferente impacto las operaciones 
de la entidad puedan reanudarse -incluso no intenumpirse- en un plazo inferior al 
fijado, según la criticidad de las aplicaciones. En relación con ello es necesario 
revisar en la auditoría si se han determinado los registros vitales -y la información 
es uno de ellos- y las aplicaciones que la procesan, y los sistemas de proceso y 
redes son necesarios también. A la vez se suele revisar el denominado plan de 
evacuación, que afecta más directamente a las personas, y que puede existir con 
independencia del anterior, y con carácter general en la entidad o edificio. 
Los activos se deben proteger pensando en los intereses de los accionistas, de 
lijfórmúrica y Derecho 
(;73 
los clientes, y también pensando en los empleados y en los proveedores. 
7. Auditoría de la Gestión 
Es una de las áreas más novedosas para los auditores, hasta el punto de que a 
veces en los cursos nos preguntan, incluso profesionales con experiencia, si 
realmente tendrían que abordar tan1bién estas áreas . 
Entre los objetivos pueden estar: 
·Alineamiento y sincronización de las inversiones y uso de los sistemas de 
información con las estrategias generales de "negocio" o de servicio. 
·Aportación de los S.I. y del aprovechamiento de las tecnologías de la 
información para conseguir ventajas competitivas. 
·Cobertura de necesidades de cada área usuaria y nivel de servicio, frente al 
riesgo de que se vaya a la tecnología por la tecnología. 
·Organigrama adecuado. 
·Contratos. 
·Calidad: de procesos y de productos . 
-La llamada informática de usuario fmal, así como la existencia del gran 
almacén de datos (Data Warehouse) y su aprovechamiento, llegando a la minería de 
datos o Data Mining. 
·Políticas, estándares y procedinuentos relacionados con la gestión. 
-Existencia y aportación de Con1ités. 
·Gestión económica: costes, posible repercusión, rentabilidad. 
Es necesario revisar lo que podemos llamar arquitecturas. de datos, de 
aplicaciones, de equipos, y topología de comunicaciones. 
674 
8. Auditoría del Desarrollo de Aplicaciones 
Algunos aspectos a revisar pueden ser: metodología seguida, normativa, grado 
de participación de los usuarios, entornos de desarrollo, lenguajes, herramientas, 
pruebas, calidad, productividad, costes, e incluso comparación con otros o con 
niveles medios o destacados (bencbmarking); y no sólo en el caso de desarrollos 
propios, sino desarrollos contratados o con equipos mixtos, e incluso los términos 
del contrato, o en el caso del uso de paquetes de aplicación. 
El diseño y las pruebas tienen mucho que ver con la calidad, relacionada en 
muchos aspectos con la seguridad; así, deben probarse los módulos, rutinas y 
programas, realizar pruebas en cadena, de volumen o de "estrés", de aceptación 
(por parte de los usuarios, por la unidad de producción o explotación, y por el 
área de mantenimiento de aplicaciones), además de considerar la posibilidad de 
lanzar versiones alfa y beta, y realizar paralelos. 
El uso o no de datos reales vendrá determinado por la clasificación de la 
información, y en el caso de usar datos reales debería "mimetizarse" su contenido. 
El pase al entorno de explotación real debe estar controlado, no 
descartándose la revisión de programas por parte de técnicos independientes del 
proyecto, para determinar, además de la calidad, la ausencia de "Caballos de 
Troya", bombas lógicas y similares. 
9. Auditoría de la Producción 
Algunos aspectos a revisar son: el nivel de servicio frente a las necesidades de 
los usuarios, la capacidad de proceso, la planificación y control de la explotación, 
la posible repercusión de costes, la gestión de problemas y can1bios, y la atención 
a usuanos. 
10. Técnicas y métodos 
En cada proceso de auditoría se fijan los objetivos, án1bito y profundidad, lo 
que sirve para la planificación, y para la consideración de las fuentes, según los 
objetivos. El factor sorpresa puede llegar a ser necesario en las revisiones, según 
lnj(mnática y Derecho 
675 
lo que se quiera verificar. 
Como métodos y técnicas podemos considerar los cuestionarios, las 
entrevistas, la observación, los muestreos, las CAAT (Computer Aided 
Auditing Techniques), las utilidades y programas, los paquetes específicos, las 
pruebas, la simulación en paralelo con datos reales y programas de auditor, o la 
revisión de programas. 
11. El informe 
El informe debe ser escrito en todos los casos, y debe ir firmado. 
En él deben constar los antecedentes, el objetivo del proceso de auditoría, los 
agradecimientos (si proceden), las posibles limitaciones, y un resumen para la 
Dirección, en términos no técnicos. 
En cada punto que se incluya debe explicarse, siempre que sea posible, por 
qué es un incumplimiento o una debilidad, y alguna recomendación, a veces 
abarcando varios puntos. 
El informe ha ·de discutirse con los auditados antes de emitir el definitivo. 
En algunos casos, bien en el propio informe o en otro documento, se recogen 
las respuestas de los auditados. 
La entidad decide qué acciones tomar, y en el caso de los internos suelen 
hacer también un seguimiento de las implantaciones. 
Los auditados siempre buscan un informe lo más benigno posible, mientras 
que los auditores nos proponemos lleg-ar a un informe veraz y útil; estos 
diferentes puntos de vista a veces crean conflictos en la discusión del informe. 
12. Conclusión 
La auditoría en S.I. no está suficientemente implantada en la mayoría de las 
entidades españolas,si bien supondría una mayor garantía de que las cosas se 
hacen bien y como la entidad quiere: en general hay coincidencia entre ambos 
676 
puntos. Puede ser también una profesión con futuro cuando la auditoría _: 
despegue. 
Como función aporta al auditor un conocimiento privilegiado del área de S.I., 
con una perspectiva muy amplia. 
El auditor, como cualquiera que esté relacionado con las tecnologías de h 
información, ha de mantener sus conocimientos al día. 
La forma de realizar el trabajo va variando y se está llegando a aplicar el 
control por excepción y la teleauditoría. 
En cuanto a nuevas áreas, surgen las relaciones con el comercio electrónico 
y el uso de SET (Secttre Electronic Transaction), e incluso en cuanto a las pági~as 
WEB, y por algunos casos que se han producido, la revisión de quien autoriza, 
varía y controla los contenidos; cada vez es más necesaria la separación de 
dominios: en las entidades por seguridad y productividad, y en los hogares, 
aunque esto se sale de la auditoría y queda en el control, para evitar que ·los · 
menores accedan a contenidos con violencia o pornografía. 
Volviendo a las entidades, se están dando muchos casos de uso indebido de 
acceso a redes: en varias empresas de Estados Unidos muy conocidas se 
registraron más de cuatro mil accesos en 1996 sólo a la revista Pentbouse. 
Por último, dos aspectos que hay que tener muy en cuenta: la revisión de los 
sistemas en cuanto a su adaptación al euro, y la previsión del tratamiento 
adecuado al año 2000, que podría impedirnos entrar en el nuevo milenio con 
"buen pie"; ya se están produciendo errores: uno de los más leves el de un 
paciente de un centro sanitario de Madrid para el que el ordenador emitió un 
volante de pediatría ¡el paciente tiene 101 años! pero este problema se ha dado a 
menudo en diferentes sectores y mucho antes de que afecte el cambio de siglo y 
de milenio: debemos llegar al 2000 entusiastas, preparados y prevenidos. 
Informática y Derecho 
677 
.. ' 
13.ANEXOS 
ORGANISMOS Y ENTIDADES RELACIONADOS 
ANSEI (Asociación Nacional de Seguridad en Entornos Informáticos) 
Tfno: (91) 722 50 40 
ASIS (Sociedad americana para la Seguridad Industrial) 
Génova, 3 
28004 MADRID 
AESPI (Asociación Española de Sociedades de Protección contra 
Incendios) 
Tfno: (91) 411 27 56 
Instituto de Auditores Internos 
Montera, 24- 4° A 
28013 MADRID 
OAI (Organización de Auditoría Informática), Capítulo Español de ISACA 
Claudia Coello, 18 
28001 MADRID 
Secretariado de ISO American National Standards Institute 
1430 Broadway 
New York, NY 10018 Estados Unidos 
Tel: 1-212-642-4900 
Commission of the European Communities 
Senior Officials Group- Information Systems Security Secretariat 
DG X111F, TR61, 2/30 
Ruede la Loi 200, B-1049 Bruselas BÉLGICA 
Fax: + 322-235-0654 
Information Systems Audit and Control Association (ISACA) 
(Antes Electronic Data Processing Auditors Association, Inc.) 
3701 Algonquin Rd., Suite 1010 
678 
Rolling Meadows, IL 60008 Estados Unidos 
Fax: 07-1-708-253-1443 
Information Systems Security Association (ISSA) 
4350 Dipaolo Ctr. 
Glenview, IL 60025 
Tel.: 1-708-699-6441 
Fax: 1-708-699-6369 
Informática y Derecho 
679 
REVISTAS Y PUBLICACIONES 
SIC (Seguridad en Informática y Comunicaciones) 
Jorge Juan, 96 - Bajo 1 
28009 MADRID 
Cuadernos de Seguridad 
Avda. de la Industria, 32, nave 2 
28100 ALCOBENDAS (Madrid) 
Selecciones Security Management (en español) 
Edf. EULEN 
Ctra. de La Comña Km. 17,900 
28230 LAS ROZAS (Madrid) 
Tfno: (91) 631 08 00 
Fax: (91) 631 08 51 
Computer Fraud & Security Bulletin 
Elsevier Advanced Technology, Mayfield House 
256 Banbury Rd. 
Oxford OX2 7DH Inglaterra 
Te! +44-71-239-7764 
Fax +44 (O) 865-310981 
Computers & Security 
Elsevier Advanced Teclmology, Mayfield House 
256 Banbury Rd. 
Oxford OX2 7DH Ingla 
680 
Computers Security Journal 
Computer Security Institute 
600 Harrison St., 
San Francisco, CA 94107 Estados Unidos 
Tel: 415-905-2626 
Fa.,'{: 415-905-2218 
Auditor Journal 
ISA CA, 
3701 Algonquin Rd., Suite 1010, 
Rolling Meadows, IL 60008 USA 
Phone 1-708-253-1545 
Fax 1-708-682-4010 
EDPACS -- The EDP Audit, Control, and Security Newsletter 
Auerbach Publications, Warren Gorham Lamont, 
210 South St., 
Bastan, MA 02111-2797 Estados Unidos 
Tel 1-617-423-2020 
lnformation Systems Security 
Auerbach Publications, 
One Penn Plaza, 
New York, NY 10119 Estados Unidos 
Tel: 1-212-971-5005 
ISSAJournal 
Dain Gary, Software Engineering Institute 
Carnegie Mellan University 
Pittsburgh, PA 15212 Estados Unidos 
Tel: 1-412-268-5724 
Fa.x 1-412-268-6989 
Security Management 
American Society for Industrial Security, 
1655 North Fort Myer Drive, Suite 1200, 
Arlington, VA 22209 USA 
Tel: 1-703-522-5800 
Fax 1-703-243-4954 
lnj(mnática y Derecho 
681 
BIBLIOGRAFÍA 
Abrams, M. D ., Jajodia, S. and Podell, S. J. Information Securiry. IEEE Computer 
Security Press. 1995. 
Acha Iturmendi. Auditoría Informática. Paraninfo. Madrid 1993/1994. 
Alonso Rivas, Gonzalo. Auditoría Informática. (Editorial Díaz de Santos) . 
Baker, Richard H. The Computer Secttriry Handbook . TAB Professional and 
Reference Books. 
British Standards Institution. A Code of Practice for Information Securiry Management. 
Department ofTrade and Industty, British Government. Londres, 1993 
Bruce, Glen y Dempsey, Rob. Secttriry In Distributed Computing: Did You Lock the 
Door?. Prentice Hall. 1996. 
Caballero, P. Introducción a la Criptogrqfla. RA-MA, Textos Universitarios, 1996. 
Calle Guglieri, J.A. &ingeniería y Segundad en el Ciberespacio. Ed. Díaz de Santos. 
Madrid, 1997. 
Castano, S., Fugini, M., Maetella, G., Samarati, P. Database Secun'ry. Addison 
Wesley, 1994. 
Chapman, D. B., Zwicky, E. D. Buildi11g Internet Fimvalls. O'Relly & Associates, 
1995. 
Coelli, William, Longley, Dennis and Shain, Michael. Information Secun'ry. 
Handbook. Macmillan Publishers,Ltd. 
Data Secun'ry Management. Auerbach. 
Datapro Reports on Information Securiry. DATAPRO. McGraw- Hill. 
682 
Davara, Miguel Ángel. De las Autopistas de la Información a la Sociedad Virtual. 
Editorial Aranzadi. Pamplona, 1996. 
Davies, D . W. and Price, W. L. S ecuriry for Computer Net1vorks. J ohn Wiley & Sons. 
Del Peso, Emilio y Ramos, Miguel A. Confidencialidad y Seg11ridad de la Información: la 
LORTAD y sus Implicaciones Socioeconómicas. Editorial Diaz de Santos, Setiembre 
1994. Madrid. 
Del Peso, Emilio, Miguel A. Ramos et al . Manual de Dictámenes y Peritqjes. Editorial 
Diaz de Santos, Noviembre 1995. Madrid. 
Dupont, Daniel G, and Richard Lardner. The Culture o/ Secrery. Government 
Executive, vol. 27, n° 6. Junio, 1995. 
EDP Auditing, AUERBACH 
Eloff,J. H. P. and Von Sloms, S. H. Information Securiry- the Next Decade. Chapman 
& Hall. May, 1995. 
Ford, Warwick. Computer Communications Sernriry: Principies, Standard Protocols and 
Techniques. Prentice Hall. 1994. 
Geyelin, Milo. W-?Y Many Businesses Can't Keep Their Secrets. The Wall Street Joumal, 
20 Noviembre, 1995. 
Ginn, Ron. Continuiry Planning. Elsevier Advanced Technology. 
Henry. M. Practica! Computer- NetJvork Sernriry. Artech House, 1995. 
Hughes, L. J. Internet Sernriry Techniques. New Riders Publishing, 1995. 
Hutt, Arthur E., Douglas B. Hoyt, y Seymour Bosworth. Computer Sernriry 
Handbook. 3a edición, 1995. John Wiley & Sons. Nueva York, 1995. 
ISACA (Information Systems Audit and Control Association / Foundation) . 
Varios libros editados. 
Informática y Derecho 
683 
----- COBIT: Control Objectives for Itiformation and Related Technology. Abril, 1996. 
IT security: the need for internacional cooperation. Proceedings if the IFIP TCII 
International Coriference on Information Secttriry. Singapur. Mayo, 1992 
Kaufman, Charles, Perlman, Radia y Speciner, Michael. Nettvork Secttriry: Private 
Communication in a Public World. Prentice Hall. 1995 
Longley, Dennis and Shain, Niichael. Data & Computer Secun·ry. Macmillan 
Publishers, Ltd. 
Morant, J.L., Ribagorda,A. T y Sancho, J. Segundad y Protección de la Iriformación. 
Editorial Centro de Estudios Ramón Areces. Madrid, 1994. 
Murphy Michael A. y Parker Xenia L. Handbook if EDP Auditing, Warren, 
Gorham & Lamont 
O'Shea, G. Secttn·ry in computeroperatúzg .rystems. NCC Blackwell. Oxford, 1991. 
Palmer, l. C. and Potter, G.A. Computer Secun·ry- Risk Management. Jessica Kingsley 
Publishers. 
Perry, William E. and Kuong, Javier F. EDP Risk Anafysis and Control Justification. 
Pfleeger, Charles P. Secun·ry in Compttting, 2/E. Prencice-Hall, 1996. 
Piattini, M.G. Control interno y auditoría en un entorno de bases de datos relacionales. Parte 
I y JI. Revista Base no 21, noviembre 1992 y n° 22, abril 1993. 
Prooceedings if the Sixth IFIP. Internacional Conference on Computer Security and 
Informacion Intergrity. Helsinki- Mayo 1990. 
RACF. Auditor's Guide. IBM. 
Ramos González, MA. La seguridad y confidencialidad de la información y la 
LORTAD. Actas XXII Curso de Informática y Derecho: ~ de Protección de Datos 
Personales. UNED. Mérida, 1993. 
684 
-----La Auditoría de la seguridad informática. Revista CHIP. Marzo, 1992. 
----- Contribución a la mejora de las técnicas de Auditoría Informática mediante la 
aplicación de métodos y herramientas de Ingeniería del Conocimiento. Tesis 
Doctoral. Facultad de Informática. Universidad Politécnica de Madrid. 
----- La importancia de la seguridad informática en el ámbito empresarial. Ponencias 
JI Conjérencia de Seguridad Informática. Madrid, 1989. 
----- Auditoría de la Seguridad: charlas en dos ediciones de Securmática 
----- Auditoría (en) informática. Seguridad informática. Núm. 17. Noviembre, 1995. 
----- La información como activo estratégico: seguridad y protección. Selecciones de 
Securiry Management. Núm. 75. Madrid, 1995. 
----- La Auditoría Informática y el Reglamento de Seguridad de la LORTAD. 
Revista Seguridad Informática y Comunicaciones . Septiembre 1997 (en prensa) . 
----- Auditoría de la Seguridad. Capítulo en la obra Auditoría Informática 
coordinada por Del Peso, Emilio, y Piattini, Mario. Ed. RA - MA, Octubre 1997 
(en preparación). 
----- (Coautor de otras obras; vid. Del Peso ... ). 
Ribagorda Garnacha, A. Seguridad y Protección de la !'!formación. De este autor y de 
JL Morant y J. Sancho. Editorial Centro de Estudios Ramón Areces. Madrid, 
1994. 
----- Glosario de Términos de Segundad de fas T.I. Ediciones CODA. Madrid, Abril 
1997. 
R. Posch. Communications and Multimedia Securiry. Graz University of Technology, 
Austria. August 1995. 
Sánchez,JI. e Ignoto, MJ. La Segundad Informática. Manuales IMPI. Madrid, 1991. 
SEDISI. Guía de Segundad Itifórmática. (Asociación Española de Empresas de 
Tecnologías de la Información) . Abril, 1997. 
Informática y Derecho 
685 
Security. Module 9. Systems Auditability and Control. The Institute Interna/ Auditors 
Research Foundation. Altamonte Springs, 1991. 
Simpson, Glenn R. A '90s Espionage Tale Stars Software Riva/s, E-Mai/ Spy. The Wall 
StreetJournal, 25 Octubre, 1995. 
~iyan, K., Hare, Ch. Internet Firewa//s and Network Securiry. New Riders publishing, 
1995. 
Stalling, William. Network and InternetJvork Securiry: Principies and Practice. Prentice 
Hall. 1995 
Tantam, Mark. Computer Abuse Investigator. Elsevier, 1991 (Gran Bretaña) 
The EDP Audit, Control, and Securiry Newsletter. EDPACS. Auerbach Publications. 
The Journal, revista de la ISACA. 
Vallabhaneni, Rao. Auditing computer secun·ry. A manual with case studies. John Wiley 
& Sons, 1989. 
Wong, Ken y Watt, Steve. Managing Itifórmation Secun·ry. Elsevier, 1990 (Gran 
Bretaña). 
Wood, Charles Cresson. A Polúy for an Information Secun·ry Management Committee. 
Computer Security Alert, n° 115. Octubre, 1992. Publisher: Computer Security 
Institute, San Francisco, CA, USA. 
686 
ALGUNAS DIRECCIONES "WEB" 
/ /www.acl.com Herramientas para auditoría 
/ /www.aenor.es Asociación Española de Normalización 
/ /www.amazon.com Libros 
/ /www.ansi.org American Nacional Standards Institute 
/ /www.auditserve.com Articulas, noticias 
/ /www.bibliomania.com Libros 
/ /www.booksatoz.com Libros 
/ /www.bookshop.com Libros 
/ /www.bookwire.com Libros 
/ /www.compubooks.com/books .html Localización de libros de informática 
/ /www.datapro.com Datapro 
/ /www.echo.lu Comisión Europea 
/ /www.elservier.com Libros, revistas, congresos 
1 /www.etsi.fr European Telecomunications Standards Institute 
/ /www.fundesco .es Consulta catálogos de bibliotecas 
/ /www.hp.com 1 /www.hp.es Hewlett Packard mundial / española 
1 /www.ibm.com / /www.ibm.es IBM Mundial / española 
/ /www.iee.es IEE - Infotmáticos Europeos Expertos 
/ /www.ifip .or.at IFIP 
/ /www.iso.ch Internacional Standards Organization 
/ /www.it-ch.com Chapman & Hall (Libros sobre TI) 
/ /www.mec.es Educación y Ciencia(+ información tesis: teseo) 
/ /www.microsoft.com 
1 /www.ovum.com Informes Técnicos 
1 /www.rsa.com Algoritmo de cifrado 
/ /www.uned.es Universidad Nacional de Educación a Distancia 
/ /www.wiley.com Libros técnicos 
Informática y Derecho 
687