Descarga la aplicación para disfrutar aún más
Vista previa del material en texto
La Auditoría Informática MIGUEL A. RAMOS Doctor en Informática. CISA. Expresidente de OAI y del Capítulo Español de ISA CA. Auditor informático, Profesor de A. I. en la Universidad Carlos III de Madrid Introducción Cada día tienen más importancia los datos y la información, y las enti- dades públicas y privadas e incluso los individuos (también los profesionales relacionados con el derecho) necesitan disponer de información exacta, actuali- zada, completa y fiable para desarrollar su actividad. Por otra parte, en las entidades ya pasó la época en la que el uso de las tecnologías de la información era rentable sin duda, y pocos se preocupaban de conocer si los equipos y aplicaciones eran adecuados ni de saber sus costes, y sobre todo si estaban alineados con la misión y planes de la entidad. En relación con todo ello tiene una gran utilidad la auditoría informáti- ca, que sin embargo no ha alcanzado aún en España un gran desarrollo, y es en estos últimos años cuando algunas entidades están creando la función de audi- toría informática interna, contratando la externa, o ambas opciones, que son per- fectamente compatibles y recomendables, especialmente para entidades de cier- ta dimensión y determinados sectores. Auditoría Informática Podernos entender corno auditoría informática la revisión de la propia informática y de su entorno, y tal vez deberíamos decir, como dicen en algunos países iberoamericanos, auditoría EN informática. Simplificando mucho podrí- amos pensar que se trata de comparar lo que se hace con lo que se debería hacer y lo que existe con lo que debería existir. Informática y Derecho 983 Un punto importante a verificar, que a menudo se pasa por alto, es si la informática, o el uso de las tecnologías de la información en general, están ali- neados con las necesidades de negocio de la entidad. Con carácter general, y como descripción más que definición, propone- mos la siguiente: La auditoría informática comprende: la revisión y la evaluación independiente y objetiva, por parte de personas inde- pendientes y técnicamente competentes de: el entorno informático de una entidad, abarcando todas o algunas de sus áreas, como (sin que sea con carácter excluyente): equipos, sistemas operativos y paquetes, aplicaciones y el proceso de su desarrollo, organización y funciones , las comunicaciones, la propia gestión de los recursos informáticos, las políticas, estándares y procedimientos en vigor en la entidad, su idoneidad así como el cumplimiento de: dichas políticas, estándares y procedimientos, objetivos fijados, contratos y las normas legales aplicables el grado de satisfacción de los usuarios finales y de sus directivos, los controles existentes, y un análisis de los posibles riesgos relacionados con la Informática . Ante una descripción tan amplia podríamos preguntarnos qué no com- prende la auditoría informática, y en realidad puede abarcar todo lo que esté com- prendido en el objetivo de cada revisión concreta, y en el contrato si es externa. Por otra parte, no existe en España regulación sobre la Auditoría Informática (sí la hay, por ejemplo, sobre la auditoría de cuentas, con una Ley específica), por lo que no existe ninguna obligatoriedad de aplicarla ni está esta- blecido quién puede realizarla ni por tanto bajo qué condiciones. El Estatuto de la Agencia de Protección de Datos relacionado con la LOR- TAD determina sus funciones inspectoras y cita la auditoría informática, lo que supone una de las pocas veces que los legisladores españoles se refieren a ella, y muy probablemente la primera. (LORTAD, 5/1992 de 29 de octubre, Ley Orgánica de Regulación del Tratamiento Automatizado de los Datos de carácter personal, y RO 428/93, de 26 de marzo. Estatuto de la Agencia de Protección de Datos). 984 La auditoría se puede referir a la revisión de la seguridad, o al nivel de calidad, o medir la eficiencia y la eficacia, o ser una auditoría de cumplimiento (de normas internas, de la normativa legal aplicable, como por ejemplo la Ley 16/ 1993 de 23 de diciembre, de incorporación al Derecho español de la Directiva 91 12501 CEE, de 14 de mayo de 1991, sobre protección jurídica de pro- gramas de ordenador, la citada LORTAD, el cumplimiento de contratos, de acuerdos inter-empresas, de planes y de objetivos ... ), o una auditoría de la ges- tión de los recursos informáticos, o puede realizarse con motivo de la fusión o compra de una entidad, como apoyo a la auditoría de cuentas, para comproba- ciones fiscales ... En todo caso, los procesos de auditoría han de ser realizados por audi- tores competentes, objetivos e independientes, y el informe que se emita señala- rá las posibles deficiencias y ha de contener recomendaciones; necesariamente ha de discutirse previamente con los auditados. Si nos centramos en este 11 Congreso Internacional de Informática y Derecho, entre los contenidos propuestos en su anuncio (por tanto previsible- mente en sus ponencias y comunicaciones) hay muchos temas que pueden rela- cionarse con la Auditoría Informática: -Investigación y enseñanza . ¿Cómo saber si se están aprovechando las posibilidades de las tecnolo- gías de la información, como la informática y las comunicaciones? En una Escuela, en una Universidad, en una Comunidad Autónoma, en todo el Estado ... Podría incluso existir algún tipo de revisión a nivel Unión Europea, y que esta- bleciera comparaciones entre los países. -Políticas del Estado sobre Tecnologías de la Información y la Comunicación, y Desburocratización y modernización estatales a través de la Informática y la Telemática. Las políticas son esenciales, pero ¿cómo saber si se están aplicando y qué resultados están dando? ¿preguntando directamente a quienes las aplican? ¿no sería mejor, además, realizar análisis objetivos e independientes, recogidos en informes que se recibieran al nivel adecuado? -Protección jurídica de los programas de ordenador, de las bases de datos, y de otros bienes vinculados al campo informático. Informática y Derecha 985 Nuestro marco jurídico español, aunque aún incompleto, cuenta con la LORTAD, así como con la citada Ley 16/1993, sobre protección jurídica de pro- gramas de ordenador. Las revisiones de control interno, o las de la Inspección de la Agencia de Protección de Datos, vienen a ser procesos de auditoría informática, y las actua- ciones de la policía judicial (a menudo con ayuda de peritos), como consecuen- cia de denuncias de posible uso fraudulento de programas, están relacionadas cada vez más con la auditoría informática. -Contratos de adquisición, uso, desarrollo o comercialización de bienes y servicios informáticos, como EDI (Intercambio electrónico de documentos). Dentro de la auditoría informática puede existir la revisión de los pro- pios contratos, o de su cumplimiento, si bien en estos casos la formación y expe- riencia del auditor no será la de un mero técnico, y probablemente se necesite la colaboración de un abogado especializado en derecho informático. -La informática como medio delictivo y como objeto delictivo. Enlaza plenamente con la auditoría de la seguridad, y no sólo a pos- teriori, sino con carácter preventivo. En estos casos los juristas a menudo nece- sitan la colaboración de auditores o de peritos, a fin de analizar registros inter- nos, perfiles de usuarios, tablas, o matrices de acceso. -Los virus. Cuya incidencia va siendo menor gracias a las medidas preventivas, si bien existe un riesgo constante porque de forma continua aparecen nuevas modalidades, que no son detectadas por los programas antivirus hasta que las nuevas versiones los contemplan. y un riesgo adicional es que los virus pudie- ran llegar a afectar a los grandes sistemas, sobre todo a través de las redes, pero esto es realmente difícil -no nos atrevemos a decir que imposible- por las carac- terísticas y complejidad de los grandes equipos y de sus sistemas operativos. La auditoría informáticatiene un papel importante en relación con ello, tanto a nivel de revisión de controles preventivos como de controles de detec- ción y de medidas de recuperación. -La protección de datos personales. Accesos autorizados, como consecuencia de políticas de la entidad. Para 986 control interno y posterior auditoría es necesario que queden registros de quién ha accedido a qué, y sobre todo de quién ha modificado o borrado qué y cuán- do, e incluso desde dónde. -Informática en las Administraciones Públicas y en los Juzgados. Además de la confidencialidad e integridad de la información, existen- cia de medidas que garanticen la disponibilidad, como que existan copias en lugares distantes que permitan reconstruir la situación en el caso de un incen- dio, inundación, sabotaje, o cualquier otra incidencia importante. En cuanto a confidencialidad en concreto, puede haber muchos ejem- plos, como la necesidad de proteger los datos médicos de los ciudadanos, los datos fiscales, los datos especialmente críticos según la LORTAD ... los datos de censo, o los propios procesos electorales. A propósito de los datos del censo apa- recía en la prensa (Diario El País, 9-3-95), que se sabía que el censo, de forma fraudulenta, se había vendido por siete millones de pesetas. Por tanto, es importante la existencia de normas adecuadas (leyes a nivel estado y autonómico, y políticas en el caso de las entidades, que se basen en las leyes cuando sean aplicables), que se divulguen, que se materialicen en procedimientos, y cuyo cumplimiento se vigile, tanto por funciones de control interno como por auditoría interna y externa, llegando a configurar un anillo de protección triple, y siendo la auditoría el control del control. Podemos entender el SISTEMA DE CONTROL INTERNO como el con- junto de procesos, funciones, actividades, subsistemas y dispositivos cuya misión (total o parcial) es garantizar que se alcanzan los objetivos de control. Y podemos definir dichos OBJETIVOS DE CONTROL como las declara- ciones sobre el resultado final deseado o el propósito a ser alcanzado mediante la implantación de procedimientos de control. Los auditores son los ojos y los oídos de la Dirección de una entidad o de un organismo, y ya sabemos que auditor es oyente (como audire es oír), si bien la denominación debería ser auditor-veedor, que las dos funciones realiza. La auditoría ha de hacerse respecto a unas normas, y cabe preguntarse qué hacer en un proceso de auditoría si no hay normas en la entidad (políticas y procedimientos) . En España, donde la situación puede considerarse frecuente, los auditores solemos plantear a la Dirección la realización del proceso de audi- Infonnática y Derecho 987 toría en base a estándares generales, con el fin de poder aportar un informe, cuya primera recomendación será la elaboración de las normas. El enfoque de los auditados en España respecto a la auditoría informá- tica es muy peculiar, y a menudo entienden la auditoría como un duelo con los auditores, queriendo interpretar como fin principal de la auditoría la obtención de un informe lo más benigno posible. Podríamos decir a los auditados que es como engañar al médico que nos atiende o al abogado que nos defiende, pero no lo ven así normalmente sino que consideran a veces al auditor como al verdugo, al médico forense o al abogado defensor ... de la parte contraria. Este enfoque hace a veces difícil el trabajo de los auditores, cuyo objeti- vo debe ser llegar a un informe completo, veraz y útil. Los auditores, como decíamos, debemos ser íntegros, responsables, independientes y objetivos, lo que en los internos en buena medida viene con- dicionado por su situación en el organigrama, así como competentes en la materia objeto de la auditoría y poder sustentar el informe con evidencias. La formación y experiencia de los auditores habrán de ser más técnicas cuanto más profundas hayan de ser sus revisiones y más complejos técnicamente los siste- mas a revisar. Horizontes Paradójicamente, la auditoría informática sigue realizándose en muchos aspectos como hace décadas, cuando la propia informática ha evolucionado de forma sustancial. Es aventurado decir cuáles pueden ser los horizontes de la auditoría informática, si bien comentaremos algunas de las líneas posibles: -Es obvio que cada vez se utilizarán más los ordenadores, frente al aná- lisis diferido de información sobre el papel. -La auditoría dejará de ser un proceso casi exclusivamente a posteriori, implantándose progresivamente, en las áreas en las que sea aplicable, la audito- ría preventiva, con la participación del auditor, por ejemplo en la revisión de las aplicaciones que se estén desarrollando, en este caso para verificar que se cubren las necesidades del usuario, que se realizan según las normas de la entidad, que se incorporan controles y que serán fácilmente auditables en el futuro. 988 -La auditoría por excepción, avisando de situaciones anómalas, y tanto en diferido, por un listado o mensaje en correo electrónico, corno en tiempo real por pantalla. -La teleauditoría, o auditoría a distancia, evitando algunas visitas y reci- biendo datos o interrogando sistemas y verificando qué se ha hecho: por ejem- plo lo registrado por un paquete de seguridad. -Los sistemas expertos, que podernos entender como conjuntos de pro- gramas que contienen los conocimientos de los expertos humanos en un domi- nio concreto, codificados en reglas, y que pueden resolver problemas dentro de ese dominio, simulando el razonamiento de los humanos. Constituyen la parte de la inteligencia artificial con más posibilidades de aplicación a la auditoría informática. Existen otras áreas de la inteligencia artificial de posible utilidad, más bien en el futuro, y más para seguridad informática que para auditoría informá- tica. Son: visión artificial, reconocimiento de la voz, comprensión del lenguaje natural o traducción automática, ésta para documentación. Conclusión En definitiva, la auditoría informática puede contribuir poderosamente a garantizar que la informática cubre las necesidades de una entidad, con un coste adecuado, y con cumplimiento de requerimientos legales y normas internas. Para ser realistas deberíamos referirnos no sólo a la informática, sino en general a los sistemas de información y al uso de las tecnologías de la información. Esperemos, por tanto, que se vaya generalizando la función de audito- ría informática interna, así corno la contratación de la externa, y que se conside- re la regulación del marco legal de funcionamiento. ' Para finalizar podernos recordar a Juvenal: Sed quis custodiet ipsos custo- des (pero ¿quién vigilará a los propios vigilantes?). Podernos indicar que un Comité de Auditoría en el caso de los internos, y las Asociaciones relacionadas y los Códigos de Ética Profesional en todos los casos. (En España existe la Organización de Auditoría Informática, creada entre la Asociación de Licenciados en Informática -ahora de Doctores, Licenciados e Ingenieros- y el Consejo de Colegios de Economistas, y de la que pueden ser miembros todos los inte- Informática y Derecho 989 resadas en el control y en la auditoría informática; la OAI es a la vez el Capítulo Español de la Information Systems, Audit, and Control Association, !SACA, antes denominada EDP Auditors Association). En el cuadro siguiente se resumen algunas posibles pautas de conducta para el auditor informático, si bien es difícil establecer una barrera rígida y cla- sificar en un lado u otro algunas opciones. • Recomendar • Ser independientes y objetivos • Ser competentes en la materia • Basar sus diagnósticos en verificaciones • Ver criterios 1 prácticas de contraseñas • Verificar que las aplicaciones se desarrollan y mantienen según normas y que se incorporan controles • Revisar codificación de programas • Revisar la documentación (aplicaciones, pro- gramas) • Evaluar riesgos e informar •Estar al día en cuanto a avances y metodologías 990 QUE NO DEBEN HACER LOS AUDITORES • Obligar, amenazar • Actuar en beneficio propio • Asumir encargos sin estar preparados • Basarlos en suposiciones • Asignar contraseñas (palabras de paso) • Hacer funciones de análisis o de programación • Codificar (salvo programas de auditoria) • Elaborar la documentación • Garantizar que no se realizan fraudes, delitos, errores, omisiones ... • Dejar que sus conocimientos queden obsoletos. BIBLIOGRAFIA DE REFERENCIA . Carrascosa López, Valentín. DERECHO A LA INTIMIDAD INFOR- MATICA. Revista Informática y Derecho, núm. 1. UNED. Mérida, 1992. . Davara Rodríguez, Miguel Angel. DERECHO INFORMATICO. Editorial Aranzadi. Pamplona, 1993 . . EDP Auditors Foundation. CONTROL OBJECTIVES. Controls in an Information Systems Environment: Objectives, Guidelines, and Audit Procedures. Illinois (Estados Unidos). Abril1992. Edición de 1995 en preparación . . Peso Navarro, Emilio del. PREVENCION VS FRAUDE: LA AUDITO- RIA INFORMATICA. Actas del III Congreso Iberoamericano de Informática y Derecho. Mérida 1992 . . Peso Navarro, Emilio del, y Ramos G. Miguel A. CONFIDENCIALI- DAD Y SEGURIDAD DE LA INFORMACION: LA LORTAD Y SUS IMPLICA- CIONES SOCIOECONOMICAS. Madrid, Septiembre 1994. Ed. Díaz de Santos . . Peso Navarro, Emilio del. LA AUDITORIA INFORMATICA COMO MEDIO DE PREVENCION FRENTE AL DELITO INFORMATICO. Revista de ALI (Asociación de Licenciados en Informática). Noviembre 1990 . . Ramos González, Miguel A. Tesis doctoral: CONTRIBUCION A LA MEJORA DE LAS TÉCNICAS DE AUDITORIA INFORMATICA MEDIANTE LA APLICACION DE MÉTODOS Y HERRAMIENTAS DE INGENIERIA DEL CONOCIMIENTO. Facultad de Informática de la U.P.M. Setiembre 1990 . . Ramos González, Miguel A. LA AUDITORIA DE LA SEGURIDAD INFORMATICA. Ponencias en SECURMATICA en 1991 y 1992 . . Ramos González, Miguel A. LA AUDITORIA DE LA SEGURIDAD INFORMATICA. Revista CHIP nº 122. Marzo 1992 . . Ramos González, Miguel A. AUDITORIA INFORMATICA E INGE- NIERIA DEL CONOCIMIENTO. Revista de ALI (Asociación de Licenciados en Informática). Noviembre 1990 . . Ramos González, Miguel A. LA SEGURIDAD Y LA CONFIDENCIA- LIDAD DE LA INFORMACION Y LA LORTAD. Revista Informática y Derecho, 6-7. UNED Mérida, 1994 . . Ramos González, Miguel A. LA AUDITORIA INFORMATICA. Actualidad Informática Aranzadi, Enero 1995. Informática y Derecho 991
Compartir