Dialnet-LaAuditoriaInformatica-248905

Vista previa del material en texto

La Auditoría Informática 
MIGUEL A. RAMOS 
Doctor en Informática. CISA. Expresidente de OAI y del Capítulo Español de ISA CA. 
Auditor informático, Profesor de A. I. en la Universidad Carlos III de Madrid 
Introducción 
Cada día tienen más importancia los datos y la información, y las enti-
dades públicas y privadas e incluso los individuos (también los profesionales 
relacionados con el derecho) necesitan disponer de información exacta, actuali-
zada, completa y fiable para desarrollar su actividad. 
Por otra parte, en las entidades ya pasó la época en la que el uso de las 
tecnologías de la información era rentable sin duda, y pocos se preocupaban de 
conocer si los equipos y aplicaciones eran adecuados ni de saber sus costes, y 
sobre todo si estaban alineados con la misión y planes de la entidad. 
En relación con todo ello tiene una gran utilidad la auditoría informáti-
ca, que sin embargo no ha alcanzado aún en España un gran desarrollo, y es en 
estos últimos años cuando algunas entidades están creando la función de audi-
toría informática interna, contratando la externa, o ambas opciones, que son per-
fectamente compatibles y recomendables, especialmente para entidades de cier-
ta dimensión y determinados sectores. 
Auditoría Informática 
Podernos entender corno auditoría informática la revisión de la propia 
informática y de su entorno, y tal vez deberíamos decir, como dicen en algunos 
países iberoamericanos, auditoría EN informática. Simplificando mucho podrí-
amos pensar que se trata de comparar lo que se hace con lo que se debería hacer 
y lo que existe con lo que debería existir. 
Informática y Derecho 
983 
Un punto importante a verificar, que a menudo se pasa por alto, es si la 
informática, o el uso de las tecnologías de la información en general, están ali-
neados con las necesidades de negocio de la entidad. 
Con carácter general, y como descripción más que definición, propone-
mos la siguiente: 
La auditoría informática comprende: 
la revisión y la evaluación independiente y objetiva, por parte de personas inde-
pendientes y técnicamente competentes de: 
el entorno informático de una entidad, abarcando todas o algunas de sus áreas, 
como (sin que sea con carácter excluyente): 
equipos, sistemas operativos y paquetes, aplicaciones y el proceso de su desarrollo, 
organización y funciones , las comunicaciones, la propia gestión de los recursos informáticos, 
las políticas, estándares y procedimientos en vigor en la entidad, su idoneidad 
así como el cumplimiento de: 
dichas políticas, estándares y procedimientos, objetivos fijados, contratos y las 
normas legales aplicables 
el grado de satisfacción de los usuarios finales y de sus directivos, los controles 
existentes, y un análisis de los posibles riesgos relacionados con la Informática . 
Ante una descripción tan amplia podríamos preguntarnos qué no com-
prende la auditoría informática, y en realidad puede abarcar todo lo que esté com-
prendido en el objetivo de cada revisión concreta, y en el contrato si es externa. 
Por otra parte, no existe en España regulación sobre la Auditoría 
Informática (sí la hay, por ejemplo, sobre la auditoría de cuentas, con una Ley 
específica), por lo que no existe ninguna obligatoriedad de aplicarla ni está esta-
blecido quién puede realizarla ni por tanto bajo qué condiciones. 
El Estatuto de la Agencia de Protección de Datos relacionado con la LOR-
TAD determina sus funciones inspectoras y cita la auditoría informática, lo que 
supone una de las pocas veces que los legisladores españoles se refieren a ella, y 
muy probablemente la primera. (LORTAD, 5/1992 de 29 de octubre, Ley Orgánica 
de Regulación del Tratamiento Automatizado de los Datos de carácter personal, y 
RO 428/93, de 26 de marzo. Estatuto de la Agencia de Protección de Datos). 
984 
La auditoría se puede referir a la revisión de la seguridad, o al nivel de 
calidad, o medir la eficiencia y la eficacia, o ser una auditoría de cumplimiento 
(de normas internas, de la normativa legal aplicable, como por ejemplo la Ley 
16/ 1993 de 23 de diciembre, de incorporación al Derecho español de la 
Directiva 91 12501 CEE, de 14 de mayo de 1991, sobre protección jurídica de pro-
gramas de ordenador, la citada LORTAD, el cumplimiento de contratos, de 
acuerdos inter-empresas, de planes y de objetivos ... ), o una auditoría de la ges-
tión de los recursos informáticos, o puede realizarse con motivo de la fusión o 
compra de una entidad, como apoyo a la auditoría de cuentas, para comproba-
ciones fiscales ... 
En todo caso, los procesos de auditoría han de ser realizados por audi-
tores competentes, objetivos e independientes, y el informe que se emita señala-
rá las posibles deficiencias y ha de contener recomendaciones; necesariamente 
ha de discutirse previamente con los auditados. 
Si nos centramos en este 11 Congreso Internacional de Informática y 
Derecho, entre los contenidos propuestos en su anuncio (por tanto previsible-
mente en sus ponencias y comunicaciones) hay muchos temas que pueden rela-
cionarse con la Auditoría Informática: 
-Investigación y enseñanza . 
¿Cómo saber si se están aprovechando las posibilidades de las tecnolo-
gías de la información, como la informática y las comunicaciones? En una 
Escuela, en una Universidad, en una Comunidad Autónoma, en todo el Estado ... 
Podría incluso existir algún tipo de revisión a nivel Unión Europea, y que esta-
bleciera comparaciones entre los países. 
-Políticas del Estado sobre Tecnologías de la Información y la 
Comunicación, y Desburocratización y modernización estatales a través de la 
Informática y la Telemática. 
Las políticas son esenciales, pero ¿cómo saber si se están aplicando y 
qué resultados están dando? ¿preguntando directamente a quienes las aplican? 
¿no sería mejor, además, realizar análisis objetivos e independientes, recogidos 
en informes que se recibieran al nivel adecuado? 
-Protección jurídica de los programas de ordenador, de las bases de 
datos, y de otros bienes vinculados al campo informático. 
Informática y Derecha 
985 
Nuestro marco jurídico español, aunque aún incompleto, cuenta con la 
LORTAD, así como con la citada Ley 16/1993, sobre protección jurídica de pro-
gramas de ordenador. 
Las revisiones de control interno, o las de la Inspección de la Agencia de 
Protección de Datos, vienen a ser procesos de auditoría informática, y las actua-
ciones de la policía judicial (a menudo con ayuda de peritos), como consecuen-
cia de denuncias de posible uso fraudulento de programas, están relacionadas 
cada vez más con la auditoría informática. 
-Contratos de adquisición, uso, desarrollo o comercialización de bienes 
y servicios informáticos, como EDI (Intercambio electrónico de documentos). 
Dentro de la auditoría informática puede existir la revisión de los pro-
pios contratos, o de su cumplimiento, si bien en estos casos la formación y expe-
riencia del auditor no será la de un mero técnico, y probablemente se necesite la 
colaboración de un abogado especializado en derecho informático. 
-La informática como medio delictivo y como objeto delictivo. 
Enlaza plenamente con la auditoría de la seguridad, y no sólo a pos-
teriori, sino con carácter preventivo. En estos casos los juristas a menudo nece-
sitan la colaboración de auditores o de peritos, a fin de analizar registros inter-
nos, perfiles de usuarios, tablas, o matrices de acceso. 
-Los virus. 
Cuya incidencia va siendo menor gracias a las medidas preventivas, si 
bien existe un riesgo constante porque de forma continua aparecen nuevas 
modalidades, que no son detectadas por los programas antivirus hasta que las 
nuevas versiones los contemplan. y un riesgo adicional es que los virus pudie-
ran llegar a afectar a los grandes sistemas, sobre todo a través de las redes, pero 
esto es realmente difícil -no nos atrevemos a decir que imposible- por las carac-
terísticas y complejidad de los grandes equipos y de sus sistemas operativos. 
La auditoría informáticatiene un papel importante en relación con ello, 
tanto a nivel de revisión de controles preventivos como de controles de detec-
ción y de medidas de recuperación. 
-La protección de datos personales. 
Accesos autorizados, como consecuencia de políticas de la entidad. Para 
986 
control interno y posterior auditoría es necesario que queden registros de quién 
ha accedido a qué, y sobre todo de quién ha modificado o borrado qué y cuán-
do, e incluso desde dónde. 
-Informática en las Administraciones Públicas y en los Juzgados. 
Además de la confidencialidad e integridad de la información, existen-
cia de medidas que garanticen la disponibilidad, como que existan copias en 
lugares distantes que permitan reconstruir la situación en el caso de un incen-
dio, inundación, sabotaje, o cualquier otra incidencia importante. 
En cuanto a confidencialidad en concreto, puede haber muchos ejem-
plos, como la necesidad de proteger los datos médicos de los ciudadanos, los 
datos fiscales, los datos especialmente críticos según la LORTAD ... los datos de 
censo, o los propios procesos electorales. A propósito de los datos del censo apa-
recía en la prensa (Diario El País, 9-3-95), que se sabía que el censo, de forma 
fraudulenta, se había vendido por siete millones de pesetas. 
Por tanto, es importante la existencia de normas adecuadas (leyes a 
nivel estado y autonómico, y políticas en el caso de las entidades, que se basen 
en las leyes cuando sean aplicables), que se divulguen, que se materialicen en 
procedimientos, y cuyo cumplimiento se vigile, tanto por funciones de control 
interno como por auditoría interna y externa, llegando a configurar un anillo de 
protección triple, y siendo la auditoría el control del control. 
Podemos entender el SISTEMA DE CONTROL INTERNO como el con-
junto de procesos, funciones, actividades, subsistemas y dispositivos cuya 
misión (total o parcial) es garantizar que se alcanzan los objetivos de control. 
Y podemos definir dichos OBJETIVOS DE CONTROL como las declara-
ciones sobre el resultado final deseado o el propósito a ser alcanzado mediante 
la implantación de procedimientos de control. 
Los auditores son los ojos y los oídos de la Dirección de una entidad o 
de un organismo, y ya sabemos que auditor es oyente (como audire es oír), si 
bien la denominación debería ser auditor-veedor, que las dos funciones realiza. 
La auditoría ha de hacerse respecto a unas normas, y cabe preguntarse 
qué hacer en un proceso de auditoría si no hay normas en la entidad (políticas y 
procedimientos) . En España, donde la situación puede considerarse frecuente, 
los auditores solemos plantear a la Dirección la realización del proceso de audi-
Infonnática y Derecho 
987 
toría en base a estándares generales, con el fin de poder aportar un informe, 
cuya primera recomendación será la elaboración de las normas. 
El enfoque de los auditados en España respecto a la auditoría informá-
tica es muy peculiar, y a menudo entienden la auditoría como un duelo con los 
auditores, queriendo interpretar como fin principal de la auditoría la obtención 
de un informe lo más benigno posible. Podríamos decir a los auditados que es 
como engañar al médico que nos atiende o al abogado que nos defiende, pero no 
lo ven así normalmente sino que consideran a veces al auditor como al verdugo, 
al médico forense o al abogado defensor ... de la parte contraria. 
Este enfoque hace a veces difícil el trabajo de los auditores, cuyo objeti-
vo debe ser llegar a un informe completo, veraz y útil. 
Los auditores, como decíamos, debemos ser íntegros, responsables, 
independientes y objetivos, lo que en los internos en buena medida viene con-
dicionado por su situación en el organigrama, así como competentes en la 
materia objeto de la auditoría y poder sustentar el informe con evidencias. La 
formación y experiencia de los auditores habrán de ser más técnicas cuanto más 
profundas hayan de ser sus revisiones y más complejos técnicamente los siste-
mas a revisar. 
Horizontes 
Paradójicamente, la auditoría informática sigue realizándose en muchos 
aspectos como hace décadas, cuando la propia informática ha evolucionado de 
forma sustancial. 
Es aventurado decir cuáles pueden ser los horizontes de la auditoría 
informática, si bien comentaremos algunas de las líneas posibles: 
-Es obvio que cada vez se utilizarán más los ordenadores, frente al aná-
lisis diferido de información sobre el papel. 
-La auditoría dejará de ser un proceso casi exclusivamente a posteriori, 
implantándose progresivamente, en las áreas en las que sea aplicable, la audito-
ría preventiva, con la participación del auditor, por ejemplo en la revisión de las 
aplicaciones que se estén desarrollando, en este caso para verificar que se cubren 
las necesidades del usuario, que se realizan según las normas de la entidad, que 
se incorporan controles y que serán fácilmente auditables en el futuro. 
988 
-La auditoría por excepción, avisando de situaciones anómalas, y tanto 
en diferido, por un listado o mensaje en correo electrónico, corno en tiempo real 
por pantalla. 
-La teleauditoría, o auditoría a distancia, evitando algunas visitas y reci-
biendo datos o interrogando sistemas y verificando qué se ha hecho: por ejem-
plo lo registrado por un paquete de seguridad. 
-Los sistemas expertos, que podernos entender como conjuntos de pro-
gramas que contienen los conocimientos de los expertos humanos en un domi-
nio concreto, codificados en reglas, y que pueden resolver problemas dentro de 
ese dominio, simulando el razonamiento de los humanos. 
Constituyen la parte de la inteligencia artificial con más posibilidades 
de aplicación a la auditoría informática. 
Existen otras áreas de la inteligencia artificial de posible utilidad, más 
bien en el futuro, y más para seguridad informática que para auditoría informá-
tica. Son: visión artificial, reconocimiento de la voz, comprensión del lenguaje 
natural o traducción automática, ésta para documentación. 
Conclusión 
En definitiva, la auditoría informática puede contribuir poderosamente a 
garantizar que la informática cubre las necesidades de una entidad, con un coste 
adecuado, y con cumplimiento de requerimientos legales y normas internas. Para 
ser realistas deberíamos referirnos no sólo a la informática, sino en general a los 
sistemas de información y al uso de las tecnologías de la información. 
Esperemos, por tanto, que se vaya generalizando la función de audito-
ría informática interna, así corno la contratación de la externa, y que se conside-
re la regulación del marco legal de funcionamiento. ' 
Para finalizar podernos recordar a Juvenal: Sed quis custodiet ipsos custo-
des (pero ¿quién vigilará a los propios vigilantes?). Podernos indicar que un 
Comité de Auditoría en el caso de los internos, y las Asociaciones relacionadas 
y los Códigos de Ética Profesional en todos los casos. 
(En España existe la Organización de Auditoría Informática, creada entre la 
Asociación de Licenciados en Informática -ahora de Doctores, Licenciados e Ingenieros-
y el Consejo de Colegios de Economistas, y de la que pueden ser miembros todos los inte-
Informática y Derecho 
989 
resadas en el control y en la auditoría informática; la OAI es a la vez el Capítulo Español 
de la Information Systems, Audit, and Control Association, !SACA, antes denominada 
EDP Auditors Association). 
En el cuadro siguiente se resumen algunas posibles pautas de conducta 
para el auditor informático, si bien es difícil establecer una barrera rígida y cla-
sificar en un lado u otro algunas opciones. 
• Recomendar 
• Ser independientes y objetivos 
• Ser competentes en la materia 
• Basar sus diagnósticos en verificaciones 
• Ver criterios 1 prácticas de contraseñas 
• Verificar que las aplicaciones se desarrollan y 
mantienen según normas y que se incorporan 
controles 
• Revisar codificación de programas 
• Revisar la documentación (aplicaciones, pro-
gramas) 
• Evaluar riesgos e informar 
•Estar al día en cuanto a avances y metodologías 
990 
QUE NO DEBEN HACER LOS AUDITORES 
• Obligar, amenazar 
• Actuar en beneficio propio 
• Asumir encargos sin estar preparados 
• Basarlos en suposiciones 
• Asignar contraseñas (palabras de paso) 
• Hacer funciones de análisis o de programación 
• Codificar (salvo programas de auditoria) 
• Elaborar la documentación 
• Garantizar que no se realizan fraudes, delitos, 
errores, omisiones ... 
• Dejar que sus conocimientos queden obsoletos. 
BIBLIOGRAFIA DE REFERENCIA 
. Carrascosa López, Valentín. DERECHO A LA INTIMIDAD INFOR-
MATICA. Revista Informática y Derecho, núm. 1. UNED. Mérida, 1992. 
. Davara Rodríguez, Miguel Angel. DERECHO INFORMATICO. 
Editorial Aranzadi. Pamplona, 1993 . 
. EDP Auditors Foundation. CONTROL OBJECTIVES. Controls in an 
Information Systems Environment: Objectives, Guidelines, and Audit 
Procedures. Illinois (Estados Unidos). Abril1992. Edición de 1995 en preparación . 
. Peso Navarro, Emilio del. PREVENCION VS FRAUDE: LA AUDITO-
RIA INFORMATICA. Actas del III Congreso Iberoamericano de Informática y 
Derecho. Mérida 1992 . 
. Peso Navarro, Emilio del, y Ramos G. Miguel A. CONFIDENCIALI-
DAD Y SEGURIDAD DE LA INFORMACION: LA LORTAD Y SUS IMPLICA-
CIONES SOCIOECONOMICAS. Madrid, Septiembre 1994. Ed. Díaz de Santos . 
. Peso Navarro, Emilio del. LA AUDITORIA INFORMATICA COMO 
MEDIO DE PREVENCION FRENTE AL DELITO INFORMATICO. Revista de 
ALI (Asociación de Licenciados en Informática). Noviembre 1990 . 
. Ramos González, Miguel A. Tesis doctoral: CONTRIBUCION A LA 
MEJORA DE LAS TÉCNICAS DE AUDITORIA INFORMATICA MEDIANTE 
LA APLICACION DE MÉTODOS Y HERRAMIENTAS DE INGENIERIA DEL 
CONOCIMIENTO. Facultad de Informática de la U.P.M. Setiembre 1990 . 
. Ramos González, Miguel A. LA AUDITORIA DE LA SEGURIDAD 
INFORMATICA. Ponencias en SECURMATICA en 1991 y 1992 . 
. Ramos González, Miguel A. LA AUDITORIA DE LA SEGURIDAD 
INFORMATICA. Revista CHIP nº 122. Marzo 1992 . 
. Ramos González, Miguel A. AUDITORIA INFORMATICA E INGE-
NIERIA DEL CONOCIMIENTO. Revista de ALI (Asociación de Licenciados en 
Informática). Noviembre 1990 . 
. Ramos González, Miguel A. LA SEGURIDAD Y LA CONFIDENCIA-
LIDAD DE LA INFORMACION Y LA LORTAD. Revista Informática y Derecho, 
6-7. UNED Mérida, 1994 . 
. Ramos González, Miguel A. LA AUDITORIA INFORMATICA. 
Actualidad Informática Aranzadi, Enero 1995. 
Informática y Derecho 
991