|
|||||||
|
|
|
|||||
|
|
|||||||
[HOME] [CURSOS] [UTILNET] [CURSOS PROPIOS]
CAPITULO DOS :
ALCANCE DE LA AUDITORIA INFORMATICA:
El alcance define con precisión el entorno y los límites en que va a desarrollarse la auditoría informática. Complementa los objetivos que se tendrán que alcanzar.
Por ejemplo podríamos preguntar. ¿Se verificarán la totalidad de los documentos grabados, o solamente una muestra?, y en caso de solicitar una muestra, como se define ésta.
El alcance de la auditoría, como veremos, figurará expresamente en el Informe Final. Determinar no solamente hasta que puntos se ha llegado, sino que zonas limítrofes han sido omitidas. Es decir la excepción de alcance indica que deja de auditarse, y esto se expresará solamente cuando pudiera deducirse la no omisión.
CARACTERISTICAS DE LA AUDITORIA INFORMATICA.
La información necesaria en una Empresa ya sea de ella o para ella, siempre importante, se ha convertido en un activo real de ésta, como sus materias primas.
Como resultante de esta importancia, han de realizarse inversiones informáticas, materia de la que se ocupa la Auditoría de Inversión Informática.
Los Sistemas Informáticos han de protegerse de modo global y particular. a ello se debe la existencia de la Auditoría de Seguridad Informática en general, o la Auditoría de la Seguridad de alguna de sus áreas, como pudieran ser Desarrollo o Técnica de Sistemas.
Cuando se producen cambios estructurales en el Sector Sistemas, se reorganiza su función: se está en el campo de la Auditoría de Organización Informática.
Cuando se realiza una Auditoría Informática del Area de Desarrollo de Proyectos de Sistemas en una empresa, es porque en ese desarrollo existen, además de ineficiencias, debilidades de organización, o de inversiones, o de seguridad, o alguna mixtura de ellas.
El Centro de proceso de datos, Centro de cómputos o Centro de Información de una empresa debe normalizarse con sumo cuidado, pues en caso contrario puede ser fuente de debilidades que se expandirán con facilidad a otras áreas informáticas y no informáticas. Sucede con frecuencia que el usuario final no utiliza de hecho tales herramientas del Centro de cómputos por razones diversas ( falta de información, dificultades de instalación, desinformación sobre los datos disponibles, etc.). Solicita entonces a su organización informática la información que necesita, muchas veces selectiva, esporádica y variada. Para satisfacer las peticiones recibidas de sus usuarios, las propias organizaciones informáticas se convierten en usuarios del Centro de información, realizando algunas acciones que en realidad son de Desarrollo o Mantenimiento de Aplicaciones. O sea que los principales problemas que se suscitan en general son: La invasión de entornos, las explotaciones paralelas, la redundancia e inconsistencia de datos y/o el desaprovechamiento de recursos.
La multiplicidad de usuarios es un fenómeno natural, si se considera que son éstos los que realmente gestionan el negocio de la empresa, y no la Informática. Los constructores de Hardware y de productos de Software inciden en este entorno de usuarios, facilitando su utilización.
El presente muestra la tendencia a que las Aplicaciones se desarrollen bajo los auspicios del usuario que ha de "padecerlos" o "disfrutarlos".
Tras algunas pruebas de desagregación desafortunadas, las organizaciones muestran tendencias a mantener centralizadas los Ordenadores y Periféricos de alta carga de info, y la Administración de los datos.
En efecto, la proliferación de Centros de procesos de datos dedicados a explotaciones determinadas genera costos casi siempre fuera de presupuesto y debilidades de coordinación de fácil detección.
La descentralización de los datos no ha pasado de ser una teoría impracticable. La redundancia e inconsistencia de datos no son un lujo, sino que puede comprometer el propio Sistema de Información de la Empresa.
SINTOMAS DE NECESIDAD DE LA AUDITORIA INFORMATICA
Síntomas de descoordinación y desorganización
-No coinciden los objetivos de la Informática de la Organización y de la propia Organización.
En estos casos, las responsabilidades suelen centrarse en los estamentos directivos de la Informática. Los objetivos informáticos tendrán que estar subordinados a los generales de la empresa.
-Los estándares de productividad se desvían sensiblemente de la media conseguida en forma habitual.
Si no han existido cambios masivos del plantel de la empresa, las causas pueden hallarse en la reestructuración equivocada de algún área o en la modificación de alguna Normativa muy importante.
Síntomas de imagen mala y usuarios insatisfechos
-No se atienden los pedidos de modificaciones de los usuarios.
La referencia a cambios de software en las terminales de usuario, refrescamiento de paneles, modificación de los archivos que deben ponerse a diario a su disposición, etc.
-No se hacen las reparaciones de Hardware ni se resuelven incidencias en plazos razonables.
Incluso en casos de poca incidencia general, el usuario cree que está fuera de atención permanente.
-No se cumplen en todos los casos los tiempos de entrega de resultados en períodos de tiempo acordados.
Pequeñas fluctuaciones pueden causar importantes desviaciones en la actividad del usuario, especialmente en los resultados de Aplicaciones críticas y sensibles.
Síntomas de debilidades económico-financieras
-Aumento desmesurado de costos.
Analizar dónde se han producido, o si es un incremento general.
-Necesidad de justificar Inversiones en el Area informática.
La empresa no está absolutamente convencida de tal necesidad y decide evaluar otras opiniones.
-Desviaciones Presupuestarias de Significación.
En ocasiones se interviene más por aspectos de desviaciones en particular de aspectos muy críticos, ( cualitativos), que cuantitativos.
-Costos y tiempos que insumirán nuevos Proyectos.
En estos casos debe auditarse simultáneamente a Desarrollo de Proyectos y al órgano que realizó el pedido.
Evaluación del Nivel de Riesgo: Síntomas de inseguridad
-Seguridad Lógica.
-Seguridad Física.
-Confidencialidad.
Los datos son propiedad, al principio, de la organización que los genera. Los datos del personal son especialmente confidenciales.
-Continuidad del Servicio.
Es un concepto sumamente importante aún más que la Seguridad. Establece las estrategias de continuidad ante fallas mediante Planes de Contingencia Totales y Locales.
En estos casos, existen soluciones de asociación con empresas, para la situación antedicha, averías, catástrofes, sabotajes, etc. Es indispensable la compatibilidad de los elementos de Software y Hardware.
-Centro de Cómputos fuera de Control.
Si tal situación llegara a percibirse, sería prácticamente inútil la auditoría. Esa es la razón por la cual, en este caso, el síntoma debe ser reemplazado por el menor indicio.
Por los mismos motivos, la Operatividad de los Sistemas y la Continuidad del Servicio son verdaderos objetivos comunes a cualquier auditoría informática, tal y como se trató en el Capítulo anterior.
Cualquier sugerencia, crítica, opinión o información que necesiten
y puede contribuir a enriquecer la página será bien recibida en:
Copyright © 1998 por Eduardo D. Ragusa
All Rights Reserved ®