Aspectos Profesionales Auditorìa en Informàtica

9.1 Introduccion

El término de Auditoría se ha empleado incorrectamente con frecuencia ya que se ha considerado como una evaluación cuyo único fin es detectar errores y señalar fallas. A causa de esto, se ha tomado la frase "Tiene Auditoría" como sinónimo de que, en dicha entidad, antes de realizarse la auditoría, ya se habían detectado fallas.

El concepto de auditoría es mucho más que esto. Es un examen crítico que se realiza con el fin de evaluar la eficacia y eficiencia de una sección, un organismo, una entidad, etc.

De todo esto sacamos como deducción que la auditoría es un examen crítico pero no mecánico, que no implica la preexistencia de fallas en la entidad auditada y que persigue el fin de evaluar y mejorar la eficacia y eficiencia de una sección o de un organismo.

Los principales objetivos que constituyen a la auditoría Informática son el control de la función informática, el análisis de la eficiencia de los Sistemas Informáticos que comporta, la verificación del cumplimiento de la Normativa general de la empresa en este ámbito y la revisión de la eficaz gestión de los recursos materiales y humanos informáticos.

El auditor informático ha de velar por la correcta utilización de los amplios recursos que la empresa pone en juego para disponer de un eficiente y eficaz Sistema de Información. Claro está, que para la realización de una auditoría informática eficaz, se debe entender a la empresa en su más amplio sentido, ya que una Universidad, un Ministerio o un Hospital son tan empresas como una Sociedad Anónima o empresa Pública. Todos utilizan la informática para gestionar sus "negocios" de forma rápida y eficiente con el fin de obtener beneficios económicos y de costes.

9.2Tipos de auditoría

Por la relación de los auditores con respecto a la empresa:

Auditoria Interna. Es realizada con recursos materiales y personas que pertenecen a la empresa auditada. Los empleados que realizan esta tarea son remunerados económicamente.

Auditoria Externa. Es realizada por personas afines a la empresa auditada; es siempre remunerada.

La auditoria informática, tanto externa como interna, debe ser una actividad exenta de cualquier contenido o matiz "político" ajeno a la propia estrategia y politica general de la empresa.

Ventajas de la auditoria interna

La auditoria interna puede actuar periódicamente realizando Revisiones globales, como parte de su Plan Anual y de su actividad normal.

Los auditados conocen estos planes y se habitúan a las Auditorias, especialmente cuando las consecuencias de las Recomendaciones habidas benefician su trabajo.

Desventajas de la auditoria interna

Puede perderse la objetividad, debido al poco distanciamiento entre auditores y auditados.

9.3 Auditorías

Tipos y clases de Auditorías:

El departamento de Informática posee una actividad proyectada al exterior, al usuario, aunque el "exterior" siga siendo la misma empresa. He aquí, la Auditoría Informática de Usuario. Se hace esta distinción para contraponerla a la informática interna, en donde se hace la informática cotidiana y real. En consecuencia, existe una Auditoría Informática de Actividades Internas.

El control del funcionamiento del departamento de informática con el exterior, con el usuario se realiza por medio de la Dirección. Su figura es importante, en tanto en cuanto es capaz de interpretar las necesidades de la Compañía. Una informática eficiente y eficaz requiere el apoyo continuado de su Dirección frente al "exterior". Revisar estas interrelaciones constituye el objeto de la Auditoría Informática de Dirección. Estas tres auditorías, mas la auditoría de Seguridad, son las cuatro Áreas Generales de la Auditoría Informática más importantes.

Dentro de las áreas generales, se establecen las siguientes divisiones de Auditoría Informática: de Explotación, de Sistemas, de Comunicaciones y de Desarrollo de Proyectos. Estas son las Áreas Especificas de la Auditoría Informática más importantes.

PERITAJES EN INFORMATICA

8.1 Peritajes, dictamenes (consultoria)

El peritaje informático es una demanda creciente en la moderna Sociedad de la Información. Con más frecuencia los distintos procesos judiciales incorporan elementos informáticos, ya como elemento central ya como accesorio. En esos procesos judiciales, el elemento de prueba esencial, en relación con la Informática, es el dictamen pericial. La pericia, asimismo, podrá requerirse no sólo en caso de juicio o arbitrajes sino también en fases previas de disputa o en procesos de negociación, entre otros.

8.2 Contexto legal de peritajes

• Normalmente se solicita en juicios ordinarios

• No en juicios verbales, ni en recursos y apelaciones

• Puede ser solicitado por las partes o por el juez (insaculación)

• Se acude a los colegios y si no hay a asociaciones profesionales

• Presentan listas de peritos a los juzgados

• Se presenta con la demanda o con la contestación de la demanda

8.3 Tipos de peritajes

Su clasificación depende del entorno legal en que se mida. Existen de manera global, dos tipos de Peritos: Judiciales y Extrajudiciales.

8.4 Informática forense

Estamos hablando de la utilización de la informática forense con una finalidad preventiva, en primer término. Como medida preventiva sirve a las empresas para auditar, mediante la práctica de diversas pruebas técnicas, que los mecanismos de protección instalados y las condiciones de seguridad aplicadas a los sistemas de información son suficientes. Asimismo, permite detectar las vulnerabilidades de seguridad con el fin de corregirlas. Cuestión que pasa por redactar y elaborar las oportunas políticas sobre uso de los sistemas de información facilitados a los empleados para no atentar contra el derecho a la intimidad de esas personas.

Por otro lado, cuando la seguridad de la empresa ya ha sido vulnerada, la informática forense permite recoger rastros probatorios para averiguar, siguiendo las evidencias electrónicas, el origen del ataque (si es una vulneración externa de la seguridad) o las posibles alteraciones, manipulaciones, fugas o destrucciones de datos a nivel interno de la empresa para determinar las actividades realizadas desde uno o varios equipos concretos.

Cuestiones técnicas y legales de la informática forense

Para realizar un adecuado análisis de Informática forense se requiere un equipo multidisciplinar que incluya profesionales expertos en derecho de las TI y expertos técnicos en metodología forense. Esto es así porque se trata de garantizar el cumplimiento tanto de los requerimientos jurídicos como los requerimientos técnicos derivados de la metodología forense.