AUDITORÍA DE SISTEMAS DE INFORMACIÓN: ALCANCE Y CONCEPTOS BÁSICOS

¿Que se debería esperar de una auditoría de Sistemas de Información?

Durante los primeros días de las computadoras, muchos dudaban de su habilidad de reemplazar a los seres humanos a la hora de realizar tareas complejas. Los primeros usos en relación a los negocios fueron en los campos de finanzas y contabilidad. Los números de estado de cuenta así como los recibos eran ingresados en la computadora, la cual realizaba cálculos y creaba reportes. Las computadoras fueron auditadas empleando técnicas de muestreo. Un auditor recogía los estados de cuenta y recibos originales, realizaba los cálculos usados para crear cada reporte de manera manual, y comparaba los resultados con los generados por la computadora. En los comienzos, era usual que los contadores encontraran errores de programación, y estos eran resultados de la auditoría informática.

Sin embargo, estos ejercicios eran a veces hallazgos transferidos o fraude. Las actividades fraudulentas provenían de digitadores que cambiaban a los beneficiarios o de programadores efectuando deliberadamente errores de redondeo con el fin de acumular balances de efectivo en cuentas de banco escondidas. Según los auditores iban reconociendo patrones repetidos de fraude, iban recomendando una variedad de características de seguridad diseñadas para automáticamente prevenir, detectar, o recuperar operaciones de robo de bienes.

Al mismo tiempo de que los computadores se volvieron más sofisticados, los auditores se dieron cuenta de que tenían menos y menos hallazgos relacionados con la exactitud de los cálculos y más en el lado de los accesos no autorizados. Por otra parte, los chequeos y balances ideados para mantener la exactitud de los cálculos fueron implementados como medidas de control de cambio de programas.

Estos dependían en la seguridad para hacer cumplir los controles sobre la separación de funciones entre programación, prueba, y el personal de implementación. Esto quería decir que incluso la efectividad de los cambios en programación dependía en cierta medida de los controles de seguridad de las computadoras. Actualmente, la auditoría de sistemas de información parece casi siempre lo mismo que la prueba de control de seguridad de la información.

ALCANCE DE UNA AUDITORÍA DE SISTEMAS DE INFORMACIÓNAun así, el alcance normal de las auditorías de sistemas de información aun somete a todo el ciclo de vida de la tecnología bajo escrutinio, incluyendo la exactitud de los cálculos de las computadoras. La palabra “alcance” viene precedida por “normal” debido a que el alcance de una auditoría depende de su objetivo. Las auditorías son siempre el resultado de cierta preocupación sobre el manejo de bienes.

La parte interesada puede ser un agente regulador, el dueño de un capital, o cualquier otro participante en la operación del ambiente de sistemas, incluyendo a los propios gerentes de sistemas. Esta parte tendrá un objetivo al comisionar la auditoría. El objetivo puede ser validar la exactitud de los sistemas de cálculo, confirmar que los sistemas están representando apropiadamente los capitales, evaluar la integridad operativa de un proceso automático, verificar que la información confidencial no está expuesta a individuos no autorizados, y/o múltiples combinaciones de estos y otros asuntos de importancia. El objetivo de una auditoría determinará su alcance.

A veces el reto para los auditores que representan intereses de gestión es ubicar el objetivo de la auditoría en la tecnología. Primero identifican actividad de negocio que tiene más probabilidades de obtener el mejor tipo de evidencia para apoyar el objetivo de la auditoría.

Ellos identifican qué sistemas aplicación y redes están siendo usadas para manejar la información que apoya la actividad del negocio. Por ejemplo, una auditoría puede enfocarse en un proceso especifico de tecnología de información, en tal caso su alcance incluirá a los sistemas empleados para crear entradas, para ejecutar, o para controlar dichos procesos de tecnologías de información. Una auditoría enfocada en un área específica del negocio incluirá los sistemas necesarios para apoyar al proceso de negocio. Una auditoría que se enfoca en la privacidad de información cubrirá a los controles de tecnología que refuerzan los controles de confidencialidad de cualquier base de datos, archivo de sistema, o servidor de aplicaciones que proveen acceso a datos de información personal.

Desde el punto de vista de un gerente de tecnologías de información, el alcance debe estar claro desde el inicio de la auditoría. Esta debe contar con un conjunto de personas, procesos, y tecnologías bien definidos que correspondan al objetivo de la auditoría.

Si un auditor previamente no entiende el entorno tecnológico, es posible que se produzcan errores en la definición del alcance. Cuando suceden esos errores, estos son generalmente encontrados durante el curso de la auditoría, y sistemas que antes fueron declarados fuera del alcance pueden ser declarados dentro del alcance. El profesional de auditorías llama a esto “corrupción del alcance”. Generalmente se trata de evitar, porque tiene como consecuencia que más recursos que los planeados sean necesarios para cumplir con el objetivo de la auditoría.

Una vez que el alcance ha sido determinado, se le provee al auditor un contacto para la revisión. En algunas organizaciones, el rol de este enlace es asignado formalmente. Este rol casi siempre es asumido por un profesional de seguridad de la información, pero no hay expectativas reales por parte de la auditoría de que efectivamente sea alguien de seguridad.

Por defecto, esta persona será la más calificada en la cadena de manejo de la tecnología de información cuyas responsabilidades cubran los sistemas que caen en el alcance de la auditoría. Este contacto tendrá que proveer información de antecedentes de los sistemas que el auditor pueda usar para planear la auditoría. Políticas, diagramas de la arquitectura, manuales de sistemas, y otros tipos de documentación serán requeridos con anticipación.

Por esto, es necesario que a la hora de planificar una auditoría que pueda acelerar o corroborar ciertos procesos dentro de los sistemas empleados en el negocio, se cuente con un agente confiable en el cual depositar las responsabilidades que involucran una auditoría. En este sentido, ACL cuenta con la experiencia necesaria en el manejo de asuntos técnicos y de gestión de procesos, así como con conocimiento actualizado en las tecnologías a emplearse que hace que los plazos y requerimientos en el proceso de diagnóstico de sistemas sean cumplidos de forma ordenada y asequible.