CLG 1

LA IMPORTANCIA DE LAS T.I.C.’s EN LA AUDITORÍA La Tecnología de la Información y de la Comunicación en la Auditoría, se ha convertido en un recurso imprescindible en el trabajo diario del controlador financiero y el Auditor y del complejo proceso de este procedimiento que requiere herramientas informáticas adecuadas para el desempeño de nuestra función como futuros Auditores. Para introducirnos en el tema principal debemos saber ¿Qué son las Tic?

TECNOLOGÍAS: Aplicación de los conocimientos científicos para facilitar la realización de las actividades humanas. Supone la creación de productos, instrumentos, lenguajes y métodos al servicio de las personas.

INFORMACIÓN: Datos que tienen significado para determinados colectivos. La información resulta fundamental para las personas, ya que a partir del proceso cognitivo de la información que obtenemos continuamente con nuestros sentidos vamos tomando las decisiones que dan lugar a todas nuestras acciones.

COMUNICACIÓN: Transmisión de mensajes entre personas. Como seres sociales, las personas además de recibir información de los demás, necesitamos comunicarnos para saber más de ellos, expresar nuestros pensamientos, sentimientos y deseos, coordinar los comportamientos de los grupos en convivencia, etc.

TECNOLOGÍAS DE LA INFORMACIÓN Y LA COMUNICACIÓN (TIC): Cuando unimos estas tres palabras hacemos referencia al conjunto de avances tecnológicos que nos proporcionan la informática, las telecomunicaciones y las tecnologías audiovisuales, que comprenden los desarrollos relacionados con los computadores, Internet, la telefonía, las aplicaciones multimedia y la realidad virtual. Estas tecnologías básicamente nos proporcionan información, herramientas para su proceso y canales de comunicación.

La aparición de la informática ha supuesto una revolución en la contabilidad. La creación de programas contables específicos en un entorno Windows, acercó las aplicaciones informáticas al usuario, haciendo que fueran más fáciles de utilizar y más versátiles. El siguiente paso fue la revolución de las comunicaciones, especialmente de Internet, así como la ampliación del abanico de posibilidades de la contabilidad a actividades tales como la banca electrónica y el envío de declaraciones fiscales por Internet que facilitaron el intercambio de datos con mayor facilidad, fiabilidad y rapidez. Hay que señalar además, que el nacimiento y posterior regulación de la Firma electrónica reconocida como medio de autentificar los mensajes enviados haciendo muy difícil su falsificación, incrementa en gran medida el interés de las nuevas tecnologías de la información y la comunicación (TIC).

CLG 2

Los profesionales TIC, Auditores informáticos, pasan por ser los recursos cualificados para contribuir a la construcción de la confianza en la Administración Electrónica, configurándose como los garantes de la prestación de servicios de calidad, y en la consecución de las políticas públicas relacionadas. La función de la Auditoría Informática en las organizaciones, comienza con la implantación de un proceso para supervisar el control de las tecnologías y de los procesos asociados, y la evolución hacia un enfoque proactivo participando en otras fases del ciclo del control. Las distintas áreas operativas de las organizaciones se sostienen y apoyan cada vez más en los servicios de las tecnologías de la información y las comunicaciones (TIC), que han acompañado la automatización y el crecimiento de todos los procesos productivos, y la prestación de nuevos servicios. Como consecuencia, son muchas las organizaciones en las que la información y la tecnología que la soporta representan los activos más valiosos, y a su vez, reconocen los beneficios potenciales que las nuevas tecnologías les pueden proporcionar. La productividad de cualquier organización depende del funcionamiento ininterrumpido de los sistemas TIC, transformando a todo el entorno como un proceso crítico adicional. Por tanto, se requiere contar con una efectiva administración de los riesgos asociados con las TIC, y que viene dada por:

- La necesidad de dar respuestas adecuadas a los problemas planteados por la creciente dependencia de la información y de los sistemas que la proporcionan.

- El incremento de la vulnerabilidad de los sistemas, por el amplio espectro de amenazas a

las que están expuestos.

- La importancia y magnitud de los costos y las inversiones TIC.

- La desconfianza que los procedimientos automatizados o los servicios electrónicos pudieran provocar en el colectivo usuario y en los ciudadanos en general.

- El potencial de las nuevas tecnologías de la información es tal que pueden llegar a

introducir importantes cambios en la organización, y en las prácticas de su actividad, para crear nuevas oportunidades y reducir costos.

CLG 3

Resulta de ello el rol básico que debe desempeñar la función de Auditoría Informática o Auditoría de los Sistemas de Información, en una organización: supervisión de los controles efectivamente implementados y determinación de la eficiencia de los mismos. Dada la especialización de los controles a supervisar, es indudable que en la Administración Pública el perfil de los profesionales TIC es el idóneo para asumir y realizar directamente esas funciones, ayudando a las organizaciones a fortalecer la confianza en los servicios prestados, en especial los enmarcados dentro de la Administración Electrónica. Los Auditores informáticos pueden recomendar cambios en los procesos de negocios para lograr los objetivos económicos o sociales de la organización. También es posible que las investigaciones revelen fraudes, desperdicios o abusos. Los Auditores informáticos modernos proceden de manera sistemática en sus estudios, planificando sus acciones y enfocándose en las áreas de mayor riesgo. Dada la dependencia creciente de las organizaciones en las TIC y el surgimiento de normativa para su buen gobierno, el Auditor informático también trabaja como consejero empresarial, asesorando en cuanto al establecimiento de políticas y estándares que aseguren la información y el control de las TIC. Es así que los profesionales TIC de la Administración tienen ante sí un reto en su carrera profesional: realizar tareas propias de la función de Auditoría, para contribuir a la mejora de la calidad de los servicios prestados a los ciudadanos.

CLG 4

SERVICIOS DE AUDITORÍA DE TECNOLOGÍAS DE LA INFORMACIÓN La Auditoría de las Tecnologías de la Información y las Comunicaciones está adquiriendo cada vez una mayor importancia debido a la necesidad de garantizar la seguridad, continuidad y disponibilidad de las infraestructuras informáticas sobre las que se sustentan los procesos de negocio de toda empresa u organismo, necesitando adicionalmente que todos estos procesos se realicen de forma eficiente. Por otro lado, los entornos legislativos actuales hacen referencia a la obligatoriedad de acreditar el cumplimiento de sus normas mediante Auditorías de Sistemas de Información y como parte inherente de la Auditoría Financiera, se está requiriendo cada vez más que los Sistemas de Información sean, a su vez, auditados.

DIRECCIÓN ESTRATÉGICA DE LAS TICS: AUDITANDO LOS SISTEMAS DE INFORMACIÓN

Un servicio muy útil a la hora de gestionar los Sistemas de Información (SI) de una empresa o sus Tecnologías de la Información y Comunicaciones (TIC) son las Auditorías. Una Auditoría es una radiografía de una parte de una empresa u organización. Las Auditorías pueden ser externas (Hechas por un consultor externo a la organización) o Internas (Hechas por gente de la misma organización). El objetivo de una Auditoría es descubrir las causas de problemas en el funcionamiento, la verificación de presuntas causas o simplemente mejorar su funcionamiento. Algunos ejemplos son:

Auditoría técnica de sistemas para conocer el estado actual del hardware de la empresa (Estado, Antigüedad, Si es el adecuado, etc.),

Auditoría de la explotación para conocer el estado actual de los elementos de una explotación (Licencias, Recursos de explotación, ),

Auditoría de las redes de la empresa y evaluar su adecuación, seguridad, etc. La información obtenida de la Auditoría debe servir a la dirección de la empresa para la toma de decisiones, como por ejemplo: Implementar un software u otro según sus necesidades, Conocer los puntos flacos de la infraestructura de la empresa, Realizar un plan de mejora de los SI de la empresa, Implementar medidas para reducir costos, etc.

CLG 5

El tipo de Auditoría puede variar (puede ser interna o externa, Auditoría de objetivos, etc.). No obstante, como común denominador, el ciclo de vida básico de una Auditoría es el siguiente:

1. Inicio de la Auditoría: Contrato y definición del alcance. La definición del alcance de la Auditoría es un punto crítico, hay que acotar exactamente el trabajo a hacer para obtener los resultados deseados.

2. Revisión de la documentación y preparación de las actividades: Aquí se define el plan

de Auditoría, se organiza la inspección y se preparan los documentos de trabajo (Formularios, Listas de verificación, etc.).

3. Desarrollo del plan de Auditoría

4. Preparación del informe de la Auditoría y presentación de resultados: Una vez finalizadas las acciones del plan de Auditoría se debe preparar el informe de Auditoría donde debe aparecer toda la documentación de la Auditoría y sus conclusiones. También debe realizarse la presentación de los resultados a la persona auditada y asegurarse que son comprendidos.

En resumen, la Auditoría es una herramienta poco conocida y muy valiosa a la hora de tomar decisiones en lo que a TIC/SI se refiere. Una Auditoría (externa o interna) nos brinda la información necesaria para tomar decisiones sobre una base sólida y con garantías de éxito.

CLG 6

PROBLEMAS EN LAS TICS LOS USUARIOS ACCEDEN A SERVICIOS EXTERNOS El rápido crecimiento de las tecnologías Web ha puesto herramientas potentes, gratuitas y fáciles de usar al alcance de todos, incluyendo los empleados que utilizan estos servicios para facilitar y simplificar las tareas corporativas. Como ejemplo, hay empleados que colaboran en la creación de un informe utilizando Google, se comunican con proveedores a través del Messenger o, incluso, utilizan herramientas de gestión SAAS (software por pago) en proyectos críticos. En la mayoría de los casos, estas herramientas se utilizan sin la supervisión del personal de TI. Sin embargo, este tipo de situación puede causar problemas para todos. Los empleados que descubren problemas de acceso a los servicios esenciales se pueden encontrar con que el personal de TI no dispone de la preparación adecuada para proporcionarles ayuda. Por otra parte, el personal de TI se enfrenta ahora a la posibilidad de una infección de malware que entre por estos puntos. Así, los responsables de Tecnología deben asegurar que los servicios externos forman parte de cualquier discusión sobre las aplicaciones necesitadas por los departamentos. Las encuestas pueden ayudar a la hora de darnos una pista sobre los servicios externos utilizados así como las herramientas que proporcionan información sobre las estadísticas de uso. LOS DATOS SENSIBLES DESENCRIPTADOS ESTÁN SIENDO TRANSMITIDOS Su negocio dispone de lo que usted considera una configuración de red estándar y segura. Un cortafuego protege todo el tráfico interno. Servidores Web y otros sistemas que requieren un acceso directo a Internet disponen de túneles encriptados a las fuentes de datos dentro de los cortafuegos. Más allá de esta configuración tradicional, muchas empresas podrían beneficiarse con otras opciones de encriptación. Por ejemplo, el hecho de que una red se encuentre dentro de los cortafuegos no significa que ésta esté protegida. Incluso aquellos empleados con un poco de destreza tecnológica tienen a su alcance herramientas que permiten escanear las redes para rastrear información sensible, desde datos empresariales a las nóminas del personal.

CLG 7

Los administradores de redes deben pensar como hackers y utilizar las mismas herramientas de rastreo que estos para identificar todos los datos, moviéndose por la red. Si pueden ver esta información, cualquier otro usuario también la puede ver. Una vez identificados estos datos descubiertos, las conexiones se pueden robustecer con seguridad.

LAS APLICACIONES WEB ESTÁN REPLETAS DE FALLOS DE SEGURIDAD Aunque son ya muchas las compañías que se han puesto “serias” en cuando a la implementación de parches y actualizaciones de las aplicaciones, esta práctica no cubre el perfil entero de la seguridad de aplicaciones. La razón radica en que existen aplicaciones corporativas que se suelen descartar o ignorar en las políticas de actualizaciones y, frecuentemente, éstas contienen información sensible.

LOS PROBLEMAS EN LAS EMPRESAS

La topología actual de aplicaciones empresariales es mixta y está compuesta tanto por programas internos como externos. Muchos de estos programas no son más que pequeños scripts. Y estos son precisamente los que más riesgo conllevan porque son sencillos y fáciles de descifrar. Las compañías deben tener a mano un listado de todas las aplicaciones Web y scripts que residen en la red. Asegúrese de que dispone de las últimas versiones de las aplicaciones y componentes que hay detrás de los wikis y blogs, por ejemplo. En el caso de aplicaciones customizadas, mantenga un fichero de los scripts que éstas puedan incorporar. Esto significa la monitorización periódica de servicios de seguridad como CERT y las páginas Web o comunidades que ofrecen estos servicios. Asegurar la integridad de las aplicaciones que son un punto de entrada a la red corporativa es una inversión sin precio.

CLG 8

DATOS NO AUDITABLES Una buena Auditoría de los datos almacenados en su organización es un deber común en las industrias reguladas, pero es una tarea pendiente para muchas de las nuevas empresas. Las industrias reguladas, como son Banca, Seguros y Sanidad, están acostumbradas al proceso de Auditorías periódicas y disponen de un banco de conocimientos sobre la ubicación de los datos. Sin embargo, las industrias emergentes no son tan detallistas. Esta discrepancia en el ciclo de datos requiere una estrategia doble que asegure tanto el cumplimiento de las normas como la seguridad de la información. La seguridad afecta tanto a la protección de la información como a la aplicación de parches para asegurar que las aplicaciones funcionan como deben. Una buena manera de evitar problemas de cumplimiento de normas es la implementación estricta de políticas que monitorizan cada modificación de los servidores y los dispositivos de red.

ESCASOS RECURSOS DE ALMACENAMIENTO Las facturas de los sistemas de almacenamiento que ha adquirido para su empresa frente a la utilización actual, sugieren que su organización dispone de mucha capacidad. Sin embargo, un sistema de ficheros ineficiente puede poner en riesgo la capacidad de un recurso esencial. Los administradores deben evaluar los requerimientos de capacidad y rendimiento de las aplicaciones junto con los recursos disponibles de almacenamiento. Las organizaciones pueden maximizar la utilización de capacidad y mantener un nivel de rendimiento aceptable. SU IP PODRÍA SER DEFICIENTE Más que nunca, las organizaciones dependen de sus redes IP para todo tipo de tareas. En muchas compañías, puntos de acceso inalámbricos, teléfonos VOIP y cámaras de seguridad ofrecen nuevas opciones de disminuir el número de líneas físicas y cables de suministro de energía. UNA FALTA DE BUSINESS INTELLIGENCE La BI no es una tecnología nueva. Las grandes empresas, especialmente las del sector financiero y de sanidad, han utilizado herramientas de BI durante muchos años. Las medianas y pequeñas empresas que no implementan estas tecnologías se enfrentan a

CLG 9

problemas de competitividad. Lejos de ser tecnologías sólo aptas para empresas grandes, las herramientas de análisis han evolucionado de tal manera que son asequibles incluso para organizaciones más modestas. No cabe duda que estas herramientas pueden marcar una diferencia importante en los servicios y productos de una compañía que llegan al mercado, incrementando la rentabilidad de transacciones comerciales. Pero para poder aprovechar estas herramientas hay que comprometerse a unificar la tecnología y los procesos de negocio en una organización. Esto significa una infraestructura óptimamente configurada con herramientas que recogen la información pertinente de una transacción. LOS CONSULTORES HAN DE VIGILARSE Las promesas de costos reducidos y plazos cortos pueden abrir las puertas a una serie de errores que no benefician a nadie. Los consultores suelen tomar atajos poco correctos para cumplir los plazos de cumplimiento. Quizás envían datos sensibles inalámbricamente sin las protecciones adecuadas. Quizás utilizan software no licenciado para monitorizar o gestionar algún componente del despliegue. O quizás abren un agujero en sus cortafuegos para obtener un acceso directo y después se olvidan en cerrarlo. Las compañías deben especificar claramente las normas de conducta y establecer un sistema de evaluación medible. En el contrato, las compañías deben decretar el comportamiento mínimo aceptable con respecto a las licencias, la seguridad, documentación y gestión de cambios. Finalmente, ha de haber una evaluación a posteriori para comprobar el cumplimiento de objetivos y asegurar que la infraestructura no haya sufrido ningún daño colateral.

CLG 10

El incremento masivo en el uso de medios informáticos, ya sea de computadores en los puestos de trabajo como en las aplicaciones de tecnología cada vez más sofisticada, y en la prestación de servicios a los ciudadanos mediante la Administración Electrónica, han llevado a la necesidad de adaptar las técnicas de Auditoría tradicionales para poder hacer frente a esos cambios. Una vez planteadas y reconocidas las nuevas exigencias de control, surge la necesidad de contar con un marco metodológico para organizar las actividades de Auditoría, y así definir las pautas y los controles a considerar en las futuras actuaciones de Auditoría. Esto se sustenta en el hecho que el uso de una metodología contrastada contribuye a:

- Salvar las brechas existentes entre riesgos del proceso de gestión, necesidades de control y aspectos técnicos. Esto es debido a que los riesgos de un proceso de gestión no son los mismos que los riesgos a que se expone el sistema de información que le da apoyo. La Auditoría Informática debe intentar asegurar que ambos están controlados, o sea, ajustados a las necesidades de control, o a lo que se asuma controlar, y a los medios y recursos técnicos disponibles.

- Determinar el alcance de la tarea de Auditoría e identificar los controles mínimos, que

debe estar dirigida no sólo a Auditores informáticos, sino también a los gestores y a los usuarios.

- Observar e incorporar los estándares y regulaciones nacionales o internacionales.

Al contar con una metodología se podrán tener predefinidos los procedimientos de actuación, que aunque sólo lleguen a definir el qué y el cómo hacer las actuaciones, permitirán generar resultados homogéneos por los distintos miembros del equipo Auditor. Asimismo, el marco metodológico adoptado tendrá que definir las pautas y los controles a realizar con relación a los sistemas de información, tecnologías de hardware, seguridad, planificación, desarrollo de sistemas, etc.