|
|
LA FUNCIÓN DE LA AUDITORÍA DE SISTEMAS EN LOS SISTEMAS DE INFORMACION Y LA TEORIA GENERAL DE RIESGOS
La función de auditoría como mecanismo de seguridad
En estos últimos tiempos se viene hablando de la necesidad de mejorar los mecanismos de control sobre diferentes actividades, en general, de gestión económica dentro de las grandes compañías y empresas, para generar confianza y evitar el fraude. Las organizaciones han incorporado a su funcionamiento las ventajas de las tecnologías de la información, modificando sus procesos de negocio para mejorar el rendimiento y la productividad. Sin embargo, en el diseño de estos sistemas de información, desde el comienzo, ha primado el rápido funcionamiento y la puesta en marcha de los servicios sin parar mucho a pensar en la fase de diseño, en mecanismos de control y auditoría sobre los procesos. Llega actualmente el momento en el que esas desconsideraciones sobre la importancia de garantizar la fiabilidad de los procesos que han sido automatizados están poniendo de manifiesto una gran preocupación por la gestión y control de las tecnologías de la información, ya que han dado lugar a la aparición de nuevos riesgos no identificados debido principalmente a la complejidad de la infraestructura, la alta dependencia de la organización sobre los sistemas de información y los abusos de privilegios por parte de usuarios legítimos.
Fruto de esta preocupación puede entenderse el interés y la demanda que actualmente tienen las normas, recomendaciones y estándares considerados buenas prácticas de gestión de la tecnología, como pueden ser la norma ISO 27001, que especifica los requisitos para la construcción de Sistemas de Gestión de la Seguridad de la Información (SGSI) y la norma ISO 20000, que establece los requisitos para la construcción de Sistemas de Gestión de Servicios de Tecnologías de la Información (SGTI).
En términos técnicos, una auditoría viene definida por el establecimiento de cuatro aspectos relacionados con la actividad auditora:
Objetivo.
Evidencias.
Independencia.
Conclusiones.
Estos cuatro conceptos establecen los pilares de una posible definición de auditoría que sería “el proceso sistemático, independiente y documentado para obtener evidencias y evaluarlas de manera objetiva con el fin de determinar la extensión en que se cumplen los criterios de auditoría.”
La Auditoría de Sistemas de Información tiene como misión ser un mecanismo de control interno para evaluar la CONFIANZA que se puede depositar en los sistemas de información basada en evidencias.
La auditoría de sistemas de seguridad es una medida de seguridad que debe ser considerada por su importancia, dado que permite detectar deficiencias antes de que éstas puedan ser utilizadas o puede servir para averiguar si se han producido o no irregularidades en el uso de los sistemas de información. Es un mecanismo que evita los abusos de poder.
Al igual que es un tópico de seguridad el tema del conocido post-it con la contraseña al lado del equipo al que permite el acceso, los logs que no son nunca consultados son otro que suele repetirse cuando se revisan sistemas de información. Estas trazas auditables informan de situaciones anómalas en el momento en que se producen y proporcionan pruebas electrónicas que puedan ser utilizables en caso de finalmente llevar al campo jurídico la denuncia correspondiente. Sin embargo, la práctica habitual es la de no mirar los logs y además, no conservarlos con garantías jurídicas suficientes para que puedan ser utilizados como evidencia en juicio. Es otro tópico más en el que se demuestra que la "sensación de protección" no se corresponde para nada con la seguridad efectiva que realmente se tiene ni con el objetivo que justifica el esfuerzo económico que se hace para disponer de espacio para su almacenamiento. Los logs cuestan dinero pero si no cumplen con el objetivo por el que se recogen y almacenan, mejor no hacer nada.
Respecto a la normalización de la prueba electrónica, habrá que estar atentos a los trabajos de la Asociación Española de Evidencias Electrónicas (AEDEL) que nace con el objetivo de ser referente técnico y jurídico en aquello que las evidencias y pruebas electrónicas afecten a los ciudadanos, queriendo hacer posible con su actividad que la sociedad española – ciudadanos, padres, jóvenes, entidades públicas y privadas, sin distinción de tamaño o sector- puedan disfrutar de un marco de seguridad y confianza en los entornos digitales y en Internet.
TEORIA DE LOS RIESGOS
La teoría de los riesgos plantea, en el Derecho civil, la pregunta sobre la suerte de las obligaciones de las partes cuando la cosa que es objeto del contrato se pierde a consecuencia de un caso fortuito.
Esta teoría supone entonces que nos encontramos ante un contrato bilateral, y que al menos una de las obligaciones de las partes consista en dar (enajenar en sentido amplio) una cosa determinada (especie o cuerpo cierto).
De acuerdo con el Código Civil Francés el riesgo es del acreedor. Ello resulta lógico pues en el derecho francés el perfeccionamiento de un contrato genera "efectos reales", es decir, por el sólo contrato nacen o se constituyen no sólo derechos personales, sino que también derechos reales, como la propiedad.
sí, en el Derecho francés, el contrato de compraventa no sólo hace titular al comprador de un derecho para exigir que se le entregue la cosa, sino que lo hace dueño. Por lo tanto, el riesgo es siempre del dueño (res perit domino) que es al mismo tiempo acreedor (res perit creditore)
En los ordenamientos donde el contrato no tiene eficacia real, es decir, no genera derechos reales, sino exclusivamente derechos personales, para transferir el dominio (u otro derecho real) se requerirá de un modo de adquirir. El modo más típico será la tradición, o entrega hecha con la intención de transferir el dominio.
Si los contratos no tienen "eficacia real", debemos responder sobre la suerte de las obligaciones cuando el objeto del contrato se pierde por un caso fortuito. Por una parte, la destrucción fortuita de la cosa siempre extingue la obligación que tenía por objeto esa cosa. Por otra parte, respecto de la obligación de la otra parte, caben dos posibilidades:
