DC y Auditoría de Sistemas (por Manolo Palao)

Gobernanza de TI les acerca esta nueva prueba de la fecundidad literaria de Manolo Palao, en la que -en el habitual formato de sus «Texticulillos™«- el autor vuelve a hacer gala de una aguda ironía al exponer sus reflexiones sobre ciertos aspectos del Control Interno; específicamente, sobre determinados mecanismos de control dirigidos, de forma inequívoca, a salvaguardar -de su corrupción, o uso indebido- la información y sus sistemas y tecnologías asociados.

Concluirá recordando cómo un uso descuidado -negligente- de tales artilugios de control será garantía, más que suficiente, de su fulminante pérdida de eficacia.

Texticulillo™ nº 11: DC y Auditoría de Sistemas (1)(2)

DC, para cualquier globalizado o globalizable -o sea, la mayoría-, es el apellido de Washington. No George Washington, sino Washington, DC.

DC, District of Columbia, es el único distrito federal de los EEUU. Aprobado por el Artículo 1 de su Constitución de 1787, éste autorizaba a constituir un reducido espacio federal para la capitalidad del estado. El 1 de diciembre de 1800 la capital se movió de Filadelfia, a su actual y maravilloso enclave, a orillas del Potomac.

Sin perjuicio de todo lo que «DC» ha dicho, y haya de decir, acerca de la ASITIC (3), lo que hasta ahora, histórica y prácticamente, importa es lo que viene diciendo ISACA (4) -internacionalmente, la más reputada entidad normalizadora en este campo- desde su sede en Rolling Meadows, Illinois.

Pero el motivo de estas líneas es otro DC -u otros , como se verá-.

Entre nosotros, DC significa, más generalmente, «dígito de control».

Los «caracteres de control» -uno o varios; dígitos o no- se suelen añadir, en posición predeterminada, a números o textos, que aquí llamaremos «códigos», para comprobar que no ha habido error en su transcripción, transmisión o tratamiento. Suelen ser breves y fijos, en número de caracteres (5). Se computan con un algoritmo barato, pues su cálculo va a ser frecuente. Una vez que se tiene un código ampliado con sus caracteres de control, para validar el código se vuelven a calcular los caracteres de control que le corresponden y se comparan con los que llevaba el código ampliado. Si hay coincidencia, se entiende que el código no ha sido alterado. El algoritmo empleado debe satisfacer diversas características para impedir, o dificultar, que un código que sí ha sido alterado arroje los mismos caracteres de control que el original. Hay diversos algoritmos muy adecuados, entre ellos los que se usan para la «firma digital».

Los ASITIC creemos que los DC son una técnica excelente y recomendable para validar datos de entrada en un sistema de información. Esto es particularmente importante cuando esos datos, como el DNI (6), pretenden ser datos clave -identificadores únicos- en una base de datos.

La redundancia -los dígitos añadidos- supone un coste extra en transcripción, tratamiento, transmisión y almacenamiento; pero está justificada por las ventajas que aporta.

Un número dígito es, en la numeración decimal, cualquiera de los caracteres comprendidos desde el ‘0’ al ‘9’, como confirma el Diccionario de la RAE. Ello prueba el encomiable trabajo de revisión de los académicos. La edición del Diccionario que yo tengo en mi estantería es del siglo pasado -¡1970!- y dice que número dígito es “el que puede expresarse con un solo guarismo; en la numeración decimal lo son los comprendidos desde el uno al nueve, ambos inclusive”, escamoteando así, no sólo un 10% de los dígitos, sino el esencial para una aritmética posicional.

[Aprovecho para prevenir al lector, que estuviera tentado, de que se limite a entrar en el diccionario por «número«, porque si se le ocurriese hacerlo por «dígito» se encontraría con la académica definición: “Cada una de las doce partes iguales en que se divide el diámetro aparente del Sol y el de la Luna en los cómputos de los eclipses.” …

… No es seguro, pero sí muy probable, que defender en público semejante definición de «dígito» pudiera acarrear a tal defensor tener que cambiar su modelo preferido de camisa por una con correas y las mangas atadas.]

Todo el que tenga y use una cuenta corriente bancaria, y ordene o reciba transferencias de otras, sabe probablemente que los dígitos -de izquierda a derecha- 9º y 10º del «número de cuenta» -o, más modernamente, los 13º y 14º del IBAN, el identificador internacional bancario- son los dos DCs (aunque se les llama «el DC»).

Quienquiera que dé los datos de su DNI/CIF (7), probablemente sabe que el último/primer carácter -de nuevo, de izquierda a derecha, como buenos cristianos- es el de control: una letra.

Lástima que, en el caso del DNI, esa fácil identificación única la haya desvirtuado la propia Administración al reasignar números de DNI a otras personas.

¿Es que no sabemos, o que no queremos? Porque los tratamientos son distintos.

Artículos relacionados

(2) Publicado inicialmente en el invierno de 2002 a 2003 por la Asociación de Auditores y Auditoría y Control de los Sistemas y Tecnologías de la Información y las Comunicaciones (ASIA) -hoy, Capítulo 183 de ISACA-.

(3) Auditoría de Sistemas de Información y Tecnologías de la Información y las Comunicaciones.

(4) Antigua Asociación para el Control y la Auditoría de los Sistemas de Información (del inglés, Information Systems Audit and Control Association) con una audiencia objetivo que se extiende, en la actualidad, a todo profesional con intereses en torno a las Tecnologías de la Información.

(5) Constituyen un hash (literalmente, triturado/picado, como la carne picada). En Informática, código resumen, resultado de la aplicación de una función homónima sobre un dato -«código» en palabras del autor- (documento, registro, archivo, …) original.

(6) En España, Documento Nacional de Identidad de las personas físicas, en referencia a su código de identificación -el número de DNI- que acaba con un carácter alfabético (una letra).

(7) En España, Código de Identificación Fiscal de las personas jurídicas, en referencia a su código de identificación -el número de CIF- que comienza con un carácter alfabético (una letra).

Gobernanza de TI