Trabajo semana 2 Curso 313609 del SENA-
Control interno en los sistemas informáticos
COBIT: definición, misión y estructura
La Auditoría por Objetivos de Control en los Sistemas de Información
Desde la década de 1960, el rápido desarrollo de
los sistemas automatizados ha creado la expectativa de una apropiada respuesta
de las áreas que se ocupan de gestionar la tecnología informática y sistemas de
información.
El rol de la Auditoría de Sistemas
Estos cambios tienen y
seguirán teniendo profundas repercusiones en sus estructuras de control. La automatización de
las funciones organizacionales está determinando la incorporación de mecanismos
de control más potentes en los sistemas de información, en los sistemas
operativos, las redes, y el hardware. Además, las características estructurales
de estos controles están evolucionando al mismo ritmo y de igual manera que
estas tecnologías.
En la actualidad se habla más de "Auditoría de
Sistemas de Información" que sólo de Auditoría Informática, por la
extensión de las áreas que llega a cubrir. Esta denominación abarca la
necesidad de controlar globalmente a los sistemas de información, es decir,
desde su planificación a su implementación; observando también su alineación
con las estrategias de la organización, ya que es cierto que en muchos casos,
tan necesario o más que la protección de la información, es que las inversiones
en los sistemas de información y la tecnología informática estén alineadas con
las estrategias de la alta dirección, escapando
al inadecuado enfoque de la tecnología por la tecnología.
Establecimiento de un marco de control
La alta dirección de cualquier organización
necesita poder comprender y contar con un conocimiento básico de los riesgos
que introduce la incorporación y utilización de la tecnología informática, para
así proveer una dirección eficaz y poner en práctica todos los mecanismos
necesarios para la puesta en marcha de los controles adecuados. Tiene que
decidir cuál es el grado de inversión razonable en seguridad y control, y cómo
alcanzar un balance razonable entre el nivel de riesgo y la inversión en los
controles.
COBIT (Objetivos de Control para la información y
Tecnologías relacionadas) es el marco, creado por ISACA, aceptado
internacionalmente como un conjunto de herramientas de soporte que permite
cubrir la brecha entre los requerimientos de control, los aspectos técnicos y
riesgos de negocio, haciendo posible el desarrollo de una política clara y las
buenas prácticas para los controles IT a través de las organizaciones.
Marco de
Referencia COBIT
Uno de los estándares que más se están utilizando
en el mundo es el denominado COBIT, el cual es un marco de referencia que se
fundamenta en los objetivos de control existentes de la Information Systems
Audit and Control Association (ISACA), y que ha sido mejorado a partir de
estándares internacionales técnicos, profesionales, regulatorios y específicos
para la industria.
El marco de referencia COBIT otorga especial
importancia al impacto sobre los recursos de tecnología informática, así como a
los requerimientos de negocios en cuanto a efectividad, eficiencia,
confidencialidad, integridad, disponibilidad, cumplimiento y confiabilidad que deben
ser satisfechos. Además, el marco de referencia proporciona definiciones para
los requerimientos de negocio que son derivados de objetivos de control
superiores en lo referente a calidad, seguridad y reportes fiduciarios en tanto
se relacionen con tecnología de información.
La orientación a negocios es el tema principal de
COBIT. Está diseñado no sólo para ser utilizado por usuarios y auditores, sino
que en forma más importante, está
diseñado para ser utilizado como una lista de verificación detallada para los
propietarios de los procesos de negocio.
El desarrollo del marco de referencia COBIT ha sido
limitado a objetivos de control de alto nivel, en forma de necesidades de negocio
dentro de un proceso de tecnología informática particular, cuyo logro es
posible a través del establecimiento de controles, para el cual deben
considerarse controles aplicables potenciales.
Características
Enfatiza en la
conformidad a regulaciones, ayuda a las organizaciones a incrementar el valor
alcanzado desde la IT, permite el alineamiento y simplifica la implementación
de la estructura. Se enfoca más hacia la auditoría del cumplimiento de los
procesos IT con los estándares de autoridades, el control sobre las funciones
IT, la medición y la gestión del riesgo.
Actúa como un
integrador de todos y cada uno de ellos, con los que se va actualizando y
armonizando constantemente; resumiendo los objetivos claves bajo un mismo
ambiente de trabajo integral, que también se vincula con los requerimientos de
gobierno y de negocios.
El modelo COBIT para auditoría y control de sistemas de
información.
La evaluación de los requerimientos del
negocio, los recursos y procesos IT, son puntos bastante importantes para el
buen funcionamiento de una compañía y para el aseguramiento de su supervivencia
en el mercado. El COBIT es precisamente un modelo para auditar la gestión y
control de los sistemas de información y tecnología, orientado a todos los
sectores de una organización, es decir, administradores IT, usuarios y por
supuesto, los auditores involucrados en el proceso. Las siglas COBIT significan
Objetivos de Control para Tecnología de Información y Tecnologías relacionadas
(Control Objectives for Information Systems and related Technology). El modelo
es el resultado de una investigación con expertos de varios países,
desarrollado por ISACA (Information Systems Audit and Control Association).
La estructura del
modelo COBIT propone un marco de acción donde se evalúan los criterios de
información, como por ejemplo la seguridad y calidad, se auditan los recursos
que comprenden la tecnología de información, como por ejemplo el recurso
humano, instalaciones, sistemas, entre otros, y finalmente se realiza una
evaluación sobre los procesos involucrados en la organización. El COBIT es un modelo de evaluación y
monitoreo que enfatiza en el control de negocios y la seguridad IT y que abarca
controles específicos de IT desde una perspectiva de negocios. “La adecuada implementación de un modelo
COBIT en una organización, provee una herramienta automatizada, para evaluar de
manera ágil y consistente el cumplimiento de los objetivos de control y
controles detallados, que aseguran que los procesos y recursos de información y
tecnología contribuyen al logro de los objetivos del negocio en un mercado cada
vez más exigente, complejo y diversificado”.
COBIT, lanzado en
1996, es una herramienta de gobierno de TI que ha cambiado la forma en que
trabajan los profesionales de tecnología. Vinculando
tecnología informática y prácticas de control, el modelo COBIT consolida y
armoniza estándares de fuentes globales prominentes en un recurso crítico para
la gerencia, los profesionales de control y los auditores. Está basado en la
filosofía de que los recursos TI necesitan ser administrados por un conjunto de
procesos naturalmente agrupados para proveer la información pertinente y
confiable que requiere una organización para lograr sus objetivos. El
conjunto de lineamientos y estándares internacionales conocidos como COBIT,
define un marco de referencia que clasifica los procesos de las unidades de
tecnología de información de las organizaciones en cuatro “dominios”
principales, a saber: - Planificación y organización - Adquisición e
implantación - Soporte y Servicios – Monitoreo. Estos dominios agrupan
objetivos de control de alto nivel, que cubren tanto los aspectos de
información, como de la tecnología que la respalda. Estos dominios y objetivos
de control facilitan que la generación y procesamiento de la información
cumplan con las características de efectividad, eficiencia, confidencialidad,
integridad, disponibilidad, cumplimiento y confiabilidad.
Adicionalmente, correspondiendo a cada uno de los
34 objetivos de control de alto nivel, existe una guía de auditoría o de
aseguramiento que permite la revisión de los procesos de tecnología
informática, sobre los 302 objetivos detallados de control recomendados por
COBIT para proporcionar la certeza de su cumplimiento y/o una recomendación
para su mejora.
Asimismo, se deben
tomar en cuenta los recursos que proporciona la tecnología de información,
tales como: datos, aplicaciones, plataformas tecnológicas, instalaciones y
recurso humano. “Cualquier tipo de
empresa puede adoptar una metodología COBIT, como parte de un proceso de
reingeniería en aras de reducir los índices de incertidumbre sobre
vulnerabilidades y riesgos de los recursos IT y consecuentemente, sobre la
posibilidad de evaluar el logro de los objetivos del negocio apalancado en
procesos tecnológicos”.
PLANIFICACIÓN Y
ORGANIZACIÓN
La dirección de la
organización debe implicarse en la definición de la estrategia a seguir en el
ámbito de los sistemas de información, de forma que sea posible proporcionar
los servicios que requieran las diferentes áreas de negocio; para ello, Cobit
presenta 10 procesos:
·
PO1 – Definición de un plan estratégico:
gestión del valor, alineación con las necesidades del negocio, planes
estratégicos y tácticos.
·
P02 – Definición de la arquitectura de
información: modelo de arquitectura, diccionario de datos, clasificación de
la información, gestión de la integridad.
·
P03 – Determinar las directrices tecnológicas:
análisis de tecnologías emergentes, monitorizar tendencias y regulaciones.
·
P04 – Definición de procesos IT, organización y
relaciones: análisis de los procesos, comités, estructura organizativa,
responsabilidades, propietarios de la información, supervisión, segregación de
funciones, políticas de contratación.
·
P05 – Gestión de la inversión en tecnología:
gestión financiera, priorización de proyectos, presupuestos, gestión de los
costes y beneficios.
·
P06 – Gestión de la comunicación: políticas y
procedimientos, concienciación de usuarios.
·
P07 – Gestión de los recursos humanos de las
tecnologías de la información: contratación, competencias del personal,
roles, planes de formación, evaluación del desempeño de los empleados.
·
P08 – Gestión de la calidad: mejora continua,
orientación al cliente, sistemas de medición y monitorización de la calidad,
estándares de desarrollo y adquisición.
·
P09 – Validación y gestión del riesgo de las
tecnologías de la información
·
P10 – Gestión de proyectos: planificación,
definición de alcance, asignación de recursos, etc.
ADQUISICIÓN E IMPLEMENTACIÓN
Con el objeto de
garantizar que las adquisiciones de aplicaciones comerciales, el desarrollo de
herramientas a medida y su posterior mantenimiento se encuentren alineados con las necesidades del negocio, el
estándar Cobit define los siguientes 7 procesos:
·
AI1 – Identificación de soluciones: análisis
funcional y técnico, análisis del riesgo, estudio de la viabilidad.
·
AI2 – Adquisición
y mantenimiento de aplicaciones: Diseño, controles sobre la seguridad,
desarrollo, configuración, verificación de la calidad, mantenimiento.
·
AI3 – Adquisición
y mantenimiento de la infraestructura tecnológica: Plan de
infraestructuras, controles de protección y disponibilidad, mantenimiento.
·
AI4 – Facilidad de uso: Formación a gerencia,
usuarios, operadores y personal de soporte.
·
AI5 – Obtención
de recursos tecnológicos: control y asignación de los recursos disponibles,
gestión de contratos con proveedores, procedimientos de selección de
proveedores.
·
AI6 – Gestión
de cambios: Procedimientos de solicitud/autorización de cambios,
verificación del impacto y priorización, cambios de emergencia, seguimiento de
los cambios, actualización de documentos.
·
AI7 – Instalación y acreditación de soluciones y
cambios: Formación, pruebas técnicas y de usuario, conversiones de datos,
test de aceptación por el cliente, traspaso a producción.
ENTREGA Y SOPORTE
La entrega y soporte
de servicios se encuentran constituidos por diversos procesos, orientados a
asegurar la eficacia y eficiencia de los sistemas de información; el estándar
Cobit ha definido 13 procesos diferentes:
·
DS1 – Definición y gestión de los niveles de
servicio: SLA con usuarios/clientes
·
DS2 – Gestión de servicios de terceros:
gestión de las relaciones con proveedores, valoración del riesgo
(non-disclousure agreements NDA), monitorización del servicio.
·
DS3 – Gestión del rendimiento y la capacidad:
planes de capacidad, monitorización del rendimiento, disponibilidad de
recursos.
·
DS4 – Asegurar
la continuidad del servicio: plan de continuidad, recursos críticos,
recuperación de servicios, copias de seguridad.
·
DS5 – Garantizar
la seguridad de los sistemas: gestión de identidades, gestión de usuarios,
monitorización y tests de seguridad, protecciones de seguridad, prevención y
corrección de software malicioso, seguridad de la red, intercambio de datos
sensibles.
·
DS6 – Identificar y asignar costes
·
DS7 – Formación
a usuarios: identificar necesidades, planes de formación.
·
DS8 – Gestión de incidentes y Help Desk:
registro y escalado de incidencias, análisis de tendencias.
·
DS9 – Gestión de configuraciones: definición
de configuraciones base, análisis de integridad de configuraciones.
·
DS10 – Gestión de problemas: identificación y
clasificación, seguimiento, integración con la gestión de incidentes y
configuraciones.
·
DS11 – Gestión de los datos: acuerdos para la
retención y almacenaje de los datos, copias de seguridad, pruebas de
recuperación.
·
DS12 – Gestión
del entorno físico: acceso físico, medidas de seguridad, medidas de protección
medioambientales.
·
DS13 – Gestión de las operaciones:
planificación de tareas, mantenimiento preventivo.
SUPERVISIÓN Y
EVALUACIÓN
El último dominio se
centra en la supervisión de los sistemas con tal de: Garantizar la alineación
con la estratégica del negocio. Verificar las desviaciones en base a los
acuerdos del nivel de servicio. Validar el cumplimiento regulatorio.
Esta supervisión
implica paralelamente la verificación de los controles por parte de auditores
(internos o externos), ofreciendo una visión objetiva de la situación y con
independencia del responsable del proceso; el estándar Cobit define los
siguientes 4 procesos:
·
ME1 – Monitorización y evaluación del rendimiento
·
ME2 – Monitorización
y evaluación del control interno
·
ME3 – Asegurar
el cumplimiento con requerimientos externos
·
ME4 – Buen gobierno
Quiénes han adoptado el COBIT
Advirtiendo la necesidad de contar con un adecuado marco de referencia
para el gobierno de los sistemas de información y las tecnologías relacionadas,
muchas organizaciones en el ámbito
nacional e internacional ya han adoptado el COBIT como una de las mejores
prácticas. Sin intención de ser
exhaustivo, sólo mencionaré las que desde hace tiempo lo vienen haciendo:
Gobierno de la Provincia de Mendoza; Superintendencia de Administradoras de
Fondos de Jubilaciones y Pensiones; Superintendencia de Entidades Financieras y
Cambiarias; la Reserva Federal de los Estados Unidos de América;
Daimler-Chrysler en Alemania y los EE.UU., entre otras.
Conclusión final
El impacto creciente de la tecnología en los procesos de negocio y el
advenimiento de las operatorias de las organizaciones por medio de Internet,
ocasionarán grandes cambios que modificarán radicalmente las pautas de los
controles que se deberán establecer en estas nuevas realidades. La
productividad y supervivencia futura de una organización dependerá cada vez en
mayor grado, del funcionamiento ininterrumpido de los sistemas de tecnología
informática, transformando a todo el entorno como un proceso crítico adicional.
Todas las empresas, incluidas aquellas que ignoran las nuevas tecnologías,
sentirán el impacto de estos nuevos escenarios de riesgo. Por ello la importancia de contar con marco de referencia metodológico
que agilice todo el proceso de la Auditoría de Sistemas de Información.
El estándar Cobit nos
ofrece una completa guía de alto nivel para la definición y evaluación de los
procesos de negocios relacionados con los Sistemas de Información. Por otra
parte, permite el uso de otros marcos de trabajo más específicos (p.ej. CMMI,
ITIL, etc.) sin perder la compatibilidad gracias a al carácter generalista de
Cobit.
Comentario personal
ISACA® comenzó en
1967, cuando un pequeño grupo de personas con trabajos similares—auditar
controles en los sistemas computacionales que se estaban haciendo cada vez más
críticos para las operaciones de sus respectivas organizaciones—se sentaron a
discutir la necesidad de tener una fuente centralizada de información y guías
en dicho campo. En 1969, el grupo se formalizó, incorporándose bajo el nombre
de EDP Auditors Association (Asociación de Auditores de Procesamiento
Electrónico de Datos). En 1976 la
asociación formó una fundación de educación para llevar a cabo proyectos de
investigación de gran escala para expandir los conocimientos y el valor en el
campo de gobierno y control de TI.
Se sabe que es un
proceso esencial para el cambio y el progreso, se sabe que muchas cosas están
mejorando con la participación multidisciplinaria de muchos equipos, yo les
digo cosmopolitas (o si no ¿cómo integrarse y aportar?), entonces podemos estar
seguros que la economía, la política, las relaciones sociales, la cultura,
incluso la religión saldrán beneficiadas, pudiéndose esperar un mejor vivir
para la humanidad, al menos la posibilidad mientras se resuelven las
inequidades y los enormes abismos que nos separan; pero podemos ser optimistas,
la historia ya no será la misma.
En pocas palabras: la
integración a la plena actividad humana de las TIC es irreversible, mejorando
todos los procesos, y esto es posible mediante el control interno y la
auditoría informática; COBIT es hoy la suite de objetivos de control que
permite esto.
No hay comentarios.:
Publicar un comentario