Universidad Catlica San Antonio de Murcia - Tlf: (+34) 968 27 88 00 info@ucam.edu - www.ucam.edu Javier Cao Avellaneda: jcao@pdi.ucam.edu y auditoriayperitaje@gmail.com
Grado en Ingeniera en Informtica T!"# %& '()*+,-.'/0 1 /*(.+*2 '(.3+(* ndice del tema. Introduccin. Gobierno TI Necesidades de control interno. Esquemas de gestin y control interno. La funcin de auditora de sistemas de informacin. Auditora y Peritaje: Tema 1. 2 La revolucin de la informacin Las tecnologas de la informacin se han adentrado en el da a da de las actividades de toda organizacin. Procesadores de texto vs mquinas de escribir. Correo electrnico vs fax Archivos electrnicos vs expedientes papel. Servicios Web vs consultas telefnicas o por fax La informacin se almacena y gestiona en soportes digitales Auditora y Peritaje: Tema 1. 3 La revolucin de la informacin Estamos inmersos en plena revolucin de la informacin. La sociedad industrial se transforma hacia la sociedad de la informacin. Caractersticas: Alta velocidad de transmisin de informacin (autopistas de la informacin). Sociedad globalizada e interconectada (Internet). Servicios telemticos que no requieren presencia fsica (e-commerce, e- banking, e-Administracin, e-Learning). Auditora y Peritaje: Tema 1. 4 La revolucin de la informacin Los negocios ahora venden informacin en vez de productos tangibles. Ejemplos: Buscadores como Google, MSN Live, Yahoo. Portales como Terra, Hotmail. Tiendas online como Amazon, Ebay Estos negocios son muy sensibles a los problemas con la informacin e influyen en los resultados de otros. Auditora y Peritaje: Tema 1. 5 La revolucin de la informacin Caso United Airlines el da 8 de septiembre de 2008. Auditora y Peritaje: Tema 1. 6 La revolucin de la informacin Los sistemas informticos que daban apoyo a las tareas ms bsicas (ofimtica y contabilidad) ahora se han transformado en los sistemas de informacin de la empresa. Esta evolucin ha generado grandes beneficios pero ha incorporado nuevos riesgos: Alta dependencia de las TIC. Efectos cascada de un fallo, con consecuencias cada vez mayores. El valor de una Organizacin es su informacin y conocimiento ms que los servicios o productos que proporciona. Auditora y Peritaje: Tema 1. 7 Soporte papel vs electrnico El soporte papel es tangible: Su creacin ocupa un espacio material. Su traslado implica el transporte fsico y el tiempo de entrega est condicionado por la distancia fsica. Su destruccin supone una eliminacin del soporte tangible. Su tratamiento deja evidencias fsicas. El tratamiento de soportes tangibles se encuentra limitado por las restricciones de espacio y tiempo. Auditora y Peritaje: Tema 1. 8 Soporte papel vs electrnico La informacin en formato electrnico es intangible pero se almacena en soportes tangibles. No est tan limitada por las restricciones fsicas. Un documento electrnico tiene propiedades lgicas Fecha de creacin, de modificacin, autor, tamao, etc. A priori, no existe original y copia si no se aaden pruebas adicionales. La velocidad de transmisin es mucho mayor. Se ha multiplicado la capacidad de tratamiento de informacin. Auditora y Peritaje: Tema 1. 9 Perdida del control interno sobre la informacin La capacidad de almacenamiento se ha multiplicado exponencialmente = . Auditora y Peritaje: Tema 1. 10 Ln1C8nCS CL88AuCS (enLornos de los 80 y prlnclplos de 90) Crandes malnframes. 1er mlnales de acceso. ublcaclones nslcas locallzadas. Ln1C8nCS A8lL81CS (enLornos de nales de los 90 y slglo xxl) Conecuvldad global y movllldad de usuarlo CllenLes C. ublcaclones nslcas no conLroladas. Prdida del control interno sobre la informacin Auditora y Peritaje: Tema 1. 11 Contexto del Gobierno TI Para muchas empresas, la informacin y la tecnologa que las soportan representan sus ms valiosos activos, aunque con frecuencia son poco entendidos. Las organizaciones entienden que deben empezar a administrar los riesgos asociados al uso de las tecnologas de la informacin dada su actual dependencia crtica de ellos para la ejecucin de sus procesos de negocio. Auditora y Peritaje: Tema 1. 12 Procesos de negocio Procesos de negocio
Entradas
Salidas Tecnologas de la informacin Personal Organizacin Organizaciones actuales Infraestructuras Auditora y Peritaje: Tema 1. 13 Organizaciones y procesos de negocio Toda Organizacin puede ser contemplada como un conjunto de procesos de negocio que transforma unas entradas en unas salidas, generando valor aadido. Un proceso de negocio es un conjunto de tareas relacionadas lgicamente llevadas a cabo para lograr un resultado de negocio definido.
E Auditora y Peritaje: Tema 1. 14 Organizaciones y procesos de negocio Los procesos de negocio pueden ser vistos como una coleccin de actividades estructurales relacionadas que producen un valor para la organizacin, sus inversores o sus clientes. Es, por ejemplo, el proceso a travs del que una organizacin ofrece sus servicios a sus clientes. Un proceso de negocio puede ser parte de un proceso mayor que lo abarque o bien puede incluir otros procesos de negocio que deban ser incluidos en su funcin. En este contexto un proceso de negocio puede ser visto a varios niveles de granularidad. El enlace entre procesos de negocio y generacin de valor lleva a algunos practicantes a ver los procesos de negocio como los flujos de trabajo que efectan las tareas de una organizacin.
E Auditora y Peritaje: Tema 1. 15 El modelo de cadena de valor de Porter Toda organizacin puede ser analizada por su cadena de valor. sta categoriza las actividades que producen valor aadido en una organizacin. Se dividen en dos tipos de actividades:
E Auditora y Peritaje: Tema 1. 16 El modelo de cadena de valor de Porter Las actividades primarias que conforman la creacin fsica del producto o servicio, las actividades relacionadas con su venta y la asistencia post-venta. Se dividen en: Logstica interna: recepcin, almacenamiento y distribucin de las materias primas. Operaciones (produccin): recepcin de las materias primas para transformarlas en el producto final. Logstica externa: almacenamiento de los productos terminados y distribucin del producto al consumidor. Ventas y Marketing: actividades con las cuales se da a conocer el producto. Servicios post-venta (mantenimiento): actividades destinadas a mantener o realizar el valor del producto. Ej.: garantas
E Auditora y Peritaje: Tema 1. 17 El modelo de cadena de valor de Porter Estas actividades son apoyadas por las tambin denominadas actividades secundarias: Infraestructura de la organizacin: actividades que prestan apoyo a toda la empresa, como la planificacin, contabilidad, finanzas... Direccin de recursos humanos: bsqueda, contratacin y motivacin del personal. Desarrollo de tecnologa (investigacin y desarrollo): obtencin, mejora y gestin de la tecnologa. Abastecimiento (compras): proceso de compra de los materiales.
E Auditora y Peritaje: Tema 1. 18 Sistemas de informacin y cadena de valor Los 4546!"#4 7! 589:;"#<5=8 perLenecen a la 589;#!46;><6>;# y proporclonan los recursos de LraLamlenLo de la lnformacln LanLo de las acuvldades prlmarlas como de las acuvldades de soporLe. Auditora y Peritaje: Tema 1. 19 Ejercicio: El caso PDVSA Identificar para el conjunto de procesos, cuales seran los que pertenecen a: Actividades primarias: Logstica interna Operaciones Logstica externa Marketing y ventas Servicio post venta Actividades soporte: Infraestructuras de la empresa Gestin de recursos humanos Tecnologa Compras Auditora y Peritaje: Tema 1. 20 El modelo de cadena de valor de Porter Toda organizacin puede ser analizada por su cadena de valor. sta categoriza las actividades que producen valor aadido en una organizacin. Se dividen en dos tipos de actividades: Auditora y Peritaje: Tema 1. 21 Ejercicio: El caso PDVSA Extraccin Depsito Reno Exportacin Distribucin Facturacin Gestin TIC RR.HH. Direccin Auditora y Peritaje: Tema 1. 22 Ejercicio: El caso PDVSA Extraccin Depsito Reno Exportacin Distribucin Facturacin Gestin TIC RR.HH. Direccin Auditora y Peritaje: Tema 1. 23 LCClS1lCA Lx1L8nA 8CuuCClCn Procesos de transformacin Extraccin Depsito Reno Exportacin Distribucin Materia prima Producto Auditora y Peritaje: Tema 1. 24 lnl8ALS18uC1u8A Procesos de gestin econmica Producto Facturacin Direccin 8LCu8SCS PuMAnCS 1LCnCLCClA RR.HH. Gestin TIC Auditora y Peritaje: Tema 1. 25 Ejercicio: El caso PDVSA. s o p o r t e
primarias Facturacin Direccin RR.HH. Gestin TIC Extraccin Depsito Reno Exportacin Distribucin Auditora y Peritaje: Tema 1. 26 Definicin de sistemas de informacin Un sistema de informacin es un conjunto organizado de elementos. Estos son de 4 tipos: Personas. Datos. Actividades o tcnicas de trabajo. Recursos materiales en general (tpicamente recursos informticos y de comunicacin, aunque no tienen por qu ser de este tipo obligatoriamente). Todo ese conjunto de elementos interactan entre si para procesar los datos y la informacin (incluyendo procesos manuales y automticos) y distribuirla de la manera ms adecuada posible en una determinada organizacin en funcin de sus objetivos. Fuente: http://es.wikipedia.org/wiki/Sistema_de_informaci%C3%B3n Auditora y Peritaje: Tema 1. 27 ?;:<!4:4 : @!;A5<5:4 Nivel Funcional Nivel Lgico Nivel Fsico Dependencias fsicas Suministros Aplicaciones Equipos Telecomunicaciones Procesos de negocio Personas Datos
Auditora y Peritaje: Tema 1. 28 El boicot a PDVSA. s o p o r t e
primarias Facturacin Direccin RR.HH. Gestin TIC Extraccin Depsito Reno Exportacin Distribucin Auditora y Peritaje: Tema 1. 29 El boicot a PDVSA. s o p o r t e
primarias Facturacin Direccin RR.HH. Gestin TIC Extraccin Depsito Reno Exportacin Distribucin Auditora y Peritaje: Tema 1. 30 ndice del tema. Introduccin. Gobierno TI Necesidades de control interno. Esquemas de gestin y control interno. La funcin de auditora de sistemas de informacin. Auditora y Peritaje: Tema 1. 31 El contexto del Gobierno TI La confianza es la clave de nuestra economa, economa que sera hoy en da impensable sin el soporte de las tecnologas de la informacin, cada das ms ubicuas y que han cambiado para siempre la manera de entender y hacer negocios. Nos encontramos con que la economa gira en gran medida en torno a la idea de confianza descrita y que los sistemas de informacin debe ser de confianza, o mejor dicho, fiables. Qu pruebas tenemos? Auditora y Peritaje: Tema 1. 32 El contexto del Gobierno TI Debate sobre la fiabilidad de la informtica. Pruebas de buen funcionamiento. Pruebas de mal funcionamiento. Qu y hasta donde es tolerable? Ejemplos del da a da. Auditora y Peritaje: Tema 1. 33 El contexto del Gobierno TI Ha existido una brecha entre expectativas-resultados. LxpecLauvas - LxploLar 1l para lograr valor. - Lograr rpldos desarrollos con calldad y segurldad. - lnverslones 1l uenen un reLorno cuanuLauvo y se logra ms con menos. - Converur gananclas de eclencla y producuvldad en la creacln de valor y efecuvldad del negoclo. 8esulLados - ueclslones sln adecuado soporLe y perdlda compeuuva. - La efecuvldad de los procesos es dlrecLamenLe proporclonal a la calldad de los servlclos 1l. - lracaso en la lmplanLacln de nuevas apllcaclones. - 1ecnologla lnadecuada o caduca. - uebll soporLe a los negoclos. - royecLos desfasados en uempo y presupuesLo. - Mayor cosLo y menor calldad que la esperada. Auditora y Peritaje: Tema 1. 34 El contexto del Gobierno TI Las organizaciones quieren ahora contemplar lo que se denomina Riesgo operativo que es el riesgo o prdida que resulta de un fallo o inadecuados procesos internos, gente y sistemas o eventos externos. Auditora y Peritaje: Tema 1. 35 El contexto del Gobierno TI ulreccln Servlclos 1l P r o c e s o s
d e
n e g o c i o
P r o c e s o s
d e
n e g o c i o
P r o c e s o s
d e
n e g o c i o
P r o c e s o s
d e
n e g o c i o
Auditora y Peritaje: Tema 1. 36 El contexto del Gobierno TI La Direccin de las Empresas quiere poder establecer el rumbo que debe seguir el desarrollo de sus Organizaciones. Para ello, es necesario planificar, dirigir y gestionar el desarrollo y despliegue de los sistemas de informacin de la Organizacin. Auditora y Peritaje: Tema 1. 37 Evolucin del rea TI Ha pasado el tiempo en el que los departamentos de informtica (departamentos de Tecnologas de la Informacin) eran unos departamentos puramente tcnicos que realizaban dos funciones bsicas: Desarrollo de aplicaciones y el mantenimiento de la infraestructura tcnica. El negocio (la empresa) inverta dinero en este departamento y eran percibidos nicamente como centros de coste. Los servicios informticos, sobre todos los ms importantes para el negocio (soporte y operaciones), eran suministrados por este departamento integrado en la organizacin. Auditora y Peritaje: Tema 1. 38 Evolucin del rea TI Ahora, muchos de estos departamentos tienen la necesidad de cambiar su imagen en la empresa. Necesitan saber cunto valen sus servicios y demostrar a sus clientes (su propia compaa) que son rentables y necesarios, demostrando racionalizacin y eficiencia. Por otra parte, las organizaciones son cada vez ms dependientes de las TIs a la hora de satisfacer sus propios objetivos corporativos y necesidades empresariales (negocio). Esta dependencia conlleva un aumento en la necesidad de unos servicios de TI, independientemente del tamao de la organizacin, ajustados econmicamente, fiables, consistentes y de la ms alta calidad. Auditora y Peritaje: Tema 1. 39 Contexto del Gobierno TI Lo que se quiere es tener un control sobre la gestin de las Tecnologas de la Informacin de igual manera al control que se tiene de otras actividades de la Organizacin. Control presupuestario y financiero. Control sobre los recursos humanos. Control sobre la produccin. Gestin y Direccin de la Organizacin. Auditora y Peritaje: Tema 1. 40 Definicin del Gobierno TI El Gobierno TI determina el marco para la toma de decisiones y la responsabilidad para fomentar el comportamiento deseado del uso de las tecnologas de la informacin. La necesidad de asegurar el valor de las TI, la administracin de sus riesgos asociados as como el incremento de requisitos para controlar la informacin (Legislacin como LOPD) se entienden ahora como elementos clave del Gobierno de una empresa. El valor, el riesgo y el control constituyen la esencia del Gobierno TI. Auditora y Peritaje: Tema 1. 41 El valor de la informacin La informacin es un activo que, como otros activos importantes para las organizaciones, tiene valor y por tanto, necesita ser adecuadamente protegido. ISO/IEC 27002:2005 El valor de la informacin puede ser diferentes segn el criterio o percepcin de la persona que la maneja. El tratamiento en algunos momentos no se ajusta al valor que esa informacin tiene. Direccin Financiero Informtica Secretara 60.000 ! 6.000 ! 600 ! 10 ! 600 ! 0 ! 60.000 ! 10 ! lnforme ulreccln Coplas segurldad Auditora y Peritaje: Tema 1. 42 El riesgo Amenaza Acuvo lmpacLo ConLrol Auditora y Peritaje: Tema 1. 43 El riesgo vulnerabllldades Auditora y Peritaje: Tema 1. 44 El riesgo 0/.'B* 0"!8#C#4 '8<!875: /:;6! 3DE<6;5<: B5;>4 )#DD!<5"5!86: !"FD!#7: 0A!;G# H#;7I#;! @#DA#J>#;7#4 ,!757#4 7! 4!J>;57#7 B>D8!;#K5D57#7!4 '"F#<6: Auditora y Peritaje: Tema 1. 45 El riesgo RIESGO IMPACTO Qu consecuencias tiene para el negocio? PROBABILIDAD Cunto de posible es que la amenaza supere a los controles? ACTIVOS Qu hay que proteger? AMENAZAS Qu eventos pueden producirse? SALVAGUARDAS De que protecciones disponemos? VULNERABILIDAD Cmo pueden materializarse las amenazas? Auditora y Peritaje: Tema 1. 46 La gestin del riesgo REDUCIR ACEPTAR EVITAR TRANSFERIR No hacer nada Contratar seguro Poner alarma Comprar puerta blindada No comprarla Auditora y Peritaje: Tema 1. 47 El control Gestionar es tomar las decisiones pertinentes para lograr un determinado fin u objetivo. En nuestro contexto, lograr que los niveles de riesgo sean los adecuados. 386;#7#4 @#D57#4 ?;:<!4: /:86;:D Auditora y Peritaje: Tema 1. 48 El Gobierno TI El Gobierno de las Tecnologas de la Informacin es responsabilidad de los ejecutivos y consta de liderazgo, estructuras y procesos organizacionales que garantizan que las Tecnologas de la Informacin de la empresa sostienen y extienden las estrategias y objetivos de la Organizacin. En otras palabras, hacer que los sistemas de informacin sean una herramienta productiva ms alineada con los objetivos de negocio de la Organizacin. Auditora y Peritaje: Tema 1. 49 El Gobierno TI Auditora y Peritaje: Tema 1. 50 Las reas del Gobierno TI Entrega de valor Gestin del riesgo Administracin de recursos Medicin del desempeo Alineacin estratgica Gobierno TI Gobierno TI
E Auditora y Peritaje: Tema 1. 51 Las reas del Gobierno TI Garantizar la coherencia y cohesin entre los planes de negocio de la Organizacin y de TI. Definir, mantener y validar la propuesta de valor de TI. Alinear las operaciones de TI con las operaciones de la empresa. Alineacin estratgica
E Auditora y Peritaje: Tema 1. 52 Las reas del Gobierno TI Asegurar que TI genere los beneficios prometidos en la estrategia. Optimizar los costos y brindar el valor intrnseco de las TI. Entrega de valor
E Auditora y Peritaje: Tema 1. 53 Las reas del Gobierno TI Concienciar sobre los riesgos que conllevan las TI Analizar y establecer los riesgos para la Organizacin. Determinar los requisitos de cumplimiento, lo que no debe tolerarse. Gestionar adecuadamente los riesgos no aceptables. Gestin del riesgo
E Auditora y Peritaje: Tema 1. 54 Las reas del Gobierno TI Establecer las inversiones ptimas, as como la administracin adecuada de los sistemas de informacin: Aplicaciones Informacin Infraestructuras tecnolgicas Personas Optimizacin del conocimiento y de la infraestructura. Administrar los recursos
E Auditora y Peritaje: Tema 1. 55 Las reas del Gobierno TI Monitorizacin del uso de los recursos. Seguimiento de la implantacin de la estrategia y cumplimiento de objetivos y planes de proyectos. Medicin del desempeo de los procesos y de la entrega de servicios. Medicin del desempeo
E Auditora y Peritaje: Tema 1. 56 El Gobierno TI El Gobierno TI facilita que la empresa aproveche al mximo su informacin, maximizando as los beneficios, capitalizando las oportunidades y ganando ventajas competitivas. Las organizaciones tienen como misin satisfacer la calidad, los requisitos y la seguridad de la informacin as como la de todos sus activos. La Direccin debe optimizar el uso de los recursos TI disponibles, incluyendo aplicaciones, informacin, infraestructuras y personas. Auditora y Peritaje: Tema 1. 57 El Gobierno TI Ls necesarlo garanuzar que:
.' F;:F:;<5:8#8 A#D:; CosLe, uempo, rendlmlenLo, funclonalldad esperados .' 8: F;:F:;<5:8#8 4:;F;!4#4 8lesgos mlugados .' <:86;5K>L!8 #D 8!J:<5: nuevas oporLunldades e lnnovaclones en producLos, procesos y servlclos Para ello, la Direccin debe tener cierto CONTROL INTERNO sobre su funcionamiento y gestin. Auditora y Peritaje: Tema 1. 58 Repaso de los conceptos importantes Cadena de Porter. reas del Gobierno TI. Necesidad del Gobierno TI Auditora y Peritaje: Tema 1. 59 Sistemas de informacin y cadena de valor Los 4546!"#4 7! 589:;"#<5=8 perLenecen a la 589;#!46;><6>;# y proporclonan los recursos de LraLamlenLo de la lnformacln LanLo de las acuvldades prlmarlas como de las acuvldades de soporLe. Auditora y Peritaje: Tema 1. 60 Las reas del Gobierno TI Entrega de valor Gestin del riesgo Administracin de recursos Medicin del desempeo Alineacin estratgica Gobierno TI Gobierno TI Auditora y Peritaje: Tema 1. 61 El Gobierno TI Auditora y Peritaje: Tema 1. 62 El Gobierno TI 34 8!<!4#;5: J#;#8MC#; N>!&
.' F;:F:;<5:8#8 A#D:; CosLe, uempo, rendlmlenLo, funclonalldad esperados .' 8: F;:F:;<5:8#8 4:;F;!4#4 8lesgos mlugados .' <:86;5K>L!8 #D 8!J:<5: nuevas oporLunldades e lnnovaclones en producLos, procesos y servlclos Para ello, la Direccin debe tener cierto CONTROL INTERNO sobre su funcionamiento y gestin. Auditora y Peritaje: Tema 1. 63 Gestin del Gobierno TI Gestin de la Organizacin Tecnologas de la informacin Gestin TI Gestin RR.HH. Objetivos de negocio Resultados empresariales
OK? Auditora y Peritaje: Tema 1. 64 Cmo se logra el Gobierno TI? La Direccin de la Empresa quiere saber cmo funciona el rea TI. Para ello, se establecen un conjunto de procesos generales (o marco de trabajo) y se mide cmo funcionan cada uno de ellos. (Control interno) En las ltimas dcadas se han ido estableciendo diferentes marcos de trabajo orientados a lograr estos objetivos: Guias COBIT de ISACA. ISO 20000 Gestin de Servicios TI ISO 27001 Gestin de la Seguridad de la Informacin
Auditora y Peritaje: Tema 1. 65 Cmo se logra el Gobierno TI? roporclonar ulreccln Medlr el desempeno
Comparar Actividades TI AumenLar la auLomauzacln.(Pacer ms !O<#C el negoclo) 8educlr cosLos (Pacer ms !O<5!86! la empresa) ConLrolar los rlesgos (Segurldad, conanza y cumpllmlenLo) Establecer Objetivos 1l allneado con el negoclo. 8educlr cosLos (Pacer ms eclenLe la empresa) Mane[ar rlesgos (Segurldad, conanza y cumpllmlenLo) Auditora y Peritaje: Tema 1. 66 Cmo se logra el Gobierno TI? Para lograr el Gobierno TI es necesario proporcionar la informacin que la empresa requiere para lograr sus objetivos, administrar y controlar los recursos de TI usando un conjunto estructurado de procesos que ofrezcan los servicios requeridos de informacin.
8equlslLos de negoclo 8ecursos 1l rocesos 1l Auditora y Peritaje: Tema 1. 67 Cmo se logra el Gobierno TI? Auditora y Peritaje: Tema 1. 68 ndice del tema. Introduccin. Gobierno TI Necesidades de control interno. Esquemas de gestin y control interno. La funcin de auditora de sistemas de informacin. Auditora y Peritaje: Tema 1. 69 Informe IT Governance Institute (ITGI)-2008. Un estudio del ITGI determina las prioridades de ejecutivos en gobernabilidad TI y los problemas con los que se han de enfrentar: El 58% advirti que la cantidad de personal en TI es insuficiente, comparada con el 35% de 2005. El 48% expres que las dificultades en la prestacin del servicio de TI continan siendo el segundo problema ms comn. El 38% seal que los problemas relacionados con el personal tienen que ver con la ausencia de aptitudes adecuadas. Un 30% de los encuestados tambin inform dificultades relacionadas con la previsin del retorno de la inversin (ROI) para los gastos de TI. Auditora y Peritaje: Tema 1. 70 Informe IT Governance Institute (ITGI)-2008. El 93% de los encuestados expres que TI posee una importancia de media a elevada para la estrategia corporativa general, lo cual implica un aumento de 6% en comparacin con 2005. La TI siempre est en la agenda de la gerencia, de acuerdo con las respuestas del 32% de los encuestados: un incremento en comparacin con el 25% de 2005. El 18% de los encuestados manifest que el departamento de TI siempre proporciona informacin a la empresa acerca de potenciales oportunidades de negocio, un incremento en comparacin con el 14% de 2005. Las reas de mejora incluyen alineacin: el 36% de los encuestados informaron que la alineacin entre la estrategia de TI y la estrategia corporativa es estndar, deficiente o muy deficiente. Auditora y Peritaje: Tema 1. 71 lnforme l1 Covernance lnsuLuLe (l1Cl)-2008. El resultado final es que muchas organizaciones de todo el mundo sacrifican intilmente dinero, productividad y ventaja competitiva al no implementar una administracin eficaz de TI. Se ha demostrado que las empresas bien administradas obtienen un mejor retorno para las partes interesadas, y lo mismo sucede con la gobernabilidad en lo concerniente a la TI. Los ejecutivos deben orientar sus reas de TI para obtener la ventaja ptima, manejar los riesgos relacionados con la TI y medir el valor que la TI proporciona. Auditora y Peritaje: Tema 1. 72 Conclusiones del estudio ITGI-2008 Los sistemas de informacin ya no son un complemento para la organizacin sino que forman parte de su estructura. Aumento de la complejidad en los entornos TI. Nivel de servicio de TI decepcionante tanto por parte de las funciones internas como proveedores externos. Costes de TI fuera de control. Necesidad de garantizar el cumplimiento legal que empieza a regular las TI. Potencial de las TI para cambiar espectacularmente las organizaciones y las prcticas empresariales, crear nuevas oportunidades y reducir costes. Auditora y Peritaje: Tema 1. 73 Control Interno La definicin de control interno se entiende como el proceso que ejecuta la administracin con el fin de evaluar operaciones especificas con seguridad razonable en tres principales categoras: Efectividad y eficiencia operacional. Seguridad de la informacin. Cumplimiento de polticas, leyes y normas. Auditora y Peritaje: Tema 1. 74 Necesidades de control interno El Control Interno Informtico controla diariamente que todas las actividades sean realizadas cumpliendo los procedimientos, estndares y normas fiados por la Direccin de la Organizacin as como los requisitos legales. El control interno tiene como principales objetivos: Controlar que las actividades se realizan cumpliendo los procedimientos y normas fijados, evaluar su funcionamiento y asegurar el cumplimiento de las normas legales. Asesorar sobre el conocimiento de las normas y procedimientos internos. Colaborar y apoyar al rea de Auditora Informtica. Definir, implantar y ejecutar mecanismos y controles para comprobar el logro de los objetivos planteados sobre el servicio de Tecnologas de la Informacin de la empresa. Auditora y Peritaje: Tema 1. 75 Necesidades de control interno Para ello, se despliegan diferentes tipos de controles sobre las actividades operativas del tipo: Cumplimiento de los procedimientos y normas internas. Vigilancia sobre el control de cambios y versiones del software. Controles sobre la produccin diaria. Controles sobre la calidad y eficiencia del desarrollo y mantenimiento software y de los sistemas de informacin. Controles sobre la administracin y gestin de las redes de telecomunicaciones. Controles sobre los sistemas microinformticos. Monitorizacin sobre la seguridad informtica establecida. Licencias y relaciones contractuales con terceros. Auditora y Peritaje: Tema 1. 76 Control interno y Gobierno TI El control interno mide si los procesos generan las salidas correctas en relacin a los objetivos planteados. En relacin al Gobierno TI, proporciona indicadores sobre el funcionamiento de los sistemas de informacin. 386;#7#4 @#D57#4 ?;:<!4: /:86;:D Auditora y Peritaje: Tema 1. 77 Control interno y Gobierno TI El Gobierno TI debe establecer las lneas estratgicas de la empresa (el rumbo) y el control interno debe verificar que en el da a da se va por el buen camino. Auditora y Peritaje: Tema 1. 78 Control interno y Gobierno TI Auditora y Peritaje: Tema 1. 79 ndice del tema. Introduccin. Gobierno TI Necesidades de control interno. Esquemas de gestin y control interno. La funcin de auditora de sistemas de informacin. Auditora y Peritaje: Tema 1. 80 Esquemas de gestin y control interno Aunque existen diferentes tipos de organizaciones y empresas, la gestin de las TIC comparte una misma problemtica en cuanto a los procesos necesarios para su gestin. La misin fundamental del rea de TIC de cualquier organizacin es velar por el buen funcionamiento de las infraestructuras TIC, elementos que posibilitan a los usuarios el acceso a las aplicaciones y datos que requieren para el desarrollo de su actividad dentro de la compaa, garantizar la seguridad de la informacin y los activos en general asociados al rea y dar soporte a los usuarios cuando sea necesario. Auditora y Peritaje: Tema 1. 81 Esquemas de gestin y control interno La situacin se ha tratado de solucionar con la aparicin en el escenario de buenas prcticas y normas internacionales diseadas a paliar el problema de la falta de control interno. Se ha trabajado en estos ltimos aos para poder consensuar buenas prcticas y trata de establecer estndares, de manera que todas las organizaciones establezcan los controles internos de una misma forma. Auditora y Peritaje: Tema 1. 82 Esquemas de gestin y control interno Ello se ha producido, en parte por: Preocupacin por el creciente nivel de gasto en TI. Necesidad de satisfacer cada vez ms diferentes requisitos regulatorios ( Ley de Proteccin de Datos, Sabarnes-Oxley, Basilea II, etc.) Necesidad de valorar servicios externos (outsourcing). Riesgos crecientemente complejos de las TI (seguridad informtica, fugas de datos, etc.) Necesidad de optimizar costes, siguiendo siempre que sea posible un enfoque estandarizado. Madurez creciente y continua aceptacin de aceptados marcos de trabajo como ISO 9001, Cobit, ITIL, ISO 27001, etc. Necesidad de poder comparar el desempeo y rendimiento de los sistemas propios y valorarlos respecto a los de otros. Auditora y Peritaje: Tema 1. 83 Esquemas de gestin y control interno Los objetivos globales de cualquier rea de Explotacin TIC son: Maximizar la satisfaccin de los clientes internos o externos. Garantizar la seguridad de los sistemas Garantizar la seguridad de la informacin Maximizar la disponibilidad de las redes Maximizar la disponibilidad de los sistemas Maximizar la disponibilidad de las aplicaciones Auditora y Peritaje: Tema 1. 84 Esquemas de gestin y control interno Los objetivos globales de cualquier rea de Explotacin TIC son: Responder en el mnimo tiempo posible ante incidencias relacionadas con los activos TIC de la compaa. Optimizar el tiempo de respuesta de las aplicaciones. Mantener actualizado el sistema documental fijado para el correcto mantenimiento y soporte de los Sistemas de Informacin corporativos. Garantizar la gestin de conocimiento. Garantizar la medicin de los procesos mediante indicadores de eficacia y eficiencia. Garantizar la trazabilidad de las operaciones de soporte realizadas. Trabajar en la mejora continua de procesos, maximizando los mantenimientos preventivos a costa de los reactivos. Auditora y Peritaje: Tema 1. 85 Esquemas de gestin y control interno Aparecen guas, normas y estndares planteados como catlogos de objetivos de control y controles que pueden ayudar a gobierno TI. COBIT: marco de procesos para la gestin TI. CMMI: centrado en actividades de desarrollo ITIL /ISO 20000: centrado en la gestin de los servicios de tecnologa de la informacin. ISO 27001: centrado en la seguridad de la informacin. ISO 38500: centrado en el Gobierno TI Auditora y Peritaje: Tema 1. 86 COBIT COBIT (Control Objectives for Information and related Technology) es un conjunto de mejores prcticas para el manejo de informacin creado por ISACA e ITGI. COBIT marca las directrices gerenciales sobre un marco internacional de referencias que abordan las mejores prcticas de auditora y control de sistemas de informacin. Permiten que la gerencia incluya, comprenda y administre los riesgos relacionados con la tecnologa de informacin y establezca el enlace entre los procesos de administracin, aspectos tcnicos, la necesidad de controles y los riesgos asociados.
La misin de COBIT es "investigar, desarrollar, publicar y promocionar un conjunto de objetivos de control generalmente aceptados para las tecnologas de la informacin que sean autorizados (dados por alguien con autoridad), actualizados, e internacionales para el uso del da a da de los gestores de negocios (tambin directivos) y auditores. Auditora y Peritaje: Tema 1. 87 CMMI Es un modelo concebido para mejorar los procesos de desarrollo y mantenimiento de productos de software. Fue creado por el Software Engineering Institute (SEI) de la Universidad estadounidense Carnegie Mellon, combinando tres modelos del SEI: CMM-SW (CMM for Software) SE-CMM (Systems Engineering Capability Maturity Model) IPD-CMM (Integrated Product Development) CMMI tambin se inspira en buenas prcticas de la industria y de la experiencia adquirida en la evaluacin e implantacin de mejora de procesos en entornos reales.
Auditora y Peritaje: Tema 1. 88 ITIL / ISO 20000 ITIL es una seria de libros con las mejores prcticas de TI. Es un marco de referencia de dominio pblico. Probado empricamente y bajo constante desarrollo, soportado por herramientas, utilizado por la mayora de los grandes data-centers de mundo. La serie ISO/IEC 20000 proviene de la adopcin de la serie BS 15000 que especifica un conjunto de procesos de gestin interrelacionados, esta basada en gran medida en el marco de trabajo ITIL y se pretende que formen una base de una auditora del servicio gestionado. ISO 20000-1 establece los requisitos de un sistema de gestin de las tecnologas de la informacin (SGTI) para ser certificable por una entidad independiente. ISO 20000-2 proporciona un conjunto de buenas prcticas basada en el estndar "de facto" ITIL. Auditora y Peritaje: Tema 1. 89 ISO 27000 La serie ISO/IEC 27000 es un conjunto de estndares desarrollados que proporcionan un marco de gestin de la seguridad de la informacin utilizable por cualquier tipo de organizacin, pblica o privada, grande o pequea. ISO 27001 establece los requisitos de un sistema de seguridad de la informacin (SGSI) para ser certificable por una entidad independiente. ISO 27002 proporciona un conjunto de buenas prcticas para la gestin de la seguridad de su informacin. Auditora y Peritaje: Tema 1. 90 ndice del tema. Introduccin. Gobierno TI Necesidades de control interno. Esquemas de gestin y control interno. La funcin de auditora de sistemas de informacin. Auditora y Peritaje: Tema 1. 91 La funcin de auditora Se establece un modelo de control interno basado en la comparacin de lo deseable con lo obtenido. Se establece un determinado nivel de temperatura (Objetivo de control) para el sistema de acondicionamiento de aire (Proceso). El termostato medir continuamente la temperatura del ambiente (Salida) y la comparar con la temperatura deseada (Objetivo de control) e indicar cual es la accin a realizar (accin de control) Auditora y Peritaje: Tema 1. 92 Objetivos de control y controles El control mide si los procesos generan las salidas correctas en relacin a los objetivos planteados. 386;#7#4 @#D57#4 ?;:<!4: /:86;:D *KP!MA: 7! <:86;:D Auditora y Peritaje: Tema 1. 93 La funcin de auditora Auditora y Peritaje: Tema 1. 94 Objetivos de control y controles Un objetivo de control TI es una declaracin del resultado o fin que se desea lograr al implantar procedimientos de control en una actividad TI en particular. Un control se define como las polticas, normas, procedimientos, prcticas y estructuras organizacionales diseadas para brindar una seguridad razonable que los objetivos de negocio se alcanzarn, y los eventos previstos sern prevenidos o detectados o corregidos. Auditora y Peritaje: Tema 1. 95 La funcin de auditora Se establecen diferentes objetivos de control para el rea de Tecnologas de la Informacin y se comparan los servicios o productos que se obtienen con los resultados deseables, en base a la valoracin de los registros de funcionamiento que establecen los diferentes controles implantados. Los controles son como sensores de funcionamiento que proporcionan informacin para tomar acciones de control. Auditora y Peritaje: Tema 1. 96 Control interno y auditora TI Son tareas similares con objetivos comunes aunque algunas diferencias /:86;:D '86!;8: 0>756:;G# SlmlllLudes ersonal lnLerno ConoclmlenLos especlallzados en 1ecnologlas de la lnformacln. verlcacln del cumpllmlenLo de las normauvas y procedlmlenLos esLablecldos sobre los slsLema de lnformacln. ulferenclas Anllsls de los conLroles dla a dla lnforma a la ulreccln del ueparLamenLo de lnformuca ersonal lnLerno Anllsls de los conLroles en un momenLo dado. lnforma a la ulreccln de la Crganlzacln. ersonal lnLerno o exLerno. Auditora y Peritaje: Tema 1. 97 La funcin de auditora TI Es quien verifica el correcto funcionamiento de los controles y valora el nivel de cumplimento de los objetivos de control para dar una opinin a la Direccin del estado de los elementos auditados en base a unos criterios de auditora establecidos. Auditora y Peritaje: Tema 1. 98