Introducción.
Las amenazas a la viabilidad de una Empresa, no se encuentran únicamente en la
complejidad del mercado, los planes de acción de los competidores o las condiciones
sociales, económicas y políticas de él o los países donde opera; también existen otro tipo
de riesgos que pueden afectar a la Organización y que en la mayor parte de los casos
son del desconocimiento de la Alta Gerencia. Una de estas amenazas pende sobre los
activos de información, generados, procesados y almacenados en los sistemas que
soportan los procesos de Negocio.
La Alta Gerencia toma decisiones, realiza alianzas y planes estratégicos,
considerando por sentado que los activos de información están resguardados
debidamente, de forma tal que siempre estén disponibles, sean veraces y únicamente
accesibles al personal adecuado. Sin embargo, dado que la Alta Gerencia tiene que
concentrar su atención en las actividades diarias del negocio, muchas veces opera sin
conocimiento suficiente sobre la exposición y riesgos a los activos de información;
primeramente porque no se tienen identificados, ubicados, ni valuados. Esta condición
de incertidumbre, no le permite a la Gerencia saber el costo por la perdida, daño o
exposición de los activos; así como tampoco tomar acciones que prevean situaciones de
riesgo.
− Accesos lógicos.
− Controles de cambios a los programas y datos.
− Controles para el desarrollo e implementación de nuevos productos.
− Controles de Operación de los sistemas.
“¿Cuales son los procesos críticos que soportan la viabilidad del Negocio y que información
generan?”
“¿Cuáles de estos procesos depende de sistemas computacionales?”
“¿Cuánto cuesta la pérdida o interrupción de uso de un activo de información crítico?”
“¿Se cuenta con una compresión clara de las amenazas emergentes y los facilitadores?”
El esfuerzo de identificar los activos de información debe estar soportado por los
actores o ejecutivos clave del Negocio, pero debe iniciar y ser empujado desde la Alta
Gerencia; quien deberá estimar si la Organización tiene los conocimientos necesarios
para la tarea y no siendo este el caso, considerar la contratación de un tercero cuyo juicio
permita a la Gerencia beneficiarse de un punto de vista externo.
Investigación
Identificados los activos de información críticos para la Empresa y los sistemas
relacionados, la Gerencia podrá (utilizando recursos humanos propios o un servicio de
consultoría) iniciar las fases de investigación.
Esta parte del ciclo se enfocará en diversas áreas según las necesidades y la
metodología empleada, en general las indagatorias se harán al derredor de los siguientes
temas o áreas:
Secrecía
Dentro del proceso de investigación, es importante plantear los siguientes
puntos de atención:
− La Agenda de Riesgos y el Plan de Revisión deberán ser conocidos
únicamente por la Alta Gerencia y los recursos designados para la Auditoría.
− Se considera también pertinente que las fechas de revisión no sean del
conocimiento general, de tal manera que no pueda eliminarse o falsificarse
evidencia relevante.
− Se deberá contar con la cantidad adecuada de recursos, para poder realizar
las indagatorias de forma simultánea y no secuencial, evitando poner sobre
aviso al personal, lo que podría lesionar la confiabilidad de la información.
Fuentes
Para una Auditoría de Controles Generales de TI, se consideran generalmente
como fuentes de información:
Recolección
La veracidad de los resultados, depende en gran parte de la manera en que la
información es recolectada, de tal forma que se consideren los siguientes casos:
Almacenaje
La información colectada deberá de ser resguardada y protegida, por medios
que aseguren su privacidad, integridad y disponibilidad; de preferencia fuera del sitio
en donde se desarrolla la indagatoria.
Validación y Análisis
En una Auditoría de Controles Generales de TI, el análisis suele tomar la
siguiente estructura:
Ejemplos:
Diseño: Todas las cuentas de acceso a los sistemas son aprobadas por la Gerencia de TI,
mediante la firma en papel del formulario “Solicitud de Altas”.
Eficacia: Requerir los formularios “Solicitud de Altas” firmados, para una selección de cuentas
creadas en los sistemas.
Diseño: Los respaldos de información están resguardados en un depósito con acceso controlado
con tarjeta de proximidad y restringidos a tres empleados del Departamento de Sistemas.
Eficacia: Inspeccionar que el acceso al depósito de respaldos este controlado por tarjeta de
proximidad y analizar las bitácoras del sistema de acceso, para validar que solo el personal
autorizado ha acezado al depósito.
Producción
El informe ejecutivo de las deficiencias encontradas debe tener las siguientes
características:
Diseminación
Dada la criticidad de los hallazgos u observaciones obtenidos, se deberá acordar
previamente con la Alta Gerencia, cuales son los medios adecuados para que la
información le sea entregada y definir una junta para entregar de primera mano el
informe, de tal manera que el auditor tenga certeza que el reporte ha llegado al primer
interesado.
Tareas posteriores al cierre
Concluida la auditoría y entregados los resultados, se deberán acordar las
acciones necesarias para la devolución o destrucción de la evidencia proporcionada
durante la investigación.
Referencias