Las mejores prácticas son directrices que permiten a las empresas modelar sus procesos para que se ajusten a sus propias necesidades, proporcionan a las empresas y/o organizaciones métodos utilizados para estandarizar procesos y administrar de una mejor manera los entornos de TI.
Las empresas que deseen utilizar un enfoque basado en mejores prácticas para la estandarización de estas directrices, tienen como opción varias metodologías que serán descritas a lo largo de este capítulo.
A continuación se presenta un marco en el que se pueden encerrar las mejores prácticas de la auditoría, dado que todas responden al siguiente esquema[15]:
Buscan definir las necesidades de la organización que deben ser identificadas respecto de la auditoría, así como las debilidades propias, a fin de determinar el objetivo a seguir.
Incorporan conceptos de calidad total aplicada a la auditoría sobre la base de la mejora continua, con el pertinente concepto de medición y evaluación de resultados.
Buscan establecer un proceso de comunicación interna que propenda a informar lo actuado, lo planeado y las mejoras obtenidas.
Recomiendan emplear recursos de tecnología informática al proceso de auditorías privilegiando la eficacia, eficiencia y oportunidad en los resultados de las revisiones.
Proponen mantener estrechas relaciones profesionales con otras gerencias de auditoría a fin de intercambiar estrategias, criterios y resultados.
Proporcionan las bases para posicionar a la Auditoría como un agente de cambio en la organización a fin de implementar la auto evaluación del control.
Proponen el cambio funcional proyectando a los auditores como facilitadores de la auto evaluación del control.
El aseguramiento de la información es la base sobre la que se construye la toma de decisiones de una organización. Sin aseguramiento, las empresas no tienen certidumbre de que la información sobre la que sustentan sus decisiones es confiable, segura y está disponible cuando se le necesita.
Definimos Aseguramiento de la Información como “la utilización de información y de diferentes actividades operativas, con el fin de proteger la información, los sistemas de información y las redes de forma que se preserve la disponibilidad, integridad, confidencialidad, autenticación y el no repudio, ante el riesgo de impacto de amenazas locales, o remotas a través de comunicaciones e Internet”[16].
Una tarea de aseguramiento puede darse a cualquier nivel, por lo que a continuación se describe brevemente las más importantes.
Referente la información histórica o prospectiva, probabilística e indicadores de desempeño.
Basado principalmente en controles internos y procedimientos establecidos para la protección de intereses.
Conformidad con normas, regulaciones o mejores prácticas.
En la que los objetivos del negocio son establecidos para proteger a todos los involucrados: directivos y empleados.
La administración del aseguramiento de la calidad valida que los sistemas de información producidos por la función de sistemas de información logren las metas de calidad y que el desarrollo, implementación, operación, y mantenimiento de los sistemas de información, cumplan con un conjunto de normas de calidad[17].
En la actualidad es más común ver que los usuarios se están haciendo más exigentes en términos de la calidad del software que emplean para realizar su trabajo, por ello actualmente el aseguramiento de la calidad ha tomado mayor importancia en muchas organizaciones.
Las organizaciones se están comprometiendo en proyectos de sistemas de información que tienen requerimientos de calidad más estrictos y se preocupan cada vez más sobre sus responsabilidades legales al producir y vender software defectuoso.
Debido a esto, mejorar la calidad del software es parte de una tendencia universal entre las organizaciones proveedoras para mejorar la calidad de los productos y los servicios que ofrecen, agregando valor a los controles de producción, implementación, operación y mantenimiento del software.
COBIT, lanzado en 1996, es una herramienta de gobierno[18] de TI que ha cambiado la forma en que trabajan los profesionales de TI.
De acuerdo a ISACA, COBIT es:
Una herramienta que permite evaluar la calidad del soporte de TI actual de la organización, vinculando los distintos procesos del negocio con los recursos informáticos que los sustentan.
COBIT establece un diagnóstico que permite definir las metas desde el punto de vista de seguridad y control que le serán de utilidad para la organización para cada uno de sus procesos, pudiendo entonces establecer un plan de acción para lograr estas mejoras, y posteriormente identificar los lineamientos para sustentar un proceso de monitoreo y mejora continua sobre las soluciones implementadas.
La manera en que COBIT provee este marco para el control y la gobernabilidad de TI se puede presentar en forma sintética a partir de sus principales características, que a continuación serán descritas.
La estructura de cubo es la capacidad que brinda COBIT de poder trabajar (con sus objetivos de control) desde tres puntos de vista diferentes; los procesos, los recursos de TI, y las características que debe reunir la información para ser considerada adecuada a las necesidades de la organización.
Esta estructura, al vincular estos tres puntos de vista brinda un enfoque global que apoya a la planificación estratégica, fundamentalmente a través de promover las funciones ligadas a la gobernabilidad de TI, la cual es básica para asegurar el logro de las metas de la organización.
Esta estructura permite vincular las expectativas de la Dirección con las de la Gerencia de TI, manejando lineamientos entendibles por las Gerencias de negocio y los dueños de los procesos.
Permite agrupar los objetivos de control de COBIT en distintas áreas de actividad de la organización. Los cuatro dominios principales son:
Planificación y organización,
Adquisición e implantación,
Soporte y servicios, y
Monitoreo.
Como su nombre indica, cada uno de estos dominios están enfocados a los diferentes niveles y departamento que pueden existir en una organización.
Ofrece las bases para el entendimiento y la evaluación de las condiciones actuales de seguridad y control de los procesos del ambiente de TI de una organización. Este modelo provee las bases para la evaluación de las principales funciones del área de TI, a través de la consideración de cada uno de sus procesos clave, a los cuales se les asignará un valor de cero a cinco, según las definiciones siguientes:
Ausencia total de cualquier proceso o control reconocible.
Existe evidencia de que la organización ha reconocido la necesidad de mejorar los procesos o controles.
Se han desarrollado procesos donde se siguen procedimientos similares por diferentes personas para la misma tarea.
Los procedimientos han sido estandarizados y documentados y son comunicados a través de la capacitación.
Es posible monitorear y medir el cumplimiento de los procedimientos y tomar acciones cuando los procesos no están funcionando efectivamente.
Los procesos han sido redefinidos al nivel de las mejores prácticas, basados en los resultados de mejoras continuas y el modelo de madurez con otras organizaciones.
ITIL es un conjunto de las mejores prácticas para la gestión de servicios de TI que ha evolucionado desde 1989, comenzó como un conjunto de procesos que utilizaba el gobierno del Reino Unido para mejorar la gestión de los servicios de TI y ha sido adoptado por la industria, como base de una gestión satisfactoria de los servicios de TI[19].
ITIL describe las mejores prácticas que se pueden utilizar y mejor se adecuan a una organización, incluye cinco disciplinas que proporcionan las empresas flexibilidad y estabilidad para ofrecer servicios de TI[20] , estas son:
Gestión de incidencias,
Gestión de problemas,
Gestión de cambios,
Gestión de versiones, y
Gestión de configuración.
Incluye también cinco disciplinas que soportan los servicios TI de calidad y bajo costo de las empresas 6, estas son:
Gestión del nivel de servicio,
Gestión de la disponibilidad,
Gestión de la capacidad,
Gestión financiera para servicios TI, y
Gestión de la continuidad de los servicios TI.
El objetivo de ITIL en todas sus disciplinas es la definición de las mejores prácticas para los procesos y responsabilidades que hay que establecer para gestionar de forma eficaz los servicios de TI de la organización, y cumplir así los objetivos empresariales en cuanto a la distribución de servicios y la generación de beneficios.
En 1995 el British Standard Institute (BSI) publica la norma BS 7799, un código de buenas prácticas para la gestión de la seguridad de la información. En 1998 también el BSI publica la norma BS 7799-2 con especificaciones para los sistemas de gestión de la seguridad de la información. Tras una revisión de ambas partes de BS 7799, la primera es adoptada como norma ISO en el año 2000 y denominada ISO/IEC 17799.
Actualmente las empresas deben asegurar que sus recursos y la propiedad intelectual estén protegidos y que los clientes se sientan seguros de realizar negocios.
De acuerdo al BSI[21]:
BS CIA 7799 es una guía de auditoría del Sistema de Gestión de Seguridad de la Información (ISMS) basada en los requisitos que deben ser cubiertos por la organización. Contiene especificaciones para certificar los dominios individuales de seguridad para poder registrarse a esta norma.
ISO 17799 define la seguridad de la información como la preservación de la confidencialidad, la integridad y la disponibilidad de la misma. Esta norma global basada en la norma BS 7799 que define las mejores prácticas para gestión de la seguridad de la información, consta de las siguientes partes:
Define un conjunto de objetivos principales e identifica un conjunto de controles de seguridad, que son medidas que se pueden adoptar para cumplir los objetivos de la norma.
Especifica los controles de seguridad que se pueden utilizar, basándose en los resultados de una evaluación de gestión de riesgos, como base para una certificación formal d una empresa TI bajo la norma BS 7799.
ISO 17799 establece la base común para desarrollar normas de seguridad de control de las organizaciones, definiendo diez dominios de control que cubren por completo la Gestión de la Seguridad de la Información.
Dominios:
Política de seguridad,
Aspectos organizativos para la seguridad,
Clasificación y control de activos,
Seguridad ligada al personal,
Seguridad física y del entorno,
Gestión de comunicaciones y de operaciones,
Control de accesos,
Desarrollo y mantenimiento de sistemas,
Gestión de continuidad del negocio, y
Conformidad.
El estándar fue creado por el Grupo de Gestión de Servicio de BSI, este grupo está conformado por expertos de la industria que representan distintas organizaciones e industrias, todos ellos con prácticas de excelencia en la Gestión de Servicio.
En la década de 1980 se inició su estudio con la publicación de un código de prácticas que cubría cuatro procesos centrales. En 1998 se sustituyó con los 13 procesos de la figura anterior, así la primer edición como estándar se publicó en el año 2000. Al mismo tiempo también se publicó el libro IT Service Management (PD 0015), este libro de trabajo es utilizado para la revisión de la calidad del proceso de servicio.[22]
Es el primer estándar mundial para la gestión de servicios de TI. Se dirige tanto a proveedores de la gestión de servicios, así como a empresas que subcontratan o gestionan sus propios requisitos.
BS 15000 especifica un conjunto de procesos de gestión interrelacionados basados en gran medida en el marco de trabajo ITIL y se pretende que formen una base de una auditoría del servicio gestionado.
En esencia, la norma BS 15000 contiene conceptos cuidadosamente concebidos que definen y demarcan los elementos que una organización debe tener en cuenta para estructurar y soportar los Servicios de IT a sus clientes, ya sean internos o externos.
El estándar BS 15000 consiste de 2 partes[23]:
La Parte 1 son las especificaciones del sistema de gestión, y contiene alrededor de 14 páginas de requisitos normativos. Está estructurado de acuerdo a las reglas para especificaciones fijadas por el BSI.
En general BS 15000 define lo que requiere hacer y cumplir una organización para alcanzar su certificación respecto al estándar. Cubre el cumplimiento de requisitos para:
El Sistema de Gestión (Management Systems),
El Planeamiento del servicio (Service Planning),
Las Relaciones entre procesos (Process Reationships),
La Estructuración del Servicio (Delivery Service),
El Control, y
La Liberación de Servicios (Release).
La Parte 2 del BS 15000 es conocida como el Code of Practice y se extiende en detalle sobre cada requisito, ofreciendo dirección y guía al Proveedor del Servicio que desee alcanzar el estándar.
Sigue la misma estructura de la Parte 1, pero es un poco menos formal en terminología. Provee guía y dirección practica respecto a como debe ser considerado el proceso, como debe ser documentado, que debería ser realizado, y que debería monitorearse para lograr una efectividad real del proceso en la práctica.
Su estructura y vocabulario está cuidadosamente manejado, logrando que las dos partes de la norma manejen los mismos conceptos y sean totalmente complementarias.
El informe es un manual de control interno que publica el Instituto de Auditores Internos de España en colaboración con la empresa de auditoría Coopers & Lybrand. En control interno lo último que ha habido es el informe COSO (Sponsoring Organizations of the Treadway Commission), es denominado así, porque se trata de un trabajo que encomendó el Instituto Americano de Contadores Públicos, la Asociación Americana de Contabilidad, el Instituto de Auditores Internos que agrupa a alrededor de cincuenta mil miembros y opera en aproximadamente cincuenta países, el Instituto de Administración y Contabilidad, y el Instituto de Ejecutivos Financieros. Ha sido hecho para uso de los consejos de administración de las empresas privadas en España y en los países de habla hispana.[24]
Normalmente en organizaciones medianas o grandes el implantar o monitorear un sistema de control interno sano se enfrentan a todo un desafío.
COSO[25] es una herramienta que puede asistirlo en la evaluación, auditoría, documentación, mejora y seguimiento del sistema de control interno.
COSO permite facilitar las actividades de los encargados del control interno, auditores internos y externos, y gerencias de las organizaciones preocupadas por mejorar sus resultados.
Esta herramienta permite construir o mejorar en sistema de control interno (total o parcial por ejemplo solo acotado al objetivo información contable) y de este modo recibir con tranquilidad la evaluación de los auditores externos que podrán así efectuar su tarea de atestiguamiento en forma más rápida y eficaz.
Según el informe COSO, los componentes que se interrelacionan para alcanzar los objetivos son los siguientes[26].
Elemento que proporciona disciplina y estructura, el ambiente de control se denomina en función de la integridad y competencia del personal de una organización; los valores éticos son un elemento esencial que afectan otros elementos del control
Es la identificación y análisis de os riesgos que se relacionan con el logro de los objetivos; la administración debe cuantificar la magnitud, proyectar su probabilidad y sus posibles consecuencias:
En la dinámica actual de los negocios se debe prestar atención a diversos factores, entre ellos los avances tecnológicos.
Ocurren a lo largo de la Organización en todos los niveles y en todas las funciones, incluyendo los procesos de aprobación, autorización, conciliaciones, etc. Las actividades de control se clasifican en:
Controles preventivos,
Controles detectivos,
Controles correctivos,
Controles manuales y de usuarios,
Controles de cómputo o de tecnología de información, y
Controles administrativos.
Los controles internos deben ser “monitoreados” constantemente para asegurar que el proceso se encuentra operando como se planeó y comprobar que son efectivos ante los cambios de las situaciones que les dieron origen.
Las actividades de monitoreo constante pueden ser implantadas en los propios procesos del negocio a través de evaluaciones separadas de la operación, es decir, mediante la auditoría interna o externa.
MAGERIT[27] es una metodología de análisis y gestión de riesgos de los sistemas de información de las administraciones públicas, emitida en el año 1997 por el Consejo Superior de Informática[28] y recoge las recomendaciones de las directivas de la Unión Europea en materia de seguridad de sistemas de información.
Esta metodología presenta un objetivo definido en el estudio de los riesgos que afectan los sistemas de información y el entorno de ellos haciendo unas recomendaciones de las medidas apropiadas que deberían adoptarse para conocer, prevenir, evaluar y controlar los riesgos investigados.
MAGERIT desarrolla el concepto de control de riesgos en las guías de procedimientos, técnicas, desarrollo de aplicaciones, personal y cumplimiento de normas legales.
MAGERIT persigue los siguientes objetivos:
Concienciar a los responsables de los sistemas de información de la existencia de riesgos y de la necesidad de atenderlos a tiempo,
Ofrecer un método sistemático para analizar tales riesgos,
Ayudar a descubrir y planificar las medidas oportunas para mantener los riesgos bajo control, y
Apoyar la preparación a la organización para procesos de evaluación, auditoría, certificación o acreditación, según corresponda en cada caso.
Asimismo, se ha cuidado la uniformidad de los informes que recogen los hallazgos y las conclusiones de un proyecto de análisis y gestión de riesgos: modelo de valor, mapa de riesgos, evaluación de salvaguardas, estado de riesgo, informe de insuficiencias, y plan de seguridad.
Actualmente las organizaciones están expuestas a ataques que propicien la pérdida de información y fraudes, para minimizar los riesgos de fraude, las empresas se requieren revisar, evaluar y fortalecer sus propios controles internos.
La ley Sarbanes-Oxley, emitida por el gobierno estadounidense el 30 de julio de 2002, fue preparada a partir de los escándalos financieros de los últimos años y establece una serie de nuevos requisitos tanto para las empresas estadounidenses como para las extranjeras, tenedoras y subsidiarias, que cotizan en la bolsa de valores estadounidense (New York Stock Exchange, NYSE), con la idea de regular el gobierno corporativo.
Estos requerimientos deberían estar cumplidos a partir del 15 de diciembre de 2003, pero la Comisión de Valores de Estados Unidos (Security Exchange Commision,SEC) ya dio, el pasado mes de mayo, una prórroga para las empresas extrajeras de dos años, no más allá del 31 de julio de 2005. Para las empresas estadounidenses la prórroga es de sólo un año, no más allá del 31 de octubre de 2004.[29]
La ley Sarbanes-Oxley, tiene como objetivo crear un marco transparente para las actividades de las empresas multinacionales que cotizan en la Bolsa.
Esta ley estadounidense contempla una revisión mucho más rigurosa de los datos financieros que una empresa declara en sus estados financieros y que utiliza para sus controles internos[30].
Sin embargo, el control interno es un proceso efectuado por los niveles directivos y gerenciales, diseñado con el objeto de proporcionar un grado de seguridad razonable en cuanto a la consecución de objetivos dentro de sus áreas, teniendo como principales objetivos:
Efectividad y eficiencia de las operaciones,
Confiabilidad de la información financiera,
Cumplimiento de las normas y leyes que sean aplicables, y
Salvaguardia de los recursos.
Esta ley lleva mucho más lejos las disposiciones sobre la obligación de la gerencia de asegurar adecuados controles internos por lo que cuenta con una sección de normas y reglas que dispone que los auditores deben incluir lo siguiente:
El alcance de las pruebas del auditor de la estructura de control interno,
Los hallazgos del auditor con respectos a dicha pruebas, y
Una evaluación sobre dicha estructura de control.
Dentro de esta ley existen 3 secciones que involucran directamente al departamento de TI y que son la 302, 404 y 409, cuyo contenido se explica brevemente a continuación[31].
La cláusula 302. Habla de la obligación de generar reportes donde muestren el resultado financiero de la empresa[32] y que este debe de estar avaluado en cuanto a su integridad.
La cláusula 404 nos dice que deben existir procedimientos[33] y políticas [34] que aseguren la integridad de la información así como la disponibilidad de ella.
Por último la cláusula 409 indica que toda organización debe de notificar en menos de 48 hrs. cuando uno de los procesos de la cadena de proveedores no va a ser entregado a tiempo[35] y esto afecte de manera seria a las ventas[36] de la organización.
[15] [bib-ti-complejos]
[16] [bib-guia-17799]
[17] [bib-guia-17799]
[19] [bib-sun-itil]
[20] [bib-conceptos-itil]
[21] Gestión de la seguridad de la información ISO 17799- S2 Grupo –
[22] http://www.nhmadrid.com/itil_bs15000.htm
[23] .: Ingeniero de Sistemas. / Socio consultor de AUDISIS / Líder de proyectos de adopción de ITL en Argentina y Venezuela
[26] V Reunión de Auditores Internos de Banca Central Exposición de Banco de México
[27] Ministerio de Administraciones Públicas, Madrid, 16 de junio de 2005
[29] [bib-rusbacki-2004]