1. CONTROLES DE AUDITORIA<br />Introducción.- La naturaleza especializada de la auditoría de los sistemas de información y las habilidades necesarias para llevar a cabo este tipo de auditorías, requieren el desarrollo y la promulgación de Normas Generales para la Auditoría de los Sistemas de Información.<br />La auditoría de los sistemas de información se define como cualquier auditoría que abarca la revisión y evaluación de todos los aspectos de procesamiento de la información.<br />En el caso de la auditoría en informática, la planeación es fundamental, pues habrá que hacerla desde el punto de vista de los dos objetivos: <br />Evaluación de los sistemas y procedimientos.<br />Evaluación de los equipos de cómputo.<br />Consta de:<br />Evaluación de los Sistemas<br />Evaluación de los diferentes sistemas en operación (flujo de información, procedimientos, documentación, redundancia, organización de archivos, estándares de programación, controles, utilización de los sistemas).<br />Evaluación del avance de los sistemas en desarrollo y congruencia con el diseño general<br />Evaluación de prioridades y recursos asignados (humanos y equipos de cómputo)<br />Seguridad física y lógica de los sistemas, su confidencialidad y respaldos <br />Evaluación de los equipos<br />Capacidades<br />Utilización<br />Nuevos Proyectos<br />Seguridad física y lógica<br />Evaluación física y lógica<br />Controles administrativos en un ambiente de Procesamiento de DatosLa máxima autoridad del Área de Informática de una empresa o institución debe implantar los siguientes controles que se agruparan de la siguiente forma:1.- Controles de Preinstalación<br />2.- Controles de Organización y Planificación<br />3.- Controles de Sistemas en Desarrollo y Producción<br />4.- Controles de Procesamiento<br />5.- Controles de Operación<br />6.- Controles de uso de Microcomputadores<br />Controles de Preinstalación<br />Hacen referencia a procesos y actividades previas a la adquisición e instalación de un equipo de computación y obviamente a la automatización de los sistemas existentes.<br />Objetivos:<br />Garantizar que el hardware y software se adquieran siempre y cuando tengan la seguridad de que los sistemas computarizados proporcionaran mayores beneficios que cualquier otra alternativa. <br />Garantizar la selección adecuada de equipos y sistemas de computación <br />Asegurar la elaboración de un plan de actividades previo a la instalación<br />Acciones a seguir:<br />Elaboración de un informe técnico en el que se justifique la adquisición del equipo, software y servicios de computación, incluyendo un estudio costo-beneficio. <br />Formación de un comité que coordine y se responsabilice de todo el proceso de adquisición e instalación<br />Elaborar un plan de instalación de equipo y software (fechas, actividades, responsables) el mismo que debe contar con la aprobación de los proveedores del equipo.<br />Elaborar un instructivo con procedimientos a seguir para la selección y adquisición de equipos, programas y servicios computacionales. Este proceso debe enmarcarse en normas y disposiciones legales.<br />Efectuar las acciones necesarias para una mayor participación de proveedores.<br />Asegurar respaldo de mantenimiento y asistencia técnica. <br />EL PROCESO DE AUDITORIA EN LOS SISTEMAS DE LA INFORMACIÓN <br />El proceso de auditoria en cualquier área siempre corresponderá a un tipo de proceso y actividad altamente especializado y para cuyo desempeño serán necesarias la adquisición de un amplio conjunto de conocimientos además del desarrollo de habilidades obligatorias y aptitudes personales para el trato directo con profesionales de diferentes ámbitos. <br />Por definición, La auditoria de los sistemas de información será aquella auditoria que abarca la revisión y evaluación de todos los aspectos de procesamiento de la información <br />A partir de la información recolectada mediante el contacto con los usuarios, administradores, propietarios y custodios de la información, se especificará un programa de trabajo, incluyendo planificación de tareas, definición de presupuestos, asignación de tareas e información adicional o nuevas rondas de entrevistas que se solicitarán al cliente, en caso de ser necesaria una mayor cantidad de información<br />Otro grupo de controles o tareas a llevar a cabo serán los orientados a supervisar la organización y la planificación de actividades, estudiando para esto las funciones, líneas de autoridad y responsabilidades de los diferentes elementos integrados en el área sometida a estudio. <br />CONTROLES DE ORGANIZACIÓN Y PLANIFICACIÓN<br />CONTROL<br />Introducción<br />El control ha sido definido bajo dos grandes perspectivas, una perspectiva limitada y una perspectiva amplia. Desde la perspectiva limitada, el control se concibe como la verificación a posteriori de los resultados conseguidos en el seguimiento de los objetivos planteados y el control de gastos invertido en el proceso realizado por los niveles directivos donde la estandarización en términos cuantitativos, forma parte central de la acción de control.<br />Bajo la perspectiva amplia, el control es concebido como una actividad no sólo a nivel directivo, sino de todos los niveles y miembros de la entidad, orientando a la organización hacia el cumplimiento de los objetivos propuestos bajo mecanismos de medición cualitativos y cuantitativos. <br />2. Definición de control<br />El concepto de control es muy general y puede ser utilizado en el contexto organizacional para evaluar el desempeño general frente a un plan estratégico.<br />La palabra control tiene muchas connotaciones y su significado depende de la función o del área en que se aplique; puede ser entendida: <br />Como la función restrictiva de un sistema para mantener a los participantes dentro de los patrones deseados y evitar cualquier desvío. Es el caso del control de frecuencia y expediente del personal para evitar posibles abusos. Hay una imagen popular según la cual la palabra control está asociada a un aspecto negativo, principalmente cuando en las organizaciones y en la sociedad es interpretada en el sentido de restricción, coerción, limitación, dirección, refuerzo, manipulación e inhibición.<br />También hay otras connotaciones para la palabra control:<br />Comprobar o verificar;<br />Regular;<br />Comparar con un patrón;<br />Ejercer autoridad sobre alguien (dirigir o mandar);<br />Frenar o impedir.<br />Evidentemente todas esas definiciones representan concepciones incompletas del control, quizás definidas en un modo subjetivo y de aplicación; en definitiva, debe entenderse el control como: <br />CONTROLES DE ORGANIZACIÓN Y PLANIFICACIÓN<br />Se refiere a la definición clara de funciones, linea de autoridad y responsabilidad de las diferentes unidades del área PAD, en labores tales como:<br />Diseñar un sistema<br />Elaborar los programas<br />Operar el sistema<br />Control de calidad<br />Se debe evitar que una misma persona tenga el control de toda una operación.<br />Es importante la utilización óptima de recursos en el PAD mediante la preparación de planes a ser evaluados continuamente<br />Acciones a seguir<br />La unidad informática debe estar al mas alto nivel de la pirámide administrativa de manera que cumpla con sus objetivos, cuente con el apoyo necesario y la dirección efectiva. <br />Las funciones de operación, programación y diseño de sistemas deben estar claramente delimitadas. <br />Deben existir mecanismos necesarios a fin de asegurar que los programadores y analistas no tengan acceso a la operación del computador y los operadores a su vez no conozcan la documentación de programas y sistemas. <br />Debe existir una unidad de control de calidad, tanto de datos de entrada como de los resultados del procesamiento. <br />El manejo y custodia de dispositivos y archivos magnéticos deben estar expresamente definidos por escrito. <br />Las actividades del PAD deben obedecer a planificaciones a corto, mediano y largo plazo sujetos a evaluación y ajustes periódicos quot;
Plan Maestro de Informáticaquot;
<br />Debe existir una participación efectiva de directivos, usuarios y personal del PAD en la planificación y evaluación del cumplimiento del plan. <br />Las instrucciones deben impartirse por escrito. <br />La planificación proporciona estándares (indicadores) de control contra los cuales puede medirse el desempeño. Si existe una desviación significativa entre el desempeño real y el planeado, puede tomarse una acción correctiva. Un ejemplo claro de los planes empleados como estándares de control se pueden encontrar en los presupuestos.<br />Fase de control. Monitorización del trabajo realizado analizando cómo el progreso difiere de lo planificado e iniciando las acciones correctivas que sean necesarias. Incluye también el liderazgo, proporcionando directrices a los recursos humanos, subordinados (incluso subcontratados) para que hagan su trabajo de forma efectiva y a tiempo.<br />Los periodos generales de duración los podemos ver a continuación:<br /> Estas etapas citadas presentan, sin embargo, características bastante diferentes según se trate de proyectos internos o de proyectos externos. Las principales diferencias aparecen en la etapa de planificación. En el proyecto externo existen un conjunto de acciones que se relacionan con la necesidad de presentar una oferta al cliente y lograr la adjudicación del contrato en competencia con otras empresas o personas. <br />Acciones a seguir mediante el Control.-<br />La unidad informática debe estar al mas alto nivel de la pirámide administrativa de manera que cumpla con sus objetivos, cuente con el apoyo necesario y la dirección efectiva.<br />Las funciones de operación, programación y diseño de sistemas deben estar claramente delimitadas.<br />Deben existir mecanismos necesarios a fin de asegurar que los programadores y analistas no tengan acceso a la operación del computador y los operadores a su vez no conozcan la documentación de programas y sistemas.<br />Debe existir una unidad de control de calidad, tanto de datos de entrada como de los resultado del procesamiento.<br />El manejo y custodia de dispositivos y archivos magnéticos deben estar expresamente definidos por escrito.<br />Las actividades del PAD deben obedecer a planificaciones a corto, mediano y largo plazo sujetos a evaluación y ajustes periódicos “Plan Maestro de Informática”<br />Debe existir una participación efectiva de directivos, usuarios y personal del PAD en la planificación y evaluación del cumplimiento del plan.<br />Las instrucciones deben impartirse por escrito.<br />Control de la Organización y Planificación<br />Una vez determinado el alcance de la ITSCM, analizados los riesgos y vulnerabilidades y definidas unas estrategias de prevención y recuperación es necesario asignar y organizar los recursos necesarios. Con ese objetivo la Gestión de la Continuidad del Servicio debe elaborar una serie de documentos entre los que se incluyen:<br />Plan de prevención de riesgos.<br />Plan de gestión de emergencias.<br />Plan de recuperación.<br />Plan de prevención de riesgos<br />Cuyo objetivo principal es el de evitar o minimizar el impacto de un desastre en la infraestructura TI.<br />Entre las medidas habituales se encuentran:<br />Almacenamiento de datos distribuidos.<br />Sistemas de alimentación eléctrica de soporte.<br />Políticas de back-ups.<br />Duplicación de sistemas críticos.<br />Sistemas de seguridad pasivos.<br />Plan de gestión de emergencias<br />Las crisis suelen provocar quot;
reacciones de pánicoquot;
que pueden ser contraproducentes y a veces incluso más dañinas que las provocadas por el incidente que las causo. Por ello es imprescindible que en caso de situación de emergencia estén claramente determinadas las responsabilidades y funciones del personal así como los protocolos de acción correspondientes.<br />En principio los planes de gestión de emergencias deben tomar en cuenta aspectos tales como:<br />Evaluación del impacto de la contingencia en la infraestructura TI.<br />Asignación de funciones de emergencia al personal de servicio TI.<br />Comunicación a los usuarios y clientes de una grave interrupción o degradación del servicio.<br />Procedimientos de contacto y colaboración con los proveedores involucrados.<br />Protocolos para la puesta en marcha del plan de recuperación correspondiente.<br />Plan de recuperación<br />Cuando la interrupción del servicio es inevitable llego el momento de poner en marcha los procedimientos de recuperación.<br />El plan de recuperación debe incluir todo lo necesario para:<br />Reorganizar al personal involucrado.<br />Reestablecer los sistemas de hardware y software necesarios.<br />Recuperar los datos y reiniciar el servicio TI.<br />Los procedimientos de recuperación pueden depender de la importancia de la contingencia y de la opción de recuperación asociada (quot;
cold o hot stand-byquot;
), pero en general involucran:<br />Asignación de personal y recursos.<br />Instalaciones y hardware alternativos.<br />Planes de seguridad que garanticen la integridad de los datos.<br />Procedimientos de recuperación de datos.<br />Contratos de colaboración con otras organizaciones.<br />Protocolos de comunicación con los clientes.<br />Cuando se pone en marcha un plan de recuperación no hay espacio para la improvisación, cualquier decisión puede tener graves consecuencias tanto en la percepción que de nosotros tengan nuestros clientes como en los costes asociados al proceso.<br />