GTAG_1_ES- Controles TI.pdf

7/27/2019 GTAG_1_ES- Controles TI.pdf

1/67


2/67

Gua de Auditora de Tecnologa Global

Controles de tecnologa de la informacin

Autores:

David A. Richards, Presidente, El IIAAlan S. Oliphant, MIIA, QiCA, MAIR International

Charles H. Le Grand, CIA, CHL Global

Marzo 2005

Copyright 2005 del Instituto de Auditores Internos, 247 Maitland Avenue, Altamonte Springs, Florida 32701-4201.Todos los derechos reservados. Impreso en Estados Unidos. Ninguna parte de esta publicacin puede ser reproducida,

guardada en un sistema de recuperacin o transmitida en forma alguna ni por ningn medio, sea electrnico, mecnico,fotocopia, grabacin, o cualquier otor, sin obtener previamente el permiso por escrito del editor.

El IIA publica este documento con fines de informativos y educativos. Este documento tiene como propsito bindar infor-macin, pero no sustituye el asesoramiento legal o contable. El IIA no ofrece ese tipo de asesoramiento y no garantizaningn resultado legal ni contable por medio de la publicacin de este documento. Cuando surgen cuestiones legales o

contables, se debe recurrir y obtener asistencia profesional.


3/67i

GTAG ndice

Captulo 1Resumen ejecutivo................................................................................................................................................................ 1

Captulo 2Introduccin.......................................................................................................................................................................... 3

Captulo 3Evaluacin de controles de TI Una perspectiva ...................................................................................................................... 4

Captulo 4Comprensin de los controles de TI ........................................................................................................................................ 5

Captulo 5Importancia de los controles de TI ........................................................................................................................................ 13

Captulo 6Funciones de TI en la organizacin ........................................................................................................................................ 14

Captulo 7

Anlisis de riesgos ................................................................................................................................................................ 19

Captulo 8Supervisin y tcnicas .......................................................................................................................................................... 23

Captulo 9Evaluacin............................................................................................................................................................................ 26

Captulo 10Conclusin .......................................................................................................................................................................... 29

Captulo 11Apndice A Elementos de un programa de seguridad de la informacin ................................................................................ 30

Captulo 12Apndice B Cumplimiento con la legislacin ...................................................................................................................... 31

Captulo 13Apndice C Las tres categoras de conocimientos de TI para los auditores internos ................................................................ 35

Captulo 14Apndice D Esquemas de cumplimiento .............................................................................................................................. 37

Captulo 15Apndice E - Evaluacin de los controles de TI mediante COSO ............................................................................................ 45

Captulo 16Apndice F - Objetivos de control de informacin y tecnologas relacionadas (CobiT) de ITGI ................................................ 47

Captulo 17Apndice G Ejemplo de mtricas de control de TI .............................................................................................................. 49

Captulo 18Apndice H Cuestionario del DEA .................................................................................................................................... 52

Captulo 19Apndice I Referencias ...................................................................................................................................................... 54

Captulo 20Apndice J Glosario .......................................................................................................................................................... 56


4/67

GTAG ndice

Captulo 21Apndice K Sobre la GTAG ................................................................................................................................................58

Captulo 22Apndice L Socios y Equipo Global del Proyecto GTAG ........................................................................................................59

ii


5/67

La gua Controles de Tecnologa de la Informacin de la GTAGdescribe el conocimiento que necesitan los miembros de losrganos de gobierno, los ejecutivos, los profesionales de TI ylos auditores internos para tratar los temas de control de latecnologa y su impacto en el negocio. Otros profesionalespueden encontrar orientaciones prcticas y relevantes. Estagua proporciona informacin sobre marcos de referenciadisponibles para la evaluacin de los controles de TI ydescribe cmo establecer un marco adecuado para una orga-nizacin. Por otra parte, establece el escenario para futurasGTAG que cubrirn, en mayor detalle, aspectos especficosde TI asociados con las funciones de negocio y las respons-abilidades.

Los objetivos de la Gua de Controles de TI son: Explicar los controles de TI desde una perspectiva a

nivel ejecutivo. Explicar la importancia de los controles de TI dentro

del sistema global de controles internos. Describir las funciones y responsabilidades organizati-vas para asegurar que se enfoca adecuadamente eltratamiento de los controles de TI dentro del sistemaglobal de controles internos.

Describir los conceptos de riesgo inherente en uso yla gestin de la tecnologa en cualquier organizacin.

Describir el conocimiento bsico y el entendimientode los controles de TI, necesarios para el directorejecutivo de auditora interna para asegurar una eval-uacin efectiva de los controles de TI, por parte deauditora interna.

Describir los elementos relevantes del proceso de

evaluacin de los controles de TI, producido por lafuncin de auditora interna.

1.1 Introduccin de los Controles de TILos controles de TI no existen en forma aislada. Forman unacontinuidad interdependiente de proteccin, pero tambinpueden estar sujetos a una situacin comprometida debido aun enlace dbil. Estn sujetos a errores y a invalidaciones degestin, pueden abarcar desde simples hasta altamente tec-nificados y pueden existir en un entorno dinmico. Los con-troles tienen dos elementos significativos: la automatizacinde los controles de negocio y del control de TI. De estaforma, los controles de TI ayudan a la direccin y al gobier-

no del negocio, a la vez que proporcionan controles gen-erales y tcnicos sobre las infraestructuras de TI. La funcindel auditor interno en los controles de TI comienza con unentendimiento slido y conceptual y culmina, proporcionan-do los resultados de evaluaciones de riesgo y control. La real-izacin de auditoras internas implica una interaccinsignificativa con las personas que ocupan puestos de respon-sabilidad en cuanto a controles y requiere de un aprendizajecontinuo y de una reevaluacin permanente a medida quesurgen nuevas tecnologas y que hay cambios en las oportu-nidades, usos, dependencias, estrategias, riesgos y requerim-ientos de la organizacin.

1.2 Entendimiento y comprensin de loscontroles de TI

Los controles de TI proporcionan aseguramiento relaciona-do con la fiabilidad de la informacin y de los servicios deinformacin. Los controles de TI ayudan a mitigar los riesgosasociados con el uso de la tecnologa en una organizacin.Estos abarcan desde polticas corporativas hasta su imple-mentacin fsica dentro de instrucciones codificadas y desdela proteccin de acceso fsico, a travs del seguimiento deacciones y transacciones, hasta las responsabilidades individ-uales y desde ediciones automticas hasta anlisis de razon-abilidad para grandes conjuntos de datos.

Usted no necesita conocer todo acerca de los controlesde TI, pero recuerde los dos conceptos claves de control:

El aseguramiento debe ser proporcionado por los con-troles de TI dentro del sistema global de controlinterno y debe ser continuo y producir una pista de

evidencia fiable y continua. El aseguramiento del auditor es una evaluacin inde-pendiente y objetiva prioritaria. Se basa en elentendimiento, examen y evaluacin de los controlesclaves relacionados con los riesgos que gestionan, ascomo la ejecucin de pruebas suficientes para asegu-rar que los controles se disean adecuadamente y fun-cionan de forma efectiva y continuada.

Existen muchos marcos de referencia para categorizar loscontroles de TI y sus objetivos. Esta gua recomienda quecada organizacin use los componentes aplicables de marcosde referencia existentes para categorizar y evaluar sus con-troles de TI, a la vez que se proporciona y se documenta el

propio marco de referencia para lo siguiente: Cumplir con las regulaciones y legislacin aplicables. Lograr la consistencia con las metas y los objetivos de

la organizacin. Evidenciar de forma fiable (aseguramiento razonable)

que las actividades cumplen con las polticas de gob-ierno de la direccin y que son coherentes con elriesgo asumido por la organizacin.

1.3 Importancia de los Controles de TIMuchos temas llevan hacia la necesidad de tener controlesde TI, ellos abarcan desde la necesidad del control de costesy mantenimiento de la competitividad, hasta la necesidad de

cumplimiento con gobiernos internos y externos. Los con-troles de TI promueven la fiabilidad y la eficiencia y facilitanla adaptacin de la organizacin a entornos de riesgos cam-biantes. Cualquier control que mitigue o detecte fraudes oataques cibernticos aumenta la resistencia de la organi-zacin porque la ayuda a descubrir el riesgo y gestionar suimpacto. Esta resistencia es el resultado de un sistema fuertede controles internos porque una organizacin adecuada-mente controlada tiene la posibilidad de gestionar perfecta-mente desafos, retos o trastornos.

Los indicadores clave de controles eficaces de TI son lossiguientes:

1

GTAG Resumen ejecutivo 1


6/67

Capacidad para ejecutar y planificar trabajos nuevos,tal como la actualizacin de la infraestructura de TIque se requiere para admitir nuevos productos y servi-cios.

Proyectos de desarrollo entregados a tiempo y dentrodel presupuesto mediante los cuales se obtienen resul-tados eficaces en cuanto a costes y mejores ofertas enproductos y servicios en comparacin con los com-petidores.

Capacidad para asignar recursos de forma previsible. Consistencia en cuanto a disponibilidad y fiabilidad

de la informacin y de los servicios de TI a travs dela organizacin y sus clientes, los socios de negocio yotras interrelaciones externas.

Comunicaciones claras a la direccin sobre indi-cadores clave de controles eficaces.

Capacidad para proteger contra vulnerabilidades y

amenazas y capacidad de recuperacin rpida y efi-ciente desde cualquier perturbacin de servicios deTI.

Eficiencia en el uso de centros de asistencia al clienteo mesas de ayuda.

Conciencia en cuanto a seguridad de los usuarios ycultura de concienciacin sobre seguridad en toda laorganizacin.

1.4 Funciones y responsabilidades de TIDentro de la organizacin, en los ltimos aos, han apareci-do muchas y diversas funciones para puestos con responsabil-idades de control de TI y de propiedad de TI. Cada puesto de

trabajo dentro de los niveles de gobierno, de direccin, oper-ativos y tcnicos debe tener una descripcin clara de fun-ciones, responsabilidades y propiedad con respecto a loscontroles de TI para asegurar la asignacin de responsabili-dad en relacin con temas especficos. Esta seccin estdirigida a las funciones y responsabilidades del control de TIdentro de la organizacin y las asigna a posiciones especficasdentro de una estructura organizativa hipottica.

1.5 Evaluacin de riesgosLos controles de TI se seleccionan e implementan en fun-cin de los riesgos para cuya gestin estn diseados. Amedida que se identifican los riesgos, se determinan las

respuestas adecuadas y estas abarcan desde no hacer nada yaceptar el riesgo como un coste del negocio, hasta la apli-cacin de un amplio rango de controles especficos,incluyendo la contratacin de seguros. Esta seccin explicalos conceptos referentes a cundo aplicar los controles de TI.

1.6 Supervisin y tcnicasLa implementacin de una estructura formal de controlfacilita el proceso de identificar y evaluar los controles de TInecesarios para afrontar riesgos especficos. Un esquema decontrol es un mecanismo sistematizado de categorizacin decontroles, para asegurar que el espectro completo de control

est adecuadamente cubierto. Esta estructura puede ser for-mal o informal. Un enfoque formal satisfacer ms fcil-mente los diversos requerimientos regulatorios o estatutariospara aquellas organizaciones que estn sujetas a ellos. El pro-ceso de seleccionar o construir un esquema de control debeincluir todos los puestos de trabajo de una organizacin quetengan responsabilidad directa sobre los controles. La estruc-tura de control debera ser aplicada y utilizada por toda laorganizacin y no solamente por auditora interna.

1.7 Evaluacin del control de TILa evaluacin de los controles de TI es un proceso continuo.Los procesos de negocio cambian constantemente y a su vezla tecnologa evoluciona de forma permanente. Las ame-nazas aparecen a medida que se descubren nuevas vulnerabil-idades. Los mtodos de auditora mejoran a la par que losauditores adoptan un enfoque en el que los aspectos de con-

trol de TI, como soporte de los objetivos de negocio, tienenuna alta prioridad en la agenda.La gerencia proporciona mtricas e informes sobre los

controles de TI. Los auditores verifican su validez y opinansobre su vala. El auditor debe trabajar en estrecho contactocon la gerencia en todos los niveles y con el comit de audi-tora para ponerse de acuerdo sobre la validez y la efectividadde las mtricas y el aseguramiento de los informes.

2

GTAG Resumen ejecutivo 1


7/67

La tecnologa de la informacin es una parte esencial detodos los procesos que permiten a los negocios y a los gobier-nos lograr sus misiones y objetivos. La TI facilita las comuni-caciones locales y globales, a la vez que fomenta lacooperacin internacional empresarial. Los controles de TItienen dos componentes significativos: la automatizacin delos controles de negocio y el control de TI. Estos secundan lagestin y el gobierno empresarial y proporcionan controlesgenerales y tcnicos de las polticas, los procesos, los sistemasy el personal que conforman las estructuras de TI.

Los controles de TI no existen aislados. Forman una serieinterdependiente de proteccin, y pueden tambin versecomprometidos a causa de un punto dbil. Estn sujetos aerrores y negligencia gerencial, pueden variar desde simplesa altamente tcnicos y pueden existir en un entorno dinmi-co. Los controles de TI soportan el concepto de defensa enprofundidad, de tal forma que una sola debilidad no siempre

da como resultado un solo punto de fallo.Los controles existen para proteger los intereses de losaccionistas:

El capital del propietario. Los intereses de los clientes, tales como privacidad e

identidad. Las responsabilidades y aptitudes de los empleados

para demostrar que hicieron sus tareas de modo cor-recto.

La tranquilidad de la gerencia dada la seguridad queproporcionan los procesos automatizados.

El aseguramiento del control de TI se concentra en lacapacidad de los controles para proteger a la organizacin de

las amenazas ms importantes, a la vez que proporcionan evi-dencia de que los riesgos residuales muy improbablementecausarn daos significativos a la organizacin y a susaccionistas. Estos controles tambin son esenciales para ase-gurar la fiabilidad de los procesos e informes financieros.

3

Introduction 3GTAG Introduccin 2

Todo est conectado.

Cuando un administrador de seguridad selecciona las reglas en un archivo de configuracin del filtro de seguridad

(una tarea tcnica que requiere conocimiento y habilidades especficas), implementa una poltica (que puede o no

estar documentada) que, cuando se distribuye, determina los mensajes que sern o no permitidos dentro o fuera de

la red de comunicaciones, a la vez que establece los puertos a travs de los cuales estos pueden circular.

Su organizacin consigue un elemento de proteccin con sus filtros de seguridad, que es vital para la proteccin de

la informacin y de las infraestructuras donde esa informacin es recogida, procesada, almacenada y comunicada.


8/67

Cuando el Director Ejecutivo de Auditora (DEA) revisa yevala los controles de TI, debe preguntarse:

Qu queremos indicar por controles de TI? Por qu necesitamos los controles de TI? Quin es responsable de los controles de TI? Cundo es apropiado aplicar controles de TI? Dnde se aplican exactamente los controles de TI? Cmo realizamos las evaluaciones de los controles de

TI?El proceso de auditora proporciona una estructura formal

para encaminar los controles de TI dentro del sistema glob-al de controles internos. En la Figura 1, Estructura de audi-tora de TI, expuesta a continuacin, se divide la evaluacinen una sucesin lgica de pasos.

El papel del auditor interno en relacin con los con-troles de TI comienza con una comprensin conceptualclara de estos y culmina comunicando los resultados de las

evaluaciones de los riesgos y de los controles. Los auditoresinternos interactan con el personal responsable de loscontroles y deben perseverar en el aprendizaje y la reevalu-acin continuos, a medida que emergen nuevas tecnologasy que cambian las oportunidades, los usos, las dependen-cias, las estrategias, los riesgos y los requerimientos de laorganizacin.

Estructura

de

auditora

de

TI Comprensin de

los controles

Importancia de

los controles

de TI

Funciones yresponsabilidades

Basada en losriesgos

Tcnicas y

supervisin

Evaluacin

Gobierno, gestin, tcnica

General y aplicacin

Preventivo, detectivo, correctivo

Seguridad de la informacin

Fiabilidad y efectividad

Ventajas competitivas

Legislacin y regulacin

Anlisis de riesgosRespuesta a los riesgos

Controles de lnea base

Esquema de control

Frecuencia

Metodologas

Interrelacin del Comit de Auditora

Gobierno

Gestin

Auditora

GTAG Evaluacin de controles de TI Una perspectiva 3

4

Guardo seis hombres honestos y serviciales

(que me ensearon todo lo que s);

Sus nombres son Qu, Por Qu, Cundo,

Cmo, Dnde y Quin

Rudyard Kipling,

de Elephants Child

en Just So Stories.

Figura 1 Estructura de auditora de TI


9/675

COSO1 define el control interno como: Un proceso, efectu-ado por el Consejo de Administracin, la Direccin y elresto del personal de una organizacin, diseado para pro-porcionar un grado de seguridad razonable en cuanto a laconsecucin de objetivos dentro de las siguientes categoras:

Efectividad y eficiencia de operaciones. Fiabilidad de los informes financieros. Cumplimiento de las leyes y regulaciones aplicables.

Los controles de TI abarcan estos procesos que proporcionanaseguramiento para la informacin y los servicios de infor-macin y ayudan a mitigar los riesgos asociados con el uso dela tecnologa en la organizacin. Estos controles se extien-den desde las polticas corporativas escritas hasta su imple-mentacin en instrucciones codificadas, desde la proteccindel acceso fsico hasta la habilidad de rastrear acciones ytransacciones de los individuos responsables de estas, y desdeediciones automticas hasta anlisis de racionalidad para

grandes volmenes de datos.

4.1 Clasificaciones de los controlesLos controles se pueden clasificar para ayudar a entender suspropsitos y ver dnde se integran dentro del sistema globalde controles internos (Consulte la Figura 3, Algunas clasifica-ciones de los controles). A partir de la clara comprensin deestas clasificaciones, el analista y el auditor del controlpueden establecer mejor su situacin dentro de la estructurade control y responder preguntas claves como la siguiente:Son los controles de deteccin adecuados como para identi-ficar errores que pueden burlar los controles preventivos?Son los controles correctivos suficientes a fin de reparar loserrores una vez que han sido detectados? Una clasificacincomn de los controles de TI es controles generales versuscontroles de aplicacin.

Los controles generales (tambin conocidos como con-troles de infraestructura) se aplican a todos los componentesde sistemas, procesos y datos para una determinada organi-

zacin o entorno de sistemas. Los controles generalesincluyen, entre otros: polticas de seguridad de informacin,administracin, acceso y autenticacin, separacin de fun-ciones claves de TI, gestin de la adquisicin e imple-mentacin de sistemas, gestin de cambios, respaldo,recuperacin y continuidad del negocio.

Los controles de aplicacin estn relacionados con elmbito de los procesos individuales de negocio o sistemas deaplicacin. Incluyen controles tales como ediciones dedatos, separacin de funciones del negocio (ej. la iniciacinde transacciones versus autorizacin), cuadre de totales deprocesos, registro de transacciones e informes de error. Lafuncin de un control es altamente relevante para la evalu-

acin de su diseo y efectividad. Los controles se puedenclasificar como preventivos, de deteccin, o correctivos.

Los controles preventivos impiden que se cometanerrores, omisiones o incidentes de seguridad. Los ejemplos

Controles

de TI

Comprensinde

loscontroles

Importancia

deloscontroles

deTI

Funcione

s y

respon

sabilidade

sBasadaen

losriesgos

Tcnicasy

supervisin

Evalua

cin

GTAG Comprensin de los controles de TI 4

1 COSO Comit de Organizaciones Patrocinadoras para la Comisn Treadway sobre informe financiero fraudulento. Consulte www.coso.org.

No es necesario conocer todo acerca de los controles de TI.

No se preocupe si no entiende la serie completa o todas las tcnicas complejas de los controles de TI. Muchos de

estos controles son del dominio de especialistas que manejan riesgos especficos asociados a los componentes individ-

uales de los sistemas y de la infraestructura de la red. Segn las buenas prcticas de separacin de funciones, puede

ocurrrir que algunas personas con conocimientos especializados en una tecnologa, como la gestin de bases de

datos, conozcan poco sobre componentes de red o protocolos de comunicacin y viceversa.

Hay dos conceptos claves de control a recordar:

1. El aseguramiento debe ser proporcionado por los controles de TI dentro del sistema global de control interno,

debe ser continuo y producir una pista de evidencia fiable y continua.

2. El aseguramiento del auditor es una evaluacin independiente y objetiva prioritaria. Se basa en el entendimien-

to, el examen y la evaluacin de los controles clave relacionados con los riesgos que gestionan, as como la eje-

cucin de pruebas suficientes para asegurar que los controles se diseen apropiadamente y funcionen

efectivamente.

Figura 2


10/67

incluyen ediciones simples de entrada de datos que impidenque se ingresen caracteres alfanumricos en campos numri-cos, controles de acceso que protegen la informacin sensibleo los recursos de sistemas contra el ingreso de personas noautorizadas y controles tcnicos dinmicos y complejos talescomo software antivirus, filtro de seguridad y sistemas de pre-vencin de intrusos.

Los controles de deteccin didentifican errores o inci-dentes que eluden a los controles preventivos. Por ejemplo,un control de deteccin puede identificar nmeros de cuen-

tas inactivas o de cuentas que han sido marcadas para super-visar y detectar actividades sospechosas. Los controlesdetectivos pueden tambin incluir supervisin y anlisis paradejar al descubierto actividades o acontecimientos que exce-den lmites autorizados o violan patrones definidos en datosque pueden indicar una manipulacin incorrecta. Para lascomunicaciones electrnicas sensibles, los controles dedeteccin pueden indicar que un mensaje se ha corrompidoo que la identificacin segura del remitente no puede ser aut-enticada.

Los controles correctivos corrigen errores, omisiones,o incidentes una vez que se han detectado. Van desde la cor-reccin simple de errores de entrada de datos hasta la iden-

tificacin y eliminacin de usuarios o software sinautorizacin en sistemas o redes, hasta la recuperacin anteincidentes, interrupciones o desastres.

Generalmente, es ms eficiente prevenir errores o detec-tarlos tan prximos a su origen como sea posible para simpli-ficar su correccin. Estos procesos correctivos deben tambinestar sujetos a controles preventivos y de deteccin, porquerepresentan otra oportunidad de errores, omisiones o falsifi-cacin.

Muchas otras clasificaciones de controles descritas en estagua pueden ser tiles en la evaluacin de su efectividad. Porejemplo, los controles automatizados tienden a ser ms

fiables que los controles manuales y los controles no discre-cionales pueden ser aplicados consistentemente de formams probable que los controles discrecionales. Otras clasifi-caciones de control incluyen los siguientes: control obligato-rio, voluntario, complementario, compensatorio,redundante, continuo, a pedido, e impulsado por eventos.

4.2 Controles de gobierno, de gestin ytcnicos

Otra clasificacin comn de controles es la que se estableceen funcin del grupo responsable de asegurar su imple-mentacin y mantenimiento correctos. A fin de evaluar lasfunciones y responsabilidades, esta gua categoriza principal-mente los controles de TI como controles de gobierno, degestin y tcnicos. Los elementos del programa de seguridadde la informacin para estas tres categoras se describen en elApndice A. Los primeros dos niveles gobierno y gestin

son los ms aplicables segn el alcance de la gua, si bientambin pueden ser tiles para entender cmo se establecenespecficamente los controles de alto nivel dentro de lasinfraestructuras tcnicas de TI. Los controles tcnicos sernmateria de un tema ms especfico de las Guas de Auditorade Tecnologa Global (GTAG, en ingls).

4.2.1 Controles de gobiernoLa responsabilidad primaria por el control interno reside enel Consejo de Administracin en su papel de encargado dela estructura de gobierno. El control de TI a nivel de gobier-no implica asegurar la gestin efectiva de la informacin,garantizar que existan principios de seguridad, polticas,

gestin de procesos y mtricas de cumplimiento y rendimien-to que demuestren un soporte continuado para esa estruc-tura.

Los controles de gobierno son aquellos promulgados ocontrolados por el Consejo de Administracin en su conjun-to o por un Comit de Direccin conjuntamente con ladireccin ejecutiva de la organizacin. Estos controles estnvinculados a los conceptos de gobierno corporativo, ambosinducidos por las metas y estrategias de la organizacin y porlos grupos exteriores tales como los organismos de control.

Una distincin importante entre el gobierno y los con-troles de la direccin es el concepto de narices adentro,dedos afuera. La responsabilidad del Consejo implica super-

visin ms que ejecucin real de las actividades del control.Por ejemplo, el comit de auditora del Consejo no audita,pero supervisa ambas auditoras de la organizacin, la audi-tora interna y la externa.

4.2.2 Controles de gestinLa responsabilidad de la direccin sobre los controles inter-nos implica tpicamente llegar a todas las reas de la organi-zacin con especial atencin en los activos crticos, lainformacin sensible y las funciones operativas. Por lo tanto,una colaboracin estrecha entre los miembros del Consejo ylos gerentes ejecutivos es esencial. La gerencia debe cercio-


6

Controles de gobierno

Controles de gestin

Controles tcnicos

Loscon

troles

genera

lesLos

contro

les

deaplica

cin

Los

controles

preventivos

Los

controles

de

deteccin

Los

controles

correctivos

Figura 3 Algunas clasificaciones de los controles


11/67


7

rarse de que los controles de TI necesarios para lograr losobjetivos establecidos por la organizacin se aplican y asegu-ran que el proceso es fiable y continuo. Estos controles sondistribuidos como resultado de acciones deliberadas por lagerencia a fin de lograr lo siguiente:

Reconocer los riesgos de la organizacin, sus procesosy activos.

Promulgar mecanismos y procesos para mitigar y ges-

tionar riesgos (proteger, supervisar y medir resultados)

4.2.3 Controles tcnicosLos controles tcnicos forman el fundamento esencial queasegura la confiabilidad de prcticamente todo el resto de loscontroles de la organizacin. Por ejemplo, la proteccin con-tra accesos no autorizados e intrusiones, estos proporcionanla base para la confianza en la integridad de la informacinincluida la evidencia de todos los cambios y su autentici-dad. Estos controles son especficos para las tecnologasusadas dentro de las infraestructuras de TI de la organi-zacin. La capacidad para automatizar controles tcnicos queimplementen y demuestren cumplimiento con las polticas

planificadas de la direccin, basadas en la informacin, es unrecurso importante para la organizacin.

4.3 Controles de TI Qu esperarLos mecanismos individuales de control que un DEA puedeesperar dentro de la organizacin se definen dentro de la jer-arqua de los controles de TI, desde las declaraciones depoltica de alto nivel emitidas por la direccin y refrendadaspor el consejo de administracin hasta los mecanismosespecficos de control incorporados en los sistemas de apli-cacin.

La jerarqua en la Figura 4, Controles de TI, representa un

enfoque lgico de tipo descendente, tanto cuando se con-sideran controles para implementar como cuando se deter-minan las reas en las cuales centrar los recursos deauditora durante las revisiones del entorno operativo de TIcompleto. Los diversos elementos de la jerarqua no sonmutuamente exclusivos; todos estn conectados y puedenmezclarse. Muchos de los tipos del control dentro de loselementos se describen en este captulo.

4.3.1 PolticasTodas las organizaciones necesitan definir su metas y obje-tivos mediante planes estratgicos y declaraciones de polti-

cas. Sin declaraciones claras de polticas y normas para la

direccin, las organizaciones se pueden desorientar y fun-cionar ineficazmente. Las organizaciones con metas y obje-tivos claramente definidos tienden a ser exitosas.

Dado que la tecnologa es vital para las operaciones de lamayora de las organizaciones, las declaraciones de polticasclaras con respecto a todos los aspectos de TI deben ser dis-eadas y aprobadas por la direccin, refrendadas por el con-sejo de administracin y comunicadas a todo el personal. Sepueden necesitar muchas y diferentes declaraciones depolticas, segn el tamao de la organizacin y el alcance delservicio de TI. Para organizaciones ms pequeas, una soladeclaracin de poltica puede ser suficiente, pero debe cubrirtodas las reas relevantes. Las organizaciones ms grandes

que implementan TI de manera amplia necesitarn polticasms detalladas y especficas.

Las declaraciones de polticas de TI incluyen, entre otras,las siguientes:

Una poltica general sobre el nivel de seguridad y pri-vacidad para toda la organizacin. Esta poltica debeser consistente con toda la legislacin nacional einternacional relevante y debe especificar el nivel decontrol y de seguridad requeridos segn la sensibili-dad del sistema y de los datos procesados.

Una declaracin sobre la clasificacin de la informa-cin y sobre los derechos de acceso en cada nivel. La

Polticas

Normas

Gobierno

Gestin

Tcnicos

Controles fsicos y

ambientales

Organizacin

y gestin

Control del software de sistemas

Controles basados en la aplicacin

Control de desarrollo de sistemas

Figura 4 Controles de TI

El Centro para la Seguridad de Internet (www.cisecurity.org) considera que aplicar controles consistentemente en

los sistemas y en la configuracin de los componentes de la red proteger a la organizacin contra ms del 85% de

las vulnerabilidades ms frecuentes identificadas por el Instituto Nacional de Normas y Tecnologa de Estados

Unidos (NIST, en ingls), la Oficina Federal de Investigacin (FBI, en ingls), el Instituto SANS y el Instituto de

Seguridad Informtica (CSI, en ingls).


12/67

poltica debe tambin definir cualquier limitacinrespecto a uso de la informacin por parte de las per-sonas con acceso autorizado.

Una definicin de los conceptos de la propiedad delos datos y sistemas, as como de la autoridad nece-saria para crear, modificar o eliminar informacin.Sin estas pautas, frecuentemente es difcil coordinarel cambio en organizaciones grandes porque es posi-ble que no exista alguien designado especficamenteque posee la responsabilidad total de los datos y lossistemas.

Una poltica general que define el grado en que losusuarios pueden distribuir las estaciones de trabajointeligentes para crear sus propias aplicaciones.

Las polticas de personal que definen y aplican condi-ciones al personal en reas sensibles. Esto incluye lainvestigacin de los antecedentes del personal nuevo,

antes de su incorporacin a la organizacin, realizandoadems pruebas anuales y haciendo que los empleadosfirmen acuerdos para aceptar las responsabilidades delos niveles de control, seguridad, y confidencialidadrequeridos. Esta poltica tambin debera detallar losrespectivos procedimientos disciplinarios.

Definiciones de los requisitos globales de planifi-cacin para la continuidad del negocio. Estas polti-cas deben asegurar de que se consideren todos losaspectos del negocio ante la posible ocurrencia deuna interrupcin o un desastre, no slo de los ele-mentos de TI.

Una buena fuente para las polticas y la seguridad de TI,

es la pgina de SANS (http://www.sans.org/ resources/poli-cies/#intro), que proviene de un proyecto de investigacincon consenso de la comunidad del Instituto SANS. Elproyecto ofrece ayudas gratis para el desarrollo y la imple-mentacin rpidos de polticas de seguridad referentes a lainformacin, incluidas plantillas de polticas para 24 requer-imientos importantes de seguridad. Si bien las plantillasfueron compiladas para ayudar a las personas que asistan alos programas de entrenamiento de SANS, SANS los ponea disponibilidad de todos porque la seguridad de Internetdepende de la vigilancia de todos los participantes.

4.3.2 Normas

Las normas sirven para apoyar los requerimientos de laspolticas. Intentan definir formas de trabajo que permitanalcanzar los objetivos requeridos de la organizacin. La adop-cin y el cumplimiento de las normas tambin promueve laeficacia porque no requiere que el personal reinvente larueda cada vez que se construye una aplicacin de negocionueva o se instala una red nueva. Las normas tambin per-miten que la organizacin mantenga todo el entorno deoperaciones de TI de manera ms eficiente.

Las organizaciones grandes y con recursos significativosestn en una posicin que les permite disear sus propiasnormas. En el sentido opuesto, las organizaciones ms

pequeas difcilmente tengan recursos suficientes para eseejercicio. Hay muchas fuentes de informacin sobre normasy mejores prcticas, algunas de las cuales se enumeran en elApndice I.

A modo de directriz, el DEA esperar encontrar normasadoptadas para los siguientes tems:

Procesos de desarrollo de sistemas. Cuando las orga-nizaciones desarrollan sus propias aplicaciones, lasnormas se aplican a los procesos para disear, desar-rollar, probar, implementar y mantener los sistemas yprogramas. Si las organizaciones externalizan el desar-rollo de aplicaciones o adquieren sistemas a provee-dores, el DEA debe comprobar que los acuerdosexijan a los proveedores la aplicacin de principiosque sean consistentes con las normas de la organi-zacin o aceptables para ella.

Configuracin del software de sistemas. Dado que el

software de sistemas proporciona un importante ele-mento de control en el entorno de TI, las normaspara asegurar las configuraciones del sistema, comolas de benchmark de CIS estn comenzando aganar amplia aceptacin en organizaciones destacadasy en proveedores de tecnologa. La forma en que losproductos como sistemas operativos, software deinterconexin de redes y sistemas gestores de bases dedatos son configurados puede aumentar la seguridad ocrear debilidades que pueden ser explotadas.

Controles de aplicaciones. Todas las aplicaciones quesoportan las actividades del negocio deben ser con-troladas. Las normas son necesarias para todas las

aplicaciones que la organizacin desarrolla o compraya que definen los tipos de controles que deben estarpresentes en todo el mbito de las actividades delnegocio, as como los controles especficos que sedeben aplicar a los procesos e informacin sensibles.

Estructuras de datos. Disponer de definiciones con-sistentes de datos a travs de toda la variedad de lasaplicaciones asegura que diferentes sistemas puedanacceder a los datos perfectamente y que los controlesde seguridad para los datos privados y sensibles seapliquen de modo uniforme.

Documentacin. Las normas deben especificar elnivel mnimo de la documentacin requerida para

cada sistema de aplicacin o instalacin de TI, ascomo para las diversas clases de aplicaciones, procesosy centros de procesamiento.

De la misma forma que las polticas, las normas deben seraprobadas por la direccin, deben estar redactadas en unlenguaje claro y comprensible y deben estar disponibles paratodos aquellos que las implementen.

4.3.3 Organizacin y gestinLa organizacin y la gestin desempean un papel importanteen todo el sistema de control de TI, como con cada aspecto delas operaciones de una organizacin. Una estructura apropiada


8


13/67


9

de organizacin permite que puedan definir lneas de reporte yresponsabilidad y que se puedan implementar sistemas de con-trol efectivos.

4.3.3.1 Separacin de funcionesLa separacin de funciones es un elemento vital para muchoscontroles. La estructura de una organizacin no debe asignarla responsabilidad de todos los aspectos del procesamiento dedatos a un solo individuo o departamento. Las funciones deiniciar, autorizar, ingresar, procesar y verificar datos se debenseparar para garantizar que ningn individuo pueda realizarambas funciones y crear un error, omisin, u otra irregulari-dad y autorizarlo y/o ocultar la evidencia. Los controles deseparacin de funciones en los sistemas de aplicacin se pro-porcionan al otorgar privilegios de acceso slo en funcin delos requerimientos del trabajo desempeado para procesarfunciones y ganar acceso a la informacin sensible.

La separacin tradicional de funciones en el entorno deTI se divide entre desarrollo de sistemas y operaciones. Elrea de Operaciones y Explotacin debe ser responsable deejecutar los sistemas de produccin, a excepcin de la dis-tribucin de los cambios, y debe tener poco o ningn contac-to con el proceso de desarrollo. Este control debe incluirrestricciones que impidan el acceso de los operadores paramodificar programas, sistemas o datos de produccin. Deigual manera, el personal de desarrollo de sistemas debetener poco contacto con los sistemas en produccin.Durante la implementacin y los cambios de procesos, alasignar funciones especficas al personal responsable de lossistemas de aplicacin y a los responsables de operaciones, se

puede impulsar la correcta separacin de funciones. En orga-nizaciones grandes, se deben considerar muchas otras fun-ciones para asegurar la separacin apropiada y esos controlespueden ser bastante detallados. Por ejemplo, las cuentasprivilegiadas, como el grupo administrador de Windows y desuperusuario en UNIX, pueden modificar registros de entra-da, obtener acceso a cualquier archivo y en muchos casosactuar como cualquier usuario o funcin. Es importanterestringir al mnimo el nmero de personas con este privile-gio. Tambin hay herramientas de software disponibles quese deben considerar para limitar la capacidad de los usuarioscon cuentas privilegiadas y para supervisar sus actividades.

4.3.3.2 Controles financierosDado que las organizaciones hacen inversiones considerablesen TI, son necesarios los controles presupuestarios y otroscontroles financieros para asegurar el rendimiento de la tec-nologa, el retorno de la inversin o los ahorros previstos.Deben existir procesos de gestin para recoger, analizar ybrindar informacin relacionada con esos aspectos.Desafortunadamente, los nuevos desarrollos de TI con fre-cuencia se ven afectados por estimaciones de costes masivosy no logran producir los ahorros previstos debido a una plan-ificacin insuficiente. Los controles presupuestarios puedenayudar a identificar tempranamente fallos potenciales en el

proceso, lo cual le permitir a la direccin tomar accionescategricas. Adems, esos controles pueden producir datoshistricos que luego las organizaciones utilizarn en proyec-tos futuros.

4.3.3.3 Gestin de cambiosLos procesos de gestin de cambios se consideran elementosde control gerenciales y organizativos. Esos procesos debenasegurar que los cambios de entorno de TI, software de sis-temas, sistemas de aplicacin y datos se apliquen de modo talque se cumpla la correcta separacin de funciones. Tales pro-cesos garantizan que los cambios se ejecuten segn lorequerido, a la vez que se impide que se los utilice conpropsitos fraudulentos, tambin revelan los costes ver-daderos de las ineficacias e interrupciones del sistema que sepueden llegar a ocultar como consecuencia de procesos inefi-caces de supervisin y reporte. La gestin de cambios es una

de las reas ms sensibles de los controles de TI y puedeimpactar seriamente en la disponibilidad del sistema y delservicio si no se administra con eficacia. El instituto ITProcess Institute ha publicado una investigacin en la que sedemuestra que la gestin eficaz de cambios de TI puede pro-porcionar ventajas significativas a las organizaciones.

4.3.3.4 Otros controles de gestinOtros controles tpicos de gestin incluyen la tarea de exam-inar los procedimientos para el personal nuevo, medir elrendimiento, proporcionar entrenamiento especializado alpersonal de TI y revisar los procedimientos disciplinarios.Estos controle se enumeran en los Elementos del Programa

de Seguridad de la Informacin en el Apndice A y serncubiertos en mayor detalle en otras publicaciones de GTAG.

4.3.4 Controles ambientales y fsicosPara muchas organizaciones, el equipo de TI representa unainversin considerable. Debe ser protegido contra dao, pr-dida accidental o deliberada. Los controles medio ambien-tales y fsicos, que fueron desarrollados originalmente paragrandes centros de datos de alojamiento de ordenadores,computadoras centrales, etc., son igualmente importantes enel mundo moderno de sistemas distribuidos cliente-servidory sistemas basados en la Web. Si bien el equipo de uso habit-ual hoy en da se disea para facilitar su utilizacin en un

entorno normal de oficina, su valor para el negocio, el costoy la sensibilidad de las aplicaciones que ejecutan procesos denegocio pueden ser significativos. Todo el equipo se debeproteger, incluidos los servidores y las estaciones de trabajoque permiten el acceso del personal a las aplicaciones.

Algunos controles tpicos ambientales y fsicos son los sigu-ientes:

Ubicar los servidores en salas cerradas con llave conacceso restringido.

Restringir el acceso al servidor a personas especficas. Proporcionar equipos de deteccin y extincin de incen-

dios.


14/67

Colocar el equipo, las aplicaciones y los datos sensibleslejos de peligros ambientales, como inundaciones enpisos inferiores o almacenamiento de lquidos inflam-ables.

Cuando se considera la seguridad fsica y ambiental, es tam-bin apropiado considerar la planificacin de contingenciastambin conocida como planificacin de recuperacin dedesastres que incluye respuestas a incidentes de seguridad.Qu har la organizacin si ocurre un incendio, una inun-dacin o cualquier otra amenaza? Cmo la organizacinrestaurar el negocio, sus instalaciones y servicios relaciona-dos para asegurar la continuidad del procesamiento normalcon mnimos efectos en las operaciones regulares? Este tipode planificacin va ms all de proporcionar una mera alter-nativa disponible para la capacidad de procesamiento de TIy de los habituales respaldos de los datos de produccin, debeconsiderar la logstica y coordinacin necesarias para el

mbito completo de las actividades del negocio. Finalmente,la historia constantemente demuestra que un plan de recu-peracin de desastres que no se ha probado satisfactoria-mente en una simulacin realista no es fiable.

4.3.5 Controles del software de sistemasLos productos del software de sistemas permiten al equipo deTI que los mismos sean utilizados por los sistemas de apli-cacin y los usuarios. Estos productos incluyen sistemas oper-ativos tales como Windows, UNIX y Linux; software de redy comunicaciones; software de filtro de seguridad; productosantivirus; y sistemas gestores de base de datos (DBMS) comoOracle y DB2.

El software de sistemas puede ser altamente complejo y seaplica a los componentes y dispositivos dentro del entornode sistemas y de red. Se configura para ajustarse a necesi-dades altamente especializadas y normalmente se requiere unalto grado de especializacin para su mantenimiento conseguridad. Las tcnicas de configuracin controlan el accesolgico a las aplicaciones, aunque algunos sistemas de apli-cacin contienen sus propios controles de acceso y puedenproporcionar una puerta de entrada para los piratas infor-mticos que deseen ingresar en un sistema. Adems, esas tc-nicas de configuracin tambin proporcionan los mediospara aplicar la separacin de funciones, generar pistas deauditora especializadas y aplicar controles de integridad de

datos mediante listas de control de acceso, filtros y registrosde actividad.

Se requieren auditores especialistas de TI para evaluar loscontroles en este rea. En las organizaciones pequeas, espoco probable que se tengan los recursos necesarios comopara contratar tales especialistas por lo que se debe consider-ar la externalizacin del trabajo. Independientemente deltipo de contratacin de auditores de TI, sea directa o porexternalizacin, estos deben poseer conocimientos muyespecficos y elevados. Gran parte de ese conocimientoproviene de la experiencia, pero adems el profesional sedebe actualizar constantemente para mantenerse al da y ser

til. La certificacin confirma que un especialista tcnico haadquirido un conjunto especfico de conocimientos y experi-encia, y que ha aprobado un examen al respecto. En elmundo de auditora de TI, entre los certificados globales seincluyen los siguientes: Calificacin en AuditoraInformtica (QiCA, en ingls) del IAI del Reino Unido eIrlanda; Auditor Certificado de Sistemas de Informacin(CISA, en ingls) disponible a travs de la Asociacin deAuditora y Control de Sistemas de Informacin (ISACA,en ingls); Certificacin Global del Aseguramiento de laInformacin (GIAC, en ingls), Auditor de Sistemas yRedes (GSNA, en ingls), del programa GIAC del InstitutoSANS. Otras certificaciones adicionales se centran en lacapacidad general y especializada en la seguridad de la infor-macin, administracin de redes y otras reas relacionadasestrechamente con la auditora de TI y son tiles para iden-tificar la aptitud potencial del auditor de TI.

Algunos controles tcnicos claves que el DEA debe esper-ar en un entorno de TI bien gestionado, son los siguientes: Derechos de acceso asignados y controlados segn la

poltica estipulada por la organizacin. Separacin de funciones impulsadas en su cumplim-

iento por medio del software de sistemas y de otroscontroles de configuracin.

Existencia de una evaluacin del intrusismo y de lavulnerabilidad, prevencin, deteccin y supervisincontinuas.

Pruebas de intrusin realizadas regularmente. Servicios de cifrado aplicados all donde la confiden-

cialidad es un requerimiento establecido.

Existencia de procesos de gestin de cambios, incluidala gestin de parches, para asegurar un proceso estric-tamente controlado de aplicacin de cambios y parch-es en los componentes de software, los sistemas, lasredes y los datos.

4.3.6 Controles de desarrollo y adquisicin desistema

Rara vez, las organizaciones adoptan una nica metodologapara todos los proyectos de desarrollo de sistemas. Lasmetodologas se suelen elegir para satisfacer las circunstan-cias particulares de cada proyecto. El auditor de TI debedeterminar si la organizacin desarrolla o adquiere sistemas

de aplicacin usando, o no, un mtodo controlado que pro-porcione posteriormente controles eficaces de las aplica-ciones y de los datos que procesan. Todos los sistemas deaplicacin informticos deben realizar solamente aquellasfunciones que el usuario requiera de manera eficiente. Por elexamen de los procedimientos de desarrollo de aplicaciones,el auditor puede obtener aseguramiento de que las aplica-ciones funcionan de manera controlada.

Algunas consideraciones de control bsico deben ser evi-dentes en los trabajos de desarrollo y adquisicin de sistemas:

Los requerimientos de usuario deben ser documenta-dos y sus logros deben ser medidos.


10


15/67


11

El diseo de sistemas debe seguir un proceso formalpara asegurarse de que los requerimientos y las fun-cionalidades de diseo estn incorporadas dentro delproducto terminado.

El desarrollo de sistemas se debe conducir de maneraestructurada para asegurar que los requerimientos y lascaractersticas del diseo estn incorporados en el pro-ducto terminado.

Las pruebas deben asegurar que los elementos individ-uales del sistema trabajen segn lo requerido, que lasinterfaces del sistema operen segn lo esperado, que losusuarios participen en el proceso de pruebas y que seproporcione la funcionalidad prevista.

Los procesos de mantenimiento de las aplicacionesdeben asegurar que los cambios en los sistemas siganun patrn coherente de control. La gestin de cambiosdebe estar sujeta a procesos estructurados de asegu-

ramiento de la validacin.Cuando el desarrollo de los sistemas sea externalizado, los con-tratos con el que subcontrata o con el mismo proveedor debenrequerir controles similares.

Las tcnicas y los controles para la gestin de un proyectonecesitan ser parte del proceso de desarrollo, tanto si los desar-rollos son realizados a medida o son externalizados. La direc-cin debe saber si los proyectos se estn desarrollando segntiempo previsto y presupuesto, y si los recursos se han usado efi-cientemente. Los procesos de reporte o informes deben asegurarque la direccin comprenda totalmente el estado actual de losproyectos de desarrollo y que no reciba sorpresas cuando se real-ice la entrega del producto final.

4.3.7 Controles basados en la aplicacinEl objetivo de los controles internos sobre los sistemas de apli-cacin es asegurar lo siguiente:

Todos los datos de entrada son exactos, completos,autorizados y correctos.

Todos los datos se procesan segn lo previsto. Todos los datos almacenados son exactos y completos. Toda la salida de datos es exacta y completa. Se mantiene un registro de actividad para rastrear el

proceso de los datos desde su entrada, almacenamien-to y eventual salida.

La revisin de los controles de aplicacin ha sido tradi-

cionalmente el pan y la mantequilla del auditor de TI.

Sin embargo, dado que los controles de aplicacin repre-sentan un porcentaje importante de los controles de nego-cio, deben ser la prioridad de cada auditor interno. Todoslos auditores internos necesitan poder evaluar un procesodel negocio, entender y evaluar los controles proporciona-dos por los procesos automatizados.

Hay varios tipos de controles genricos que el DEAespera ver en cualquier aplicacin:

Controles de entrada. Estos controles se utilizan prin-cipalmente para chequear la integridad de los datosingresados dentro de una aplicacin de negocio, inde-pendientemente de si el dato de origen es ingresadodirectamente por el personal,, remotamente por unsocio del negocio o a travs de una aplicacin Webhabilitada. La entrada se chequea para verificar quese encuentre dentro de los parmetros especificados.

Controles de proceso. Estos controles proporcionan

un medio automatizado para asegurar que el procesosea completo, exacto y autorizado. Controles de salida. Estos controles se centran en qu

se hace con los datos. Deben comparar los resultadoscon el resultado previsto y verificarlos contra laentrada.

Controles de integridad. Estos controles supervisanlos datos de un proceso y/o del almacenamiento paraasegurar que los datos siguen siendo consistentes ycorrectos.

Pista de gestin. Los controles del historial del proceso,a menudo se denominan pista de auditora y permiten ala direccin rastrear las transacciones desde su origen

hasta el ltimo resultado, y viceversa, desde los resulta-dos hasta identificar las transacciones y eventos reg-istrados. Estos controles deben ser adecuados parasupervisar la efectividad de todos los controles e identi-ficar los errores tan cerca de sus orgenes como seaposible.

4.4 Seguridad de la informacinLa seguridad de la informacin es una parte fundamental detodos los controles de TI. La seguridad de la informacin seaplica desde la infraestructura hasta los datos y es la base parala fiabilidad de la mayora de los otros controles de TI. Lasexcepciones son los controles referentes a aspectos

financieros de TI (por ejemplo, el retorno de la inversin, los

Riesgo asumidoEl grado de aceptacin del riesgo o la tolerancia al riesgo de una organizacin define el grado de riesgo que una

compaa u otra organizacin est dispuesta a correr en la bsqueda de sus metas, segn lo determinado por la

direccin y el gobierno ejecutivo. El grado de aceptacin del riesgo puede especificar, por ejemplo, si una organi-

zacin asumir un papel agresivo en la distribucin de tecnologas nuevas y emergentes. El grado de aceptacin del

riesgo de una organizacin puede verse afectado por su industria y entorno normativo especficos. Se relaciona

estrechamente con el grado de aceptacin y la tolerancia al riesgo de una organizacin, mide qu distancia se est

dispuesto a desviar de la medida indicada en tal grado de aceptacin del riesgo.


16/67

controles presupuestarios) y a algunos controles de la gestinde proyectos.

Los elementos universalmente aceptados de seguridad de lainformacin son:

Confidencialidad. La informacin confidencial debesolamente divulgarse cuando sea adecuado y debe serprotegida contra la revelacin no autorizada o inter-ceptacin. La confidencialidad incluye considera-ciones de privacidad.

Integridad. La integridad de la informacin se refiere aque los datos deben ser correctos y completos. Estoincluye especficamente la fiabilidad del proceso y losinformes financieros.

Disponibilidad. La informacin debe estar disponiblepara el negocio, sus clientes y los socios en el momen-to, el lugar y de la manera apropiados. La disponibili-dad incluye la capacidad de recuperar los servicios de

TI ante prdidas, interrupciones o corrupcin de datos,as como ante la ocurrencia de un desastre mayor en ellugar donde la informacin haya estado localizada.

4.5 Entorno de los controlesLos controles de TI no son automticos. Durante ms de 50aos, las organizaciones han utilizado TI y los controles nohan sido siempre condicin predeterminada de los nuevossistemas de hardware o software. Por lo general, el desarrolloy la implementacin de controles tienen lugar a contin-uacin del reconocimiento de vulnerabilidades en los sis-temas y de amenazas que explotan tales vulnerabilidades.Adems, los controles de TI no se definen en ninguna norma

reconocida que sea aplicable a todos los sistemas o a las orga-nizaciones que las utilizan.

Existen muchos esquemas para categorizar los controlesde TI y sus objetivos. Cada organizacin debe utilizar loscomponentes ms aplicables de esos esquemas para catego-rizar o evaluar los controles de TI que le sean tiles, para pro-porcionar y documentar su propia estructura de controlinterno a fin de alcanzar lo siguiente:

Cumplir con las regulaciones y legislacin aplicables. Ser consistentes con las metas y los objetivos de la

organizacin. Dar evidencia confiable (aseguramiento) de que las

actividades son coherentes con las polticas de gobier-

no de la direccin y con el riesgo asumido por la orga-nizacin.


12


17/67

GTAG Importancia de los controles de TI 5

Muchos temas llevan a la necesidad de controles de TI,incluyendo controles de costes y el mantenimiento de lacompetitividad, proteccin contra robos de piratas infor-mticos y el cumplimiento de la legislacin y regulacin,como la Ley de 2002 de Sarbanes-Oxley de Estados Unidos*,la directiva de proteccin de datos de la Unin Europea ylegislaciones relacionadas de otros pases. Los controles deTI promueven la fiabilidad, la eficiencia y permiten que laorganizacin se adapte a riesgos cambiantes de los entornos.Por ejemplo, cualquier control que mitigue o detecte elfraude o los ataques cibernticos mejora la resistencia de laorganizacin al ayudarla a descubrir el riesgo y gestionar suimpacto.

La resistencia es el resultado de un fuerte sistema decontrol interno que otorga a la organizacin la capacidad degestionar los trastornos con eficacia. La legislacin y las reg-ulaciones de algunos pases actualmente requieren que las

organizaciones informen sobre la efectividad del controlinterno e, implcitamente, sobre la efectividad del control deTI. La ley ms importante, entre las nuevas leyes, es laSarbanes-Oxley, que requiere que todas las compaas quecotizan en Estados Unidos y sus subsidiarias en el extranjero,informen sobre su sistema de controles internos en relacincon los informes financieros, que se realizan conjuntamentecon la auditora de los estados contables. En el Apndice Bse proporciona una lista de algunas de las legislaciones y reg-ulaciones aplicables a los controles internos.

La necesidad de controles est principalmente dada por lacomplejidad resultante de la necesidad de que los diversoscomponentes tcnicos trabajen el uno con el otro. Mientras

que la resistencia y la adaptabilidad de TI son cruciales paraalcanzar las necesidades cambiantes de clientes y empresasasociadas del negocio, como responder a las presiones com-petitivas, tambin agregan complejidad al negocio y a lasinfraestructuras de TI. Adicionalmente, la seguridad de lainformacin ha sido reconocida como un componente clavedel control interno con la aparicin y amplia aceptacin denormas tales como el Cdigo de buenas prcticas para lagestin de seguridad de la informacin (ISO 17799), de laOrganizacin Internacional de Normalizacin.

Las organizaciones que implementan controles de TI efi-caces experimentan mejoras en la eficacia, fiabilidad de losservicios, resistencia de los sistemas y disponibilidad del ase-

guramiento de la evidencia, todos ellos aaden valor e incre-mentan la confianza de los accionistas y del organismo decontrol de la organizacin. Algunos indicadores clave de laefectividad de los controles de TI incluyen:

La capacidad de ejecutar nuevos trabajos planificados,como actualizaciones de infraestructuras de TIrequeridas para dar soporte a nuevos productos y ser-vicios.

La entrega de los proyectos de desarrollo a tiempo ydentro del presupuesto, con el resultado de obtener

productos y servicios ms eficaces a menor precio encomparacin con la competencia.

La capacidad de asignar los recursos de forma previsi-ble.

La disponibilidad y fiabilidad uniforme de la informa-cin y de los servicios de TI en la organizacin y paratodos los clientes, empresas asociadas del negocio yotros contactos externos.

Una comunicacin clara para gestionar controles efi-caces.

La capacidad de protegerse contra nuevas vulnerabili-dades y amenazas de forma rpida y eficiente, y pararecuperarse ante cualquier interrupcin de los servi-cios de TI.

El uso eficiente de un centro de atencin al cliente omesa de ayuda.

Una cultura de conciencia sobre seguridad entre los

usuarios finales a travs de toda la organizacin.Aunque la funcin de auditora interna incluir probable-mente auditores especialistas de TI para enfocar los aspectosde TI en detalle, el DEA(4) tambin debe entender lostemas de control de TI a un alto nivel, en particular, lasinteracciones de los controles de TI con otros que no sean deTI. Este entendimiento es particularmente importante a lahora de analizar el cumplimiento o las deficiencias del con-trol con la alta direccin, como el presidente, el directorfinanciero (CFO, en ingls), o el director de TI y con losdiversos comits de direccin.

El DEA debe ser capaz de analizar las regulaciones y lalegislacin relevante con el comit de auditora, el respons-

able principal de la asesora legal y con otras personas ycomits relevantes. El DEA tambin debe entender cmo loscontroles de TI sirven de respaldo a la fiabilidad y la eficien-cia, a la vez que ayudan a promover la ventaja competitiva.Ms an, el DEA debe entender a fondo los temas msimportantes o crticos que conducen a la necesidad de con-troles dentro de un sector particular de la organizacin conel fin de asegurarse de que estn considerados en el alcancede las evaluaciones de auditora. Sin un conocimiento yentendimiento profundo de los controles de TI, el auditorsera incapaz de comprender su significado o de determinarloadecuadamente como parte de la revisin global del controlinterno.

13

* Ley de 2002 de la Reforma de la contabilidad pblica de empresas y proteccin del inversionista, conocida como Ley Sarbanes-Oxley en honor a suspatrocinadores, el senador Paul Sarbanes y el congresista Michael Oxley de EEUU.


18/67

GTAG Funciones de TI en la organizacin 6

En los ltimos aos han surgido varias funciones diferentespara los puesto de las organizaciones con responsabilidades ypropiedad sobre los controles de TI. Cada funcin, en losdiferentes niveles de gobierno, gestin, operativos y tcni-cos, debe tener una descripcin clara de sus funciones yresponsabilidades en relacin con los controles de TI, a finde evitar confusiones y asegurar la asignacin de responsabil-idad sobre cada asunto en concreto. Esta seccin se ocupa delas distintas funciones y responsabilidades sobre los controlesde TI dentro de una organizacin y asignndolas a puestosespecficos dentro de una hipottica estructura organizativa.

No existe forma prctica de definir una estructura organi-zativa para los controles de TI, que sea vlida univer-salmente. El DEA debe identificar dnde recaen lasresponsabilidades sobre los controles de TI y evaluar si sonapropiados respecto a la segregacin de funciones, as comolas carencias que puedan existir en las responsabilidades asig-

nadas. Una vez hecho esto, el DEA debe saber con quinesse deben tratar todos los aspectos especficos de TI y dednde se puede obtener informacin especifica.

Generalmente, los objetivos del uso de TI dentro de unaorganizacin son:

Entregar informacin fiable de forma eficiente y ser-vicios de TI seguros, alineados con la estrategia de laorganizacin, las polticas, los requisitos externos y elriesgo asumido.

Proteger los intereses de los accionistas. Potenciar mutuamente relaciones beneficiosas con

clientes, socios de negocio y otras partes externaspara alcanzar los objetivos de negocio.

Identificar y responder adecuadamente a las amenazaspotenciales de violacin de los controles.

Estos objetivos son respaldados por funciones especficasdentro de la organizacin. La descripcin y denominacin delos puestos pueden ser diferentes segn los pases, los sectoresy las organizaciones; en organizaciones ms pequeas, algu-nas de estas funciones pueden estar fusionadas. Sin embargo,siempre deben existir puestos dentro de la organizacin quesustenten la funcin del control de TI e interacten con elDEA y los miembros de auditora interna.

6.1 Consejo de Administracin u rgano degobierno

Un papel importante del consejo de administracin es deter-minar y aprobar estrategias, fijar objetivos, y asegurar de quese alcancen los objetivos que a su vez respaldan las estrate-gias. En relacin con TI, esto requiere:

Concienciar sobre temas claves de TI, como laspolticas de seguridad de la informacin y de TI, y losconceptos de riesgo referentes a TI.

Entender la infraestructura y los componentesestratgicos de TI, as como conocer los proyectosclaves de desarrollo y adquisicin de sistemas, y sobrecmo ellos respaldan e impactan en la estrategia gen-eral, los objetivos y presupuestos (a largo y corto

plazo) de la corporacin. Aprobar la estructura de clasificacin de la informa-

cin y de los respectivos derechos de acceso.El consejo puede establecer diferentes comits segn sea surelacin con la organizacin. Los comits ms comunes delconsejo son: comit de auditora, comit de retribuciones ycomit de nombramientos; algunos Consejos pueden tenerotros comits adicionales, como el comit financiero o el degestin de riesgos. Estos comits pueden tener nombres difer-entes de los que se muestran aqu y sus funciones puedenvariar. Lo importante, por lo tanto, son las funciones y no losnombres.

6.1.1 Comit de auditoraLa funcin del comit de auditora abarca la vigilancia decuestiones financieras, la evaluacin del control interno, lagestin de riesgos y la tica. Los controles de TI son elemen-

tos importantes para cada una de esas obligaciones yrequieren: Entender la gestin financiera (funcin de experto

financiero) y la dependencia de la organizacin enrelacin con TI para el procesamiento y reporte de lainformacin financiera.

Asegurar que los temas de TI sean incluidos en elorden del da de las reuniones del comit, especial-mente el informe del director de TI.

Asegurar que los controles generales de TI y los con-troles de los sistemas de aplicacin y procesos involu-crados en la preparacin de los estados contables seanevaluados y probados adecuadamente.

Supervisar la evaluacin global de los controles deTI.

Revisar los aspectos de negocio y control en relacina los nuevos desarrollos o adquisiciones de sistemas.

Examinar los planes de auditora (internos y exter-nos) y procurar asegurar que los aspectos de TI seancubiertos adecuadamente.

Revisar los resultados de los trabajos de auditora ysupervisar la solucin de los temas presentados.

Comprender los aspectos de TI que impacten en la super-

visin de cuestiones ticas.

6.1.2 Comit de retribuciones

El comit de retribuciones no tiene relacin directa con TI.Sin embargo, puede mejorar la supervisin del consejo sobrelas TI mediante la inclusin de TI como uno de los elemen-tos de desempeo en cualquier plan de compensacin queapruebe.

6.1.3 Comit de nombramientosEl comit de gobierno es responsable de la seleccin y eval-uacin de los miembros del consejo, y del liderazgo de lasoperaciones del consejo. En relacin con TI, este comitdebe:

14


19/67


15

Asegurarse de que los miembros del consejo (poten-ciales o actuales) tengan el conocimiento o la experi-encia adecuados de TI.

Evaluar el desempeo de los comits del consejo entrminos de su supervisin de TI.

Revisar cualquier evaluacin sobre el gobierno porregulacin externa en relacin con temas de TI.

Asegurarse de que el consejo revise las polticas de TIperidicamente y que las reuniones del consejo secentren en la TI con una frecuencia adecuada.

6.1.4 Comit de gestin de riesgosEl comit de gestin de riesgos es responsable de la vigilan-cia de todos los anlisis y evaluaciones de riesgos, de lasacciones de respuesta y de la supervisin de los riesgos.Esta funcin incluye:

Evaluar en qu medida la direccin ha establecido

una gestin de riesgo eficaz de la entidad en la orga-nizacin. Estar al tanto y coincidir con la aceptacin y toleran-

cia al riesgo de la organizacin. Tener conciencia del impacto de los riesgos rela-

cionados con la TI. Revisar el conjunto de riesgos de la organizacin,

incluidos los riesgos de TI y contrastarlo con el riesgoasumido por la organizacin.

Mantenerse informado sobre los riesgos de TI mssignificativos y determinar si las respuestas de ladireccin a los cambios en los riesgos y amenazas esapropiada.

Supervisar y evaluar todas las actividades realizadaspor la direccin para minimizar todos los riesgosconocidos y documentados.

6.1.5 Comit financieroEl principal papel de un comit financiero es revisar los esta-dos contables, las proyecciones de los flujos de caja y ges-tionar las inversiones. Los miembros de este comitnecesitan entender los elementos de control de TI para ase-gurar la exactitud de la informacin utilizada en el procesode toma de decisiones financieras clave y para generarinformes contables. Deben tambin considerar los beneficiosy costes de mantener los sistemas crticos de TI, en compara-

cin con su reemplazo, a travs del pedido de informes sobreesto a la gerencia. Los informes de la gerencia deben consid-erar aspectos relativos a la eficiencia del software, tales comoprdidas o ganancias de productividad debido a mejoras en eluso de TI, los costes del hardware debido a reparaciones yactualizaciones, y los riesgos potenciales a causa de prdidaso corrupcin de datos.

6.2 Gerencia / DireccinEn las grandes organizaciones han aparecido varias funcionesespecficas en relacin al riesgo y control de TI. Como seindic anteriormente, las organizaciones pequeas no

pueden designar una persona para cada funcin, sin embargola funcin siempre debe existir. Una persona puede realizarvarias funciones, pero se debe tener precaucin para que alasignar esas funciones, no se atente contra la necesidad de laseparacin de responsabilidades cuando dos funciones seanincompatibles. Cuando los servicios de TI estn externaliza-dos , no desaparece la necesidad de que la organizacin man-tenga muchas de estas funciones supervisando las funcionesexternalizadas.

6.2.1 Presidente (CEO, en ingls)Al ser la persona que tiene el control general sobre la estrate-gia y las operaciones de la organizacin debe tener en cuen-ta la TI en la mayora de los aspectos de su funcin. Enparticular, el presidente deber:

Definir los objetivos corporativos y las medidas derendimiento relativas a TI.

Actuar como custodio de los factores crticos de xitode la organizacin en relacin con la TI. Entender y aprobar la estrategia de TI a corto y largo

plazo. Aprobar los recursos de TI para la organizacin,

incluidas la estructura y la supervisin. Determinar las cuestiones de TI para las delibera-

ciones peridicas con el consejo de administracin,los gerentes y dems personal.

Operar como propietario de los controles en el msalto nivel teniendo la ltima responsabilidad por elxito o fracaso de los controles y por la coordinacinde todos los dems gerentes operativos dentro del

marco de sus responsabilidades, quienes actan comopropietarios del control en sus reas especficas.

6.2.2 Director Financiero (CFO, en ingls)El director financiero tiene la responsabilidad general sobretodas las cuestiones financieras en la organizacin, debetener un conocimiento profundo del uso de TI tanto parafacilitar la gestin financiera como para respaldar los obje-tivos corporativos. Esta funcin debe tener una comprensingeneral sobre los siguientes temas:

El coste total de la propiedad de las iniciativas de TI. Las estrategias de TI de la entidad para que siga sien-

do competitiva tecnolgicamente.

Las tecnologas usadas en la implementacin de lasaplicaciones financieras.

La operacin o explotacin o ejecucin de aplica-ciones financieras especficas.

Las limitaciones y beneficios de TI. La estructura de control de TI para los controles gen-

erales que se aplican a todos los sistemas y datos denegocio as como los controles que son especficospara aplicaciones financieras.

El director financiero debe operar como el proprietario de loscontroles al mas alto nivel para los sistemas y datosfinancieros.


20/67

6.2.3 Director de TI (CIO, en ingls)El director de sistemas tiene la responsabilidad general deluso de la TI en la organizacin. En relacin con los controlesde TI, el director de sistemas debe:

Entender los requerimientos del negocio que implicanla necesidad de implementar TI.

Trabajar conjuntamente con los gerentes del negociopara: Asegurar que la estrategia de TI est alineada

con la del negocio. Asegurar el cumplimiento (legislativo y normativo). Aprovechar las mejoras de eficiencia en los

procesos. Mitigar los riesgos evaluados.

Disear, implementar y mantener un marco de controlinterno para TI.

Planificar, proveer y controlar los recursos de TI.

Explorar, evaluar, seleccionar e implementar avancestecnolgicos (por ejemplo, las comunicaciones inalm-bricas).

Fomentar la formacin del personal de TI con el fin deasegurar que los niveles de conocimiento y calificacinestn permanente actualizados.

Operar como custodio, al ms alto nivel, de los sis-temas / datos y como propietario de los controles deTI.

Medir el rendimiento operativo de TI en relacin conel respaldo que le proporciona a los objetivos del nego-cio; esto se realiza a travs de las siguientes acciones: Establecer metas.

Evaluar los resultados Desarrollar las medidas necesarias para verificar y con-

firmar que la TI presta los servicios y el respaldo esper-ados por usuarios y clientes finales, as como por losorganismos de control o los auditores externos einternos.

6.2.4 Director de Seguridad (CSO, en ingls)El director de seguridad es responsable de toda la seguridad alo largo y ancho de la organizacin, incluida la seguridad dela informacin, que tambin puede ser responsabilidad deldirector de seguridad de la informacin cuyas caractersticasson las siguientes:

Tiene la responsabilidad de documentar la poltica deseguridad de la compaa y asegurar que se hanestablecido mecanismos para comunicar e impulsar elcumplimiento de dicha poltica.

Tiene la responsabilidad general sobre la seguridadlgica y fsica en la organizacin, y para todas lasconexiones externas a Internet o a otras redes.

Acta como nexo entre las funciones de cumplimien-to legal, de negocio, direccin de TI y de auditora.

Est en primera lnea para implementar los princi-pales programas de cumplimiento que afectan a la TI,

como la Ley Sarbanes-Oxley y la directiva de protec-cin de datos de la Unin Europea. Es responsable de la planificacin de continuidad del

negocio incluyendo el tratamiento de incidentes y larecuperacin de desastres.

Garantiza que el personal de seguridad proporcione elrespaldo necesario para implementar controles entodos los niveles.

Acta como lder principal investigando y evaluandonuevas mejores prcticas que pueden ser incorpo-radas a la organizacin.

6.2.5 Director de Seguridad de la Informacin (CISO,

en ingls)La seguridad de la informacin es un subconjunto de la fun-cin general de seguridad. El director de seguridad de lainformacin realiza lo siguiente:

Desarrolla e implementa la poltica de seguridad de lainformacin de manera coordinada con el director deseguridad.

Controla y coordina los recursos de seguridad de lainformacin, se asegura que se asignen adecuada-


16

Controles de TI y tica

Como qued evidenciado en los casos relacionados con los fondos de inversin en acciones durante los aos setenta

y en los escndalos que siguen apareciendo hoy da, el uso de la tecnologa crea oportunidades significativas parainiciar y perpetuar fraudes y engaos. La capacidad y autoridad para soslayar ciertos controles trae consigo la

tentacin de iniciar acciones irregulares. Si esas irregularidades no son percibidas, o son tcitamente permitidas,

pueden terminar en un fraude rotundo. Por lo tanto, cuando una organizacin da a un individuo la oportunidad de

realizar acciones en nombre de la organizacin, esta tiene la correspondiente responsabilidad de proporcionar la

supervisin adecuada como para detectar y corregir actividades irregulares rpidamente. La organizacin tiene tam-

bin la responsabilidad de identificar amenazas de este tipo y establecer salvaguardas como medida preventiva. Las

mismas herramientas tecnolgicas que pueden crear las oportunidades de fraude se utilizan para identificar activi-

dades, e incluso patrones inusuales en las transacciones u otros datos que podran indicar una evidencia de fraude o

comportamiento cuestionable.


21/67

mente para alcanzar los objetivos de seguridad de laorganizacin.

Asegura la alineacin de los objetivos de seguridad dela informacin y de los objetivos de negocio.

Gestiona los riesgos operativos de la informacin entoda la organizacin.

Supervisa la seguridad dentro de la organizacin deTI.

Proporciona formacin y toma de conciencia sobrelos asuntos relacionados con la seguridad de la infor-macin y con nuevas mejores prcticas.

Desarrolla polticas de usuarios finales para el uso deTI conjuntamente con la funcin de RecursosHumanos.

Coordina los trabajos de seguridad de la informacincon el director de riesgos (CRO, en ingls) y el direc-tor de TI.

Asesora al presidente, al director de riesgos, al direc-tor de TI y al consejo sobre cuestiones relacionadascon los riesgos de TI.

Acta como enlace principal del DEA cuando laauditora interna realiza auditoras relacionadas conlos controles de TI.

6.2.6 Asesora jurdicaEl asesor jurdico puede ser un empleado o directivo de laorganizacin o un asesor externo. Esta funcin implica losiguiente:

Entender y ocuparse de las obligaciones que surgen dela divulgacin de informacin y proporcionar ori-

entacin a nivel de polticas para ayudar en la gestinde los riesgos relacionados.

Asegurar que los informes y las presentacionesfinancieras cumplan con las leyes y regulaciones.

Entender los aspectos legales de TI y asesorar sobrelos riesgos legales relacionados con la TI.

Gestionar el buen nombre de la organizacin en loreferente a cuestiones legales, cumplimiento y rela-ciones pblicas.

Entender el fraude relacionado con la TI. Gestionar los aspectos contractuales de TI. Comprender los protocolos de investigacin forense

en relacin con supuestas actividades delictivas.

6.2.7 Director de Riesgos (CRO, en ingls)Al director de riesgos le incumbe la gestin de los riesgos entodos los niveles de la organizacin. Dado que los riesgos deTI son parte de esa funcin, este debe considerarlos con laayuda del director de seguridad de la informacin (CISO, eningls). Esto incluye:

Anlisis y evaluacin de las exposiciones a los riesgosde TI, incluyendo aquellas que comprometan a lainformacin, como prdidas, daos, divulgacin noautorizada e interrupcin del acceso.

Evaluacin de contingencias de TI como interrup-

ciones, desastres y cambios. Anlisis y evaluacin de los riesgos de negocio y

como son afectados por los riesgos de TI. Supervisin, soporte, promocin de todas las activi-

dades de TI relacionadas con la minimizacin de ries-gos.

6.3 Auditora Interna

6.3.1 Auditora interna, DEA y personal de auditoraLa auditora interna es una parte esencial del proceso de gob-ierno corporativo, independientemente de si se utilizaun grupo de auditora interna especfico. Los auditoresinternos deben tener conocimiento y comprensin generalde TI, pero el nivel de tal conocimiento vara segn lacategora de las auditoras o el nivel de supervisin(Norma del IIA 1210.A3). El IIA define tres categoras

de conocimiento de TI para auditores internos quese describen en el Apndice C. En relacin con la TI, lafuncin de la auditora interna implica:

Asesorar al comit de auditora y a la alta direccinsobre aspectos relacionados con el control interno deTI.

Asegurar que la TI se incluya en el universo de audi-tora y en el plan anual (seleccionar temas).

Asegurar que los riesgos de TI sean consideradoscuando se asignan los recursos y las prioridades en lasactividades de auditora.

Definir los recursos de TI necesarios para el departa-mento de auditora, incluida la formacin especializa-

da del personal de auditora. Asegurar que la planificacin de auditora considere

los aspectos de TI en cada auditora. Actuar como enlace con los clientes de auditora para

determinar qu desean o qu necesitan saber. Realizar anlisis de riesgos de TI. Determinar qu constituye una evidencia fiable y ver-

ificable. Realizar auditoras de controles de TI a nivel de

empresa. Realizar auditoras de los controles generales de

TI. Realizar auditoras de los controles de aplicacin.

Realizar auditoras especializadas de los controles tc-nicos de TI.

Utilizar de manera eficiente y eficaz la TI para con-tribuir al proceso de auditora.

Durante las actividades de desarrollo o anlisis de sis-temas, debe actuar como experto que conoce cmo sepueden implementar o eludir los controles.

Ayudar en la supervisin y verificacin de la adecua-da implementacin de actividades que minimicentodos los riesgos de TI conocidos y documentados.


17


22/67

6.3.2 Auditora ExternaLas auditoras externas independientes son un requisito parala mayora de las organizaciones y son realizadas normal-mente de forma anual. Los temas que deben ser consideradospor el departamento de auditora interna y el comit de audi-tora incluyen:

El alcance de las responsabilidades del auditor exter-no para entender y evaluar los sistemas y los con-troles relacionados con TI durante las auditorasfinancieras.

El alcance de las responsabilidades del auditor exter-no en el examen de los sistemas y controles de TIdurante un examen formal requerido por los estatutoso por las regulaciones, como los controles internos dela informacin financiera u otros requisitos legales.


18


23/67

7.1 El riesgo determina la respuestaLos controles de TI son seleccionados e implementadosen funcin de los riesgos que deben gestionar segn sudiseo. Una vez que los riesgos son identificados mediantela experiencia o la evaluacin formal, se determinan lasrespuestas convenientes, que podrn variar desde no realizarninguna accin y aceptar el riesgo como un coste msde funcionamiento del negocio hasta la aplicacin deuna amplia gama de controles especficos, incluidos losseguros.

Sera una tarea relativamente sencilla crear una listade controles de TI recomendados a implementar en cadaorganizacin. Sin embargo, cada control tiene un costeespecfico que puede no estar justificado en trminos deefectividad cuando se considera el tipo de negocio realizadopor la organizacin. Adicionalmente, ninguna lista decontroles es universalmente aplicable a todos los tipos

de organizaciones. Aunque existe una gran cantidad debuenas guas disponibles para la eleccin de controlesconvenientes, siempre se debe utilizar el propio discern-imiento. Los controles deben ser apropiados para el nivel deriesgo al que se enfrenta la organizacin.

El director ejecutivo de auditora interna debe poderasesorar al comit de auditora para determinar si el marco decontrol interno es fiable y si proporciona un nivel de confi-anza apropiado conforme al riesgo asumido por la organi-zacin. A este respecto, el riesgo asumido por la organizacines definido por COSO3 como:

el grado de riesgo, en sentido amplio, que unacompaa u organizacin esta dispuesta a aceptar en la

consecucin de sus metas. La direccin considera elriesgo asumido de la organizacin; primero, evala

las alternativas estratgicas, despus establece losobjetivos y los alnea con la estrategia escogida paradesarrollar los mecanismos y gestionar los riesgos rela-cionados.

Adicionalmente, el director ejecutivo de auditora internadebe considerar la tolerancia al riesgo. COSO la definecomo:

el nivel aceptable de variacin en la consecucinde los objetivos. Cuando se establezcan toleranciasespecificas al riesgo, la direccin debe considerarla importancia relativa de los objetivos correspondientes

y alinear las tolerancias en funcin del riesgoasumido.

Por lo tanto, el director ejecutivo de auditora interna debeconsiderar lo siguiente:

Si el entorno de TI de la organizacin es coherentecon el riesgo asumido por la organizacin.

Si el marco de control interno es adecuado para ase-gurar que el desempeo de la organizacin se man-tenga dentro de la tolerancia al riesgoestablecida.

7.2 Consideraciones sobre el riesgo al determi-nar la adecuacin de los controles de TILa gestin de riesgos es aplicable a todo el espectro de activi-dad de una organizacin, no slo a la funcin de TI. La TIno se puede considerar de forma aislada, se la debe tratarcomo parte integrante de los procesos de negocio. Elegir loscontroles de TI no consiste en implementar las recomenda-ciones de las mejores practicas, sino que estos deben aadirvalor a la organizacin reduciendo el riesgo de manera efi-ciente y aumentando la efectividad.

Cuando se considera la adecuacin de los controles de TIen el marco de control interno de la organizacin, el direc-tor ejecutivo de auditora interna debe considerar los proce-sos establecidos por la direccin para determinar losiguiente:

El valor y la criticidad de la informacin. La aceptacin y tolerancia al riesgo para cada funcin

y proceso de negocio. Los riesgos de TI a los que se enfrenta la organizaciny la calidad del servido prestado a sus usuarios.

La complejidad de la infraestructura de TI. Los controles de TI apropiados y los beneficios que

aportan. Incidentes nocivos en TI en los ltimos 24

GTAG_1_ES- Controles TI.pdf

Documents

Transcript of GTAG_1_ES- Controles TI.pdf