Archivos Mensuales: agosto 2012
Planificar la Continuidad de los Negocios.
El término Continuidad de Negocios pasa a tener un significado inmenso cuando las condiciones existentes no permiten hacer negocios de manera normal. Cuando no podemos llegar a los clientes, o los clientes no pueden llegar a nosotros. En momentos de crisis, por situaciones totalmente ajenas a la organización, que obliga a parar operaciones, es recomendable tener un Plan de Continuidad de Negocios, que permita manejar la situación sin improvisar, a partir de medidas bien pensadas que garanticen la imagen, la atención al cliente y lo más importante, la constante generación de ingresos.
La generación de ingresos parece ser el factor de mayor peso a la hora de decidir implementar un programa de Continuidad de Negocios. Por esta razón, las normativas de riesgos operativos para el sector financiero siempre incluyen artículos relacionados con el mandato de realizar la planificación de la Continuidad de Negocios. En El Salvador, la Norma para la Gestión del Riesgo Operacional de las Entidades Financieras, menciona este tema desde varios puntos de vista. Uno es como una responsabilidad de los entes de Gobierno Corporativo: la junta directiva, el comité de riesgo, la alta gerencia y la unidad de riesgos. Luego, en el artículo 16 consigna el mandato de implementar un “Sistema de Gestión de la Continuidad”, explicando incluso las fases que debe de incluirse en el cumplimiento de este artículo. Las fases son típicas de lo que explican las normas relacionadas, como la BS25999, que prácticamente hacen de la Continuidad del Negocio un proceso más de la Gestión Empresarial, recomendando que exista una estructura formal de responsabilidad, tiempos específicos para revisar las necesidades de continuidad de negocios, la definición específica de planes de contingencia, la divulgación a toda la organización y muy importante, la prueba de los planes de contingencia.
Las empresas al momento de considerar la inclusión del Proceso de Gestión de Continuidad del Negocio en su dinámica de gestión empresarial, deben de considerar la importancia que tiene para su salud financiera la continuidad en la generación de ingresos. Este es el factor que decide si se hace o no una iniciativa de este tipo. Un primer paso debería de ser realizar una evaluación del impacto que tiene el cese de operaciones en todas las áreas de la organización. Este simple ejercicio proporcionaría los datos para definir el tipo de Gestión de la Continuidad que se necesita. El análisis de impacto establece el costo de dejar de operar por lapsos de tiempo considerados en función del tipo de empresa, pudiendo estos ser de horas, días o semanas. Este costo siempre estará reflejado como un costo de oportunidad por el ingreso no generado, las pérdidas incurridas por faltar al cumplimiento de un servicio y los costos de retornar a las operaciones. Factores secundarios a considerar incluyen el mantenimiento de la competitividad, respecto de empresas similares que hayan implementado ya esta función, así como la imagen de la empresa ante los ojos del cliente.
Como efecto secundario de la Planificación de la Continuidad de Negocios, las operaciones diarias se verían beneficiadas de mejoras que prevean la no interrupción de procesos, dado que al analizar las operaciones, surgen normalmente propuestas de mejora que permiten crear procesos más confiables, más robustos, que se adelantan a los eventos de falla y tienen ya implementados los caminos alternos para evitar el cese de operaciones.
Las Pruebas de Auditoría de Sistemas
El aseguramiento de la correcta configuración y operación efectiva de los controles de TI implementados en cada componente o proceso de gestión de TI se logra a través de la realización de pruebas. Las pruebas se constituyen por un procedimiento a seguir para garantizar que un determinado control está en funcionamiento, que es eficiente y que sus resultados son efectivos. Las pruebas pueden incluir la revisión de configuraciones clave, de acuerdo a las especificaciones de fabrica de componentes de equipo o sistemas, la revisión de la documentación que evidencia la realización de un proceso, la revisión de las bitácoras de los sistemas de información, la verificación física de los controles ambientales en centros de datos, tales como la temperatura, humedad y el inventario de medidas de seguridad para garantizar acceso solo a personas autorizadas. En ambientes ERP grandes (SAP, Oracle Business Suite y similares) las pruebas a realizar ya están definidas por los mismos controles implementados en la solución de software. En estos casos el auditor tiene más bien que seleccionar de la amplia gama de controles y formas de prueba disponibles, cuales son los que se realizarán en base a la situación siendo evaluada y el perfil de riesgos de la organización.
Lo verdaderamente retador para un auditor de sistemas es cuando se enfrenta a una situación específica, no estándar, como los desarrollos a la medida que implementan muy frecuentemente en las empresas salvadoreñas y centroamericanas. Incluso hay una gran gama de aplicaciones realizadas por consultores locales, que es frecuente encontrar en diferentes empresas, que tampoco tienen documentados sus controles. En estos casos, un auditor de sistemas tiene que volver a lo básico. Primero, hay que entender como esta diseñado el sistema. Verificar la documentación técnica disponible, los procesos de negocio que soporta, experimentar con el sistema en ambientes de prueba. A partir de este aprendizaje, hay que echar a correr el análisis de riesgos, para identificar en que lugares el software presenta mayores riesgos. El arte esta en formular hipótesis de los riesgos existentes, para luego crear pruebas que comprueben o eliminen una hipótesis. Alguien dirá, el método científico aplicado a la Auditoría de Sistemas, pues bien, ¿Quién dijo que no se podía aplicar? De hecho el desarrollo de la ciencia se basa en el constante interrogatorio de la realidad. Pues bien, un buen auditor de TI siempre estará preguntándose que logra verificar una prueba. Incluso en ambientes que se supone están bien documentados, en programas de auditoría comercializados por los fabricantes, un buen auditor de TI puede encontrar los errores que han cometido los diseñadores del plan a partir de un interrogatorio constante de la efectividad de las pruebas, del análisis de los resultados. Hay que recordar que también el auditor debe de ser eficiente a la hora de realizar sus pruebas, por lo que no solo debe de buscar o diseñar las pruebas a realizar, sino buscar que sean las mejores, las que buscan probar o negar una hipótesis de manera más eficiente.
Es importante mencionar que para diseñar pruebas eficientes, el auditor de TI debe también de conocer de la tecnología. Su primera fortaleza debe de ser conocer la tecnología, eso le permitirá saber cuando una prueba es eficiente y cuando puede ser mejorada.
La Estrategia de TI
Suena familiar hablar de planes relacionados con inversiones en Tecnologías de la Información en las empresas, siempre se está planeando el próximo “Gran Proyecto”, la siguiente “Gran adquisición”. Es importante que todas estas acciones tengan una razón de ser, analizada previamente, planificada, que contribuya a cumplir metas previstas y que aporte a los objetivos de negocio. Esto se logra mediante un ejercicio de planificación detallada, que permita establecer objetivos claros para el área de TI, con metas cuantificables que tengan hitos que permitan realizar una evaluación permanente del avance logrado. Adicionalmente, se debe de establecer “la estrategia de TI”. No podemos planificar sin establecer una estrategia, sin definir claramente la línea de acción que dirigirá todas las acciones. La estrategia permitirá que todos los proyectos y adquisiciones contribuyan de una manera simbiótica al logro de metas.
En un mundo con múltiples elecciones a la hora de elegir tecnologías, la definición de una estrategia permitirá tomar decisiones tajantes respecto a que hacer y que no. Esto evita la creación de círculos de prueba de tecnologías en las empresas. Por ejemplo, si al momento de definir una estrategia se ha optado por un ERP específico, probablemente, el ejercicio de solución de nuevos problemas pasará siempre por el análisis de si el ERP ya nos resuelve el problema, añadiendo un módulo o realizando una programación adicional, versus, la adquisición de una aplicación adicional o el desarrollo de una nueva. Definir una estrategia de TI es un ejercicio que permite seguir un patrón de planeación similar al de los fabricantes de tecnología, logrando un paralelo en cuanto al desarrollo de nuevas características de un producto y el aprovechamiento de dicha característica en la organización. Al momento de definir la estrategia de TI, se debe de realizar una investigación de la situación del mercado de tecnologías, que permita conocer cuales tecnologías tienen un ciclo creciente de desarrollo. Muchas organizaciones reciben la mala noticia de que la tecnología que han adquirido hace dos años ha iniciado un proceso de transición, lo que pone en riesgo el soporte, la creación de nuevas características y obliga a las organizaciones a reinvertir en un período corto.
La Gerencia de TI, a través de la definición de la estrategia, dirige no solo la adquisición de tecnologías, sino también el desarrollo del negocio, las características que le serán aportadas a partir de su soporte tecnológico, los procesos de negocio que facilitará. También define la forma en la que el recurso humano será desarrollado. Este último elemento es sumamente importante. Cada vez más, el mundo de las Tecnologías de la Información proporciona más información técnica que debe de ser asimilada por el personal de TI. Tener una tecnología y no usarla en su máxima expresión, es como tener inventarios en bodega, es dinero de la empresa que no esta aportando a la obtención de resultados. Por eso la estrategia de TI determina el entrenamiento que el personal de TI recibirá, para lograr alcanzar las metas establecidas.
La estrategia de TI incidirá en los procesos de negocio, la elección de la tecnología y el desarrollo del Recurso Humano.
Como mínimo, la estrategia de TI debe ser determinante en los procesos de negocio, la elección de tecnologías y los procesos de desarrollo del personal. Esto permitirá a la gestión de TI incidir efectivamente en la organización.
La evaluación de riesgos de TI
Para cubrir el riesgo tecnológico, una organización debe de iniciar por realizar la evaluación de riesgos de las Tecnologías de la Información. ¿Qué implica esto? Varias cosas.
Primero, hay que conocer las operaciones de TI a fondo. No podremos realizar una evaluación de un componente o proceso de TI que no conocemos. Hay que recordar que no estamos hablando de evaluar el riesgo del departamento de tecnología. Estamos hablando del riesgo de que los negocios de la organización sean interrumpidos debido a un soporte deficiente del departamento de TI. Esto implica que tenemos que conocer todos los componentes tecnológicos, infraestructura, así como los procesos de gestión de TI que actualmente soportan al negocio y aquellos que no existen, que están en proyectos o planes, que se piensa que podrían ayudar al negocio, pero que no han sido implementados aún.
Segundo, los riesgos se evalúan a partir de dos aspectos. Uno es la probabilidad de que un suceso negativo a la organización se materialice. El otro es el impacto que tendrá en el negocio. Respecto a los sucesos negativos, podemos pensar de ellos como las amenazas existentes que podrían causar daños a la infraestructura tecnológica o la ejecución exitosa de los procesos de gestión de TI. Las amenazas son todo lo que podría ir mal, una lista grande de cosas negativas que podrían ocurrir sobre las operaciones de TI, tales como daños en equipos, ataques de virus, siniestros en instalaciones, pérdida de recurso humano importante y similares. Estos sucesos negativos podrían o no suceder, por eso es conveniente hablar de ellos en términos de su probabilidad de ocurrencia. No tiene sentido preocuparse de que un Huracán suceda, si nunca ha pasado en una determinada región geográfica. Su probabilidad de ocurrencia es cercana a cero. No digo cero, porque con el cambio climático ya nunca se sabe. Es importante identificar todos los sucesos negativos posibles y su probabilidad de ocurrencia, porque no todos tendrán que ser sujetos de evaluación. En relación al impacto, el segundo aspecto de la evaluación, esto es una medición lo más cuantitativa posible del costo económico, entiéndase “costo de no estar prevenido”, que tendría la materialización de las amenazas. El impacto puede ser medido en función mediciones como el dinero no facturado, las ventas no realizadas, el costo de remplazo de equipo o los costos de retornar los sistemas al punto de falla. Es común pensar en el impacto en términos genéricos, como impacto alto, medio o bajo, estableciendo valores monetarios a cada uno de estos rangos. Esto permite calificar el impacto, sin tener que especificar un monto específico de impacto. De esta manera, un evaluador puede decidir que considerará como impacto bajo, aquellas pérdidas menores de $1,000.00, impacto medio a las que vayan de $1,000.00 a menos de $5,000.00 e impacto alto a las superiores de $5,000.00. Cuando se mezcla la probabilidad de ocurrencia con el impacto, resulta fácil tener una medición de qué es importante en términos de riesgos. La priorización de proyectos y acciones en la gestión de TI debe de orientarse hacia aquellos riesgos que tienen las probabilidades e impactos más altas.
Las gerencias de TI tienen que guiarse por medidas como esta para tomar sus decisiones, al momento de priorizar proyectos de TI para respaldar las solicitudes de presupuestos y para demostrar la importancia de su función en el negocio. De hecho, las gerencias generales y las Juntas Directivas deberían de evaluar el desempeño de la función de TI en su organización a partir del uso que se haga de esta herramienta para apoyar la Gestión de TI. Aparte de esto, es importante mencionar que la evaluación de riesgos es un buen punto de coincidencia entre la Gestión y la Auditoría de TI. Explicaremos esto en otro día.
El Riesgo Operativo y Tecnológico.
Se me ocurren muchas formas por las cuales las operaciones de TI en una empresa pueden parar. Yo siempre he dicho que las operaciones de TI son como una cadena, tan fuerte como su eslabón más débil. Ha ocurrido que por el mal funcionamiento de un aire acondicionado, se crea una humedad excesiva, que causa corto circuitos en el sistema eléctrico de centros de datos, obligando a parar las operaciones mientras se identifica el daño, se repara y se reinician los sistemas. Si esto tarda una hora, se pueden imaginar el estrago que causaría, por ejemplo en una sucursal bancaria, pasar diciéndoles a los clientes que estaremos reconectados en una hora. Ha ocurrido, es un hecho histórico y probablemente seguirá ocurriendo si la gestión de TI no prevé estas “posibles” fallas.
El riesgo operativo se refiere a la probabilidad de que una empresa incurra en pérdidas financieras por la interrupción de sus operaciones, debido a fallas en los procesos, las personas, las causas naturales, los siniestros y la fallas de sistemas de información. La legislación que regula las operaciones empresariales, especialmente de instituciones financieras y de empresas que cotizan en bolsa, en países desarrollados, ha obligado a las empresas en esos países, a considerar, implementar y demostrar a través de auditorías periódicas, que han realizado una evaluación de sus riesgos operativos y que han realizado las provisiones correspondientes para prevenir su materialización y en caso de que ocurran, existan planes bien definidos que permitan volver a funcionamiento normal en un plazo meta predefinido. Estas normas, se han ido implementando en los países latinoamericanos con mayor o menor rapidez, aplicando enfoques rigurosos algunos mientras otros han adoptado más bien un tono relajado. En El Salvador, la Superintendencia del Sistema Financiero, público en Junio del 2011, las Normas Para La Gestión Del Riesgo Operacional De Las Entidades Financieras, que es la norma que obliga a las Instituciones Financieras Reguladas en El Salvador a considerar el Riesgo Operativo dentro de su gestión.
El riesgo tecnológico se refiere a la probabilidad de que los servicios de TI no alcancen los niveles de servicio requeridos para soportar las operaciones de una empresa e impacten en los resultados. Obviamente, esta incluido dentro del Riesgo Operativo. En la norma salvadoreña se específica que el Riesgo Operativo es la probabilidad de incurrir en pérdidas por fallas, entre otras cosas, de los sistemas de información. Como ya dije antes, hay muchas cosas que pueden hacer que el riesgo tecnológico se materialice, llevando a las operaciones de TI a una situación de cese de operaciones. Los responsables de la gestión de TI en cada empresa deben de considerar cuidadosamente, la creación de un conjunto de procesos que les permita controlar los diferentes componentes de la infraestructura tecnológica, tales como la administración de la configuración, la administración de cambios, la seguridad, la gestión de proyectos y la gestión de contratos con proveedores entre otros. En el caso del riesgo tecnológico es importante considerar que no solo el cese de operaciones impacta en la organización. Cosas como comprometer la información de la organización podría ser una falla grave, que impacta en la imagen global de la empresa. Esto me indica la necesidad e importancia de crear políticas, procedimientos y auditorías de seguridad de la información. Otras situaciones como la lentitud en el servicio impactan directamente en la imagen ante los usuarios y clientes. Esto me indica la necesidad e importancia de tener un proceso de monitoreo de operaciones eficiente, que lleve métricas precisas del nivel de servicio que permitan tomar decisiones respecto al riesgo tecnológico. Si se piensa bien, la gestión del riesgo tecnológico tiene un nivel de sensibilidad alto, que debe de gestionarse proactivamente.
Impacto de la gestión de TI en la economía
El término ITSM, Information Technology Service Management, en español, Gestión del Servicio de las Tecnologías de la Información, ha sido acuñado a partir de la gran difusión que ha tenido la Biblioteca de Infraestructura de Tecnologías de la Información, conocida como ITIL (Information Technology Infrastructure Library) en la gestión de los servicios de TI. El objetivo de este artículo es dirigir la atención a los orígenes de estas prácticas, que para sorpresa de muchos, viene del sector gobierno, más que de los fabricantes de tecnologías o institutos de investigación.
Si buscamos al propietario intelectual de ITIL, encontramos que es la Oficina del Gabinete del Reino Unido, una entidad que se encuentra en el centro del gobierno, destinada a coordinar y soportar a todas las áreas de gobierno en dicho país. Si nos remontamos a los orígenes de ITIL, hallaremos que nació de una organización llamada Oficina de Comercio Gubernamental, Office of Government Commerce. Esta organización es responsable de la creación de ITIL y otros marcos de referencia en áreas como la administración de proyectos, la administración de programas y la gestión de riesgos. Lo interesante de estos modelos, es que no solo fueron elaborados para dirigir las prácticas gubernamentales en dichas áreas, sino que han sido incorporadas como propiedad intelectual del Reino Unido y se han hecho disponibles, a través de medios comerciales para el uso en todo el mundo.
Lo que debe de llamar la atención es que estás prácticas fueron definidas por el Gobierno del Reino Unido como necesarias para poder coordinar las adquisiciones de tecnología con los procesos de atención a los ciudadanos, los clientes, en un ambiente que busca la optimización de recursos a través de la eficacia y la eficiencia. No puedo pensar de una organización, gubernamental o privada, que no busque estos mismos objetivos en sus operaciones. En general, la adopción de estas prácticas, terminará impactando en la economía global de cada nación. Por ejemplo, el reino unido, a través de la oficina del gabinete, reporta para este año ahorros por £5.5 billones, de los cuales más de £1 billón están relacionados a las iniciativas de las Tecnologías de la Información y Comunicaciones. La medición de estos ahorros, no sería posible, sino se estuviesen siguiendo metodologías que permitan conocer el nivel de inversión y el costo real de las operaciones en TI, que es el verdadero control que interesa a los gobiernos y a las empresas.
Hay que entender bien, que el Reino Unido no es un gobierno que limita el uso de las tecnologías de la Información como un medio para reducir gastos. Más bien, lo utiliza como un instrumento de optimización de procesos de negocio, en un marco de procesos de gestión de TI, estandarizado, que permite tomar las decisiones correctas para invertir en TI y hacer un uso óptimo de dicha inversión. La misma tendencia es observada en otros países como Estados Unidos, Japón y Corea del Sur. Estos países están, desde hace más de 15 años, siguiendo el paso de una Economía digital, que se basa cada vez más en el uso de las TI, que crece y que se gestiona a través de procesos de gestión de TI, ya sean estos los que indique ITIL, COBIT u otro estándar o norma similar. Empresas privadas en estos países, siguen la misma tendencia de sus gobiernos, gestionando el uso de las Tecnologías de la Información de similar manera, contribuyendo a la creación de una mejor economía.
COBIT 5: Un marco de referencia para el Gobierno Empresarial de TI
En Abril del 2012, la Asociación para la Auditoría y Control de los Sistemas de Información, ISACA, (www.isaca.com) lanzó la versión 5 de COBIT. El acrónimo COBIT significa Control Objectives for Information and Related Technology, esto es, Objetivos de Control para la Información y Tecnologías Relacionadas. Este marco de trabajo para el control de TI, ha representado en el mundo una referencia a seguir para la completa gestión de las Tecnologías de la Información. Ha sido retomado en algunos países para cubrir el riesgo tecnológico, en el contexto de la administración de riesgos financieros, mientras que en organizaciones de nivel global, se planifica la gestión de TI a partir de los procesos que define.
Para el Director de TI, a cargo de la planificación, implementación, operación y evaluación de la Infraestructura Tecnológica que soportará la obtención de los objetivos institucionales, COBIT ha proporcionado una guía a seguir para revisar la validez de su estrategia de gestión, para evaluar la correcta definición y ejecución óptima, así como para buscar la mejora continua, integrando el trabajo de TI a la dinámica empresarial, que siempre buscará una mejor forma de gestionar la Tecnología. Aunque ISACA es una asociación de Auditores de Sistemas, la filosofía del marco de referencia COBIT ha evolucionado a través del tiempo, pasando por varios enfoques. El enfoque inicial era en auditoría, lo cual era lógico por su origen. Posteriormente, el enfoque fue en la definición de controles. Esta etapa fue correlacionada con la creación de marcos de referencia como COSO para el control interno. En otro día nos dedicaremos a este tema. En la versión 4.1 de COBIT, el enfoque estaba orientado a la Gestión de TI considerando elementos de Gobierno de TI y finalmente, esta versión 5 ha sido enfocada en el Gobierno Empresarial de las Tecnologías de la Información. Prácticamente puede seguirse una historia evolutiva de la gestión de TI a partir de COBIT, que se expande desde finales de los años 60 hasta hoy.
Si reflexionamos sobre este intervalo de tiempo, es lógico para todos los que conocemos de las Tecnologías de la Información que se han dado grandes saltos en las innovaciones, tecnologías, arquitecturas, metodologías de diseño de sistemas y hasta en los procesos para integrar servicios de TI. COBIT no es lo único que ha cambiado, las Tecnologías de la Información han estado evolucionando. Igualmente, la Gestión de las Tecnologías de la Información ha evolucionado. COBIT 5 llega en un momento en el que se ha entendido con meridiana claridad, los mecanismos de gestión necesarios para ordenar no sólo la vastedad de tecnologías disponibles, sino también las diferentes normas, estándares y metodologías de gestión de TI existentes, para permitir una implementación exitosa en las organizaciones, siguiendo procesos bien definidos, auto gestionables e integradores del conocimiento existente sobre la gestión de TI. Por esto, el último enfoque de COBIT esta orientado al Gobierno Empresarial de las Tecnologías de la Información, para lograr unir las responsabilidades de TI, con las responsabilidades de la alta dirección, que tiene que gobernar todos los aspectos de la empresa, incluyendo las Tecnologías de la Información.
¿Qué son los controles de TI?
La definición de controles se refiere a la creación de mecanismos que aseguren que los objetivos de la inversión en TI son cumplidos y que los riesgos inherentes a las Tecnologías de la Información son mitigados. Estos mecanismos están representados por todas las acciones, documentos y configuraciones de dispositivos que permiten identificar quién es el responsable del control, en qué consiste, la frecuencia de uso, los productos que se emitirán para garantizar su ejecución, así como la medición de los resultados y las acciones correctivas a realizar para mejorar la situación controlada. Específicamente estamos hablando de cosas como los manuales organizacionales de las funciones de TI, de las políticas que definan los lineamientos a seguir, de los procedimientos existentes para especificar como se hacen las operaciones diarias y rutinarias en el contexto de la infraestructura tecnológica de la organización, de los reportes que se emitirán y a quienes se presentarán para toma de decisiones, incluyendo su frecuencia de emisión. Con esta claridad, pasamos a darnos cuenta de que los controles de TI no tienen nada de místico, son documentos con los que todo el mundo esta familiarizado.
Sin embargo, muchas unidades de TI carecen de controles claves, dejando la obtención de resultados y otros factores como la seguridad, la efectividad y la eficiencia de sus operaciones al azar. Veamos un ejemplo. Se conoce que el acceso a la información de la organización debe de ser restringida solamente al personal autorizado y siguiendo un principio de asignación de privilegios mínimos necesarios para cumplir con las funciones de su perfil de puestos. Este simple hecho, plantea la necesidad de varios controles para contar con un acceso a la información adecuado. Controles que podemos enumerar para esta área incluyen: procedimientos de creación de usuarios, procedimientos de asignación de privilegios, matrices de segregación de funciones, procedimientos de revisión de usuarios inactivos, procedimientos de revisión de privilegios otorgados. Los responsables de TI, que están acostumbrados a ejecutar un ciclo de vida para la implementación de sistemas, deben de crear un paralelo con el ciclo de vida de un usuario para diseñar los controles que les garantizarán que no van a existir usuarios con acceso a información a la que no están autorizados, tomando en cuenta los cambios de estado que el usuario tendrá durante toda su vida activa en la organización. Errores típicos encontrados en la gestión de accesos se dan porque al cambiar de funciones una persona, le asignan los privilegios de su nuevo rol, pero no le remueven los privilegios de su rol anterior. Cuando un usuario ha repetido 3 o 4 veces el cambio de rol, tiene privilegios que le permiten por sí solo iniciar, ejecutar y cerrar operaciones en los sistemas. Esta simple falla de control es la que puede llevar a la ejecución exitosa de casos de fraude en las organizaciones. Esto representaría una falla de control grave.
Es importante mencionar que en el tema de controles, la función de TI tiene que participar en igual proporción de responsabilidades con el negocio, para garantizar que ambos entienden la necesidad del control, el riesgo que están cubriendo y colaborar para lograr una aplicación efectiva de los controles diseñados. Esto incluye la colaboración en la identificación de mejoras en los controles y su implementación inmediata, una vez se aprueba la siguiente versión del control.
¿Qué es la auditoría de sistemas?
El principal problema en la gestión de las Tecnologías de la Información en la región centroamericana, desde el punto de vista de la implementación de controles se basa en la inexistencia de una cultura de control entre los responsables de la gestión de las Tecnologías de la Información, tales como Gerentes de Sistemas y Directores de TI, así como de la alta dirección, desde Gerentes Generales, Gerentes financieros, Presidentes y similares. La razón principal podría basarse en que cuando la generación que hoy dirige las empresas pasó por las aulas universitarias, el estado de las Tecnologías de la Información no era lo que es hoy y nadie en esos momentos hubiera predicho como evolucionarían las cosas y la importancia que la información llegaría a tener en las operaciones diarias de las organizaciones.
Sin embargo, las empresas hoy están realizando grandes inversiones en Tecnologías de la Información, necesarias para mantenerse competitivos y muchas veces para potenciar el negocio, por lo que interesa tener control sobre las Tecnologías de la Información para obtener los beneficios esperados y evitar o minimizar los riesgos inherentes. Pensemos en el giro que han tomado los antiguos periódicos de papel y que hoy buscan ganar en el ciberespacio un lugar para no quedar desfasados y ser remplazados totalmente por lecturas digitales.
En este contexto, la auditoría de sistemas tiene el rol de realizar revisiones técnicas de los controles establecidos por los responsables de TI para informar a la alta gerencia sobre posibles riesgos que se generan en la gestión de las Tecnologías de la Información y apoyar con la recomendación de la creación de controles que son necesarios o en la optimización de los existentes. En esta función, la auditoría de sistemas tiene un rol dual. Por un lado, se convierte en los ojos de la alta gerencia para evaluar el funcionamiento de la gestión de TI. Por otro lado, ayuda a formar un marco de control interno en el área de TI de acuerdo con las necesidades de la empresa.
La función de auditoría de sistemas utiliza en sus revisiones como criterios de evaluación diferentes normas y marcos de referencia que han sido creados a partir de consensos internacionales, además de las normas regulatorias locales y las buenas prácticas recomendadas por los fabricantes de tecnología. Esto constituye una garantía de que se realizan evaluaciones objetivas. De hecho, los responsables de TI, en la medida que maduran sobre su aprendizaje de la gestión de TI, van reconociendo las normas y marcos de referencia que les son aplicables y van implementando controles de acuerdo a evaluaciones propias de pertinencia en la organización. Esto es un reconocimiento implícito de la necesidad de control por parte de los responsables de la función de TI en las organizaciones. En un ambiente organizacional que provee mejora continua a sus procesos de gestión, la auditoría de sistemas le aporta los conocimientos necesarios para enfocar la mejora en el control de TI, bajo un enfoque metodológico y sistemático, basado en normas y marcos de referencia reconocidos y totalmente integrado con el plan de auditoría interna de la organización.
El proceso ideal de desarrollo de políticas de TI.
Algunas empresas siguen un proceso ideal para la elaboración de sus políticas de TI. Un proyecto de esta naturaleza comienza con el soporte, sino el mandato directo, de la alta dirección para que la organización establezca unas políticas de TI acordes con las operaciones y riesgos existentes. Esto se da en el contexto de empresas con administraciones maduras, que realizan grandes inversiones en TI y necesitan asegurar el óptimo uso de esos recursos. También se da en Instituciones financieras con marcos regulatorios fuertes, que las obligan a vigilar el riesgo tecnológico tanto como el riesgo operativo y en empresas que han sido adquiridas por otras más grandes que ya están acostumbradas al soporte diligente de las políticas de TI. En estos contextos, las gerencias de Tecnologías de la Información deben de estar atentas para ponerse a la altura de la necesidad y liderar un proceso de implementación de políticas de TI que logre un alto grado de cobertura respecto de las necesidades de la organización.
El siguiente paso es el aprendizaje de las normas y marcos de referencia existentes para el Gobierno de TI. Esto ayuda a identificar de una manera completa todos los procesos que se podrían normar dentro de la gestión de TI. Dado que es imposible el lograr el 100% de cobertura en una primera generación de políticas de TI, la elección de procesos a documentar será beneficiada si se adoptan marcos de referencia que contemplen todos los aspectos del gobierno y la administración de TI, así como en las necesidades de cumplimiento de la organización. Por ejemplo, en una organización en la que el marco regulatorio le exige tener un Plan de Continuidad de Negocios, no seria excusable no tomar en cuenta como referencia la norma BS25999 de Administración de la Continuidad de Negocios o una similar. El no hacerlo seria un error grave, ya que para cumplir el requerimiento regulatorio debe crear políticas de continuidad de negocios, pero sin una guía, se tendría que reinventar lo ya inventado, con el correspondiente riesgo de cometer graves omisiones y gastar más tiempo.
Finalmente, las políticas de TI son escritas y sometidas a un proceso de aprobación. Este proceso pasa por la explicación a la alta dirección del marco de políticas diseñado y de la importancia de cada una dentro del contexto de operaciones de TI de la organización. Es de suma importancia el explicar las inversiones que se realizarán al momento de implementar las políticas, con el objetivo de lograr una aprobación del presupuesto de implementación junto con la aprobación de las políticas. Esto nos lleva al entendimiento común de que la mejora en la gestión de TI no se logrará mágicamente con la aprobación de políticas de TI, pero si es un primer paso, necesario, para lograr un mejor desempeño de la función de TI en el mediano plazo. También es ideal, lograr el entendimiento que en el proceso la organización aprenderá más sobre las operaciones de TI, cuando se les comuniquen las nuevas políticas de TI y luego se capacite al personal de la organización en su aplicación.
Gestión y Auditoría de TI 