Archivo del sitio

¿Qué son los controles de TI?

La definición de controles se refiere a la creación de mecanismos que aseguren que los objetivos de la inversión en TI son cumplidos y que los riesgos inherentes a las Tecnologías de la Información son mitigados. Estos mecanismos están representados por todas las acciones, documentos y configuraciones de dispositivos que permiten identificar quién es el responsable del control, en qué consiste, la frecuencia de uso, los productos que se emitirán para garantizar su ejecución, así como la medición de los resultados y las acciones correctivas a realizar para mejorar la situación controlada. Específicamente estamos hablando de cosas como los manuales organizacionales de las funciones de TI, de las políticas que definan los lineamientos a seguir, de los procedimientos existentes para especificar como se hacen las operaciones diarias y rutinarias en el contexto de la infraestructura tecnológica de la organización, de los reportes que se emitirán y a quienes se presentarán para toma de decisiones, incluyendo su frecuencia de emisión. Con esta claridad, pasamos a darnos cuenta de que los controles de TI no tienen nada de místico, son documentos con los que todo el mundo esta familiarizado.

Sin embargo, muchas unidades de TI carecen de controles claves, dejando la obtención de resultados y otros factores como la seguridad, la efectividad y la eficiencia de sus operaciones al azar. Veamos un ejemplo. Se conoce que el acceso a la información de la organización debe de ser restringida solamente al personal autorizado y siguiendo un principio de asignación de privilegios mínimos necesarios para cumplir con las funciones de su perfil de puestos. Este simple hecho, plantea la necesidad de varios controles para contar con un acceso a la información adecuado. Controles que podemos enumerar para esta área incluyen: procedimientos de creación de usuarios, procedimientos de asignación de privilegios, matrices de segregación de funciones, procedimientos de revisión de usuarios inactivos, procedimientos de revisión de privilegios otorgados. Los responsables de TI, que están acostumbrados a ejecutar un ciclo de vida para la implementación de sistemas, deben de crear un paralelo con el ciclo de vida de un usuario para diseñar los controles que les garantizarán que no van a existir usuarios con acceso a información a la que no están autorizados, tomando en cuenta los cambios de estado que el usuario tendrá durante toda su vida activa en la organización. Errores típicos encontrados en la gestión de accesos se dan porque al cambiar de funciones una persona, le asignan los privilegios de su nuevo rol, pero no le remueven los privilegios de su rol anterior. Cuando un usuario ha repetido 3 o 4 veces el cambio de rol, tiene privilegios que le permiten por sí solo iniciar, ejecutar y cerrar operaciones en los sistemas. Esta simple falla de control es la que puede llevar a la ejecución exitosa de casos de fraude en las organizaciones. Esto representaría una falla de control grave.

Es importante mencionar que en el tema de controles, la función de TI tiene que participar en igual proporción de responsabilidades con el negocio, para garantizar que ambos entienden la necesidad del control, el riesgo que están cubriendo y colaborar para lograr una aplicación efectiva de los controles diseñados. Esto incluye la colaboración en la identificación de mejoras en los controles y su implementación inmediata, una vez se aprueba la siguiente versión del control.

¿Qué es la auditoría de sistemas?

El principal problema en la gestión de las Tecnologías de la Información en la región centroamericana, desde el punto de vista de la implementación de controles se basa en la inexistencia de una cultura de control entre los responsables de la gestión de las Tecnologías de la Información, tales como Gerentes de Sistemas y Directores de TI, así como de la alta dirección, desde Gerentes Generales, Gerentes financieros, Presidentes y similares. La razón principal podría basarse en que cuando la generación que hoy dirige las empresas pasó por las aulas universitarias, el estado de las Tecnologías de la Información no era lo que es hoy y nadie en esos momentos hubiera predicho como evolucionarían las cosas y la importancia que la información llegaría a tener en las operaciones diarias de las organizaciones.

Sin embargo, las empresas hoy están realizando grandes inversiones en Tecnologías de la Información, necesarias para mantenerse competitivos y muchas veces para potenciar el negocio, por lo que interesa tener control sobre las Tecnologías de la Información para obtener los beneficios esperados y evitar o minimizar los riesgos inherentes. Pensemos en el giro que han tomado los antiguos periódicos de papel y que hoy buscan ganar en el ciberespacio un lugar para no quedar desfasados y ser remplazados totalmente por lecturas digitales.

En este contexto, la auditoría de sistemas tiene el rol de realizar revisiones técnicas de los controles establecidos por los responsables de TI para informar a la alta gerencia sobre posibles riesgos que se generan en la gestión de las Tecnologías de la Información y apoyar con la recomendación de la creación de controles que son necesarios o en la optimización de los existentes. En esta función, la auditoría de sistemas tiene un rol dual. Por un lado, se convierte en los ojos de la alta gerencia para evaluar el funcionamiento de la gestión de TI. Por otro lado, ayuda a formar un marco de control interno en el área de TI de acuerdo con las necesidades de la empresa.

La función de auditoría de sistemas utiliza en sus revisiones como criterios de evaluación diferentes normas y marcos de referencia que han sido creados a partir de consensos internacionales, además de las normas regulatorias locales y las buenas prácticas recomendadas por los fabricantes de tecnología. Esto constituye una garantía de que se realizan evaluaciones objetivas. De hecho, los responsables de TI, en la medida que maduran sobre su aprendizaje de la gestión de TI, van reconociendo las normas y marcos de referencia que les son aplicables y van implementando controles de acuerdo a evaluaciones propias de pertinencia en la organización. Esto es un reconocimiento implícito de la necesidad de control por parte de los responsables de la función de TI en las organizaciones. En un ambiente organizacional que provee mejora continua a sus procesos de gestión, la auditoría de sistemas le aporta los conocimientos necesarios para enfocar la mejora en el control de TI, bajo un enfoque metodológico y sistemático, basado en normas y marcos de referencia reconocidos y totalmente integrado con el plan de auditoría interna de la organización.

A %d blogueros les gusta esto: