Archivo del sitio
La Construcción de Políticas de TI
Como todo marco regulatorio, el conjunto de normas que rigen las operaciones de TI deben de ser dirigidas por políticas. La construcción de las políticas debe de considerarse como el paso número uno de la generación de un marco regulatorio más grande. ¿Qué debemos evitar? La gerencia de TI debe de implementar normas que apoyen la gestión del negocio, que tengan el mismo sentido de dirección y organización que tiene la empresa, por lo que lo primero que hay que evitar, es el impulso de políticas que se distancien de los planes organizacionales. La principal razón por la cual las políticas deben de ser aprobadas al más alto nivel organizacional es el garantizar que su enfoque ha sido presentado a la alta dirección, que se han discutido las implicaciones y que se han elegido los lineamientos que tienen todo el apoyo de la alta dirección. Esto es especialmente importante en los grandes corporativos, que se expanden en diferentes empresas y muchas veces obligan a la coordinación de diferentes departamentos de informática, algunos de ellos operando sobre diferentes condiciones por el giro al que se dedican, las regulaciones externas aplicables y la situación competitiva. En el ambiente de una empresa más pequeña, siempre tiene importancia la aprobación de la alta dirección, especialmente porque en estas empresas puede suceder que las relaciones de confianza entre los diferentes usuarios con la alta dirección, lleve a los usuarios a solicitar autorizaciones a la alta dirección para no cumplir con las regulaciones de TI, bajo cualquier pretexto, sea válido o no. En estos casos, la definición de políticas y el proceso de discusión que tiene que llevar a un entendimiento de la alta dirección del objetivo de cada política, de los riesgos que se están previendo, de la motivación para incrementar la seguridad de la información o la eficiencia de las operaciones. Se puede decir que la definición de políticas debe de ser visto como el primer punto de integración de las operaciones de TI con el negocio, a un nivel pre-operativo, que establece lineamientos para realizar tareas más específicas, que serán posteriormente detalladas por normas específicas, la adopción de estándares y la definición de procedimientos de trabajo.
Podemos concluir entonces que la construcción de políticas de TI debe de estar en sintonía con las intenciones de la organización y el nivel de soporte de TI necesario para lograr los objetivos del negocio. Por lo tanto, no es sano sólo copiar las políticas de otra organización. La aprobación de políticas por la alta dirección debe de garantizar que se han discutido y entendido las consecuencias de una política determinada y que no se presentarán desviaciones significativas en su ejecución.
¿Qué son los controles de TI?
La definición de controles se refiere a la creación de mecanismos que aseguren que los objetivos de la inversión en TI son cumplidos y que los riesgos inherentes a las Tecnologías de la Información son mitigados. Estos mecanismos están representados por todas las acciones, documentos y configuraciones de dispositivos que permiten identificar quién es el responsable del control, en qué consiste, la frecuencia de uso, los productos que se emitirán para garantizar su ejecución, así como la medición de los resultados y las acciones correctivas a realizar para mejorar la situación controlada. Específicamente estamos hablando de cosas como los manuales organizacionales de las funciones de TI, de las políticas que definan los lineamientos a seguir, de los procedimientos existentes para especificar como se hacen las operaciones diarias y rutinarias en el contexto de la infraestructura tecnológica de la organización, de los reportes que se emitirán y a quienes se presentarán para toma de decisiones, incluyendo su frecuencia de emisión. Con esta claridad, pasamos a darnos cuenta de que los controles de TI no tienen nada de místico, son documentos con los que todo el mundo esta familiarizado.
Sin embargo, muchas unidades de TI carecen de controles claves, dejando la obtención de resultados y otros factores como la seguridad, la efectividad y la eficiencia de sus operaciones al azar. Veamos un ejemplo. Se conoce que el acceso a la información de la organización debe de ser restringida solamente al personal autorizado y siguiendo un principio de asignación de privilegios mínimos necesarios para cumplir con las funciones de su perfil de puestos. Este simple hecho, plantea la necesidad de varios controles para contar con un acceso a la información adecuado. Controles que podemos enumerar para esta área incluyen: procedimientos de creación de usuarios, procedimientos de asignación de privilegios, matrices de segregación de funciones, procedimientos de revisión de usuarios inactivos, procedimientos de revisión de privilegios otorgados. Los responsables de TI, que están acostumbrados a ejecutar un ciclo de vida para la implementación de sistemas, deben de crear un paralelo con el ciclo de vida de un usuario para diseñar los controles que les garantizarán que no van a existir usuarios con acceso a información a la que no están autorizados, tomando en cuenta los cambios de estado que el usuario tendrá durante toda su vida activa en la organización. Errores típicos encontrados en la gestión de accesos se dan porque al cambiar de funciones una persona, le asignan los privilegios de su nuevo rol, pero no le remueven los privilegios de su rol anterior. Cuando un usuario ha repetido 3 o 4 veces el cambio de rol, tiene privilegios que le permiten por sí solo iniciar, ejecutar y cerrar operaciones en los sistemas. Esta simple falla de control es la que puede llevar a la ejecución exitosa de casos de fraude en las organizaciones. Esto representaría una falla de control grave.
Es importante mencionar que en el tema de controles, la función de TI tiene que participar en igual proporción de responsabilidades con el negocio, para garantizar que ambos entienden la necesidad del control, el riesgo que están cubriendo y colaborar para lograr una aplicación efectiva de los controles diseñados. Esto incluye la colaboración en la identificación de mejoras en los controles y su implementación inmediata, una vez se aprueba la siguiente versión del control.
¿Qué es la auditoría de sistemas?
El principal problema en la gestión de las Tecnologías de la Información en la región centroamericana, desde el punto de vista de la implementación de controles se basa en la inexistencia de una cultura de control entre los responsables de la gestión de las Tecnologías de la Información, tales como Gerentes de Sistemas y Directores de TI, así como de la alta dirección, desde Gerentes Generales, Gerentes financieros, Presidentes y similares. La razón principal podría basarse en que cuando la generación que hoy dirige las empresas pasó por las aulas universitarias, el estado de las Tecnologías de la Información no era lo que es hoy y nadie en esos momentos hubiera predicho como evolucionarían las cosas y la importancia que la información llegaría a tener en las operaciones diarias de las organizaciones.
Sin embargo, las empresas hoy están realizando grandes inversiones en Tecnologías de la Información, necesarias para mantenerse competitivos y muchas veces para potenciar el negocio, por lo que interesa tener control sobre las Tecnologías de la Información para obtener los beneficios esperados y evitar o minimizar los riesgos inherentes. Pensemos en el giro que han tomado los antiguos periódicos de papel y que hoy buscan ganar en el ciberespacio un lugar para no quedar desfasados y ser remplazados totalmente por lecturas digitales.
En este contexto, la auditoría de sistemas tiene el rol de realizar revisiones técnicas de los controles establecidos por los responsables de TI para informar a la alta gerencia sobre posibles riesgos que se generan en la gestión de las Tecnologías de la Información y apoyar con la recomendación de la creación de controles que son necesarios o en la optimización de los existentes. En esta función, la auditoría de sistemas tiene un rol dual. Por un lado, se convierte en los ojos de la alta gerencia para evaluar el funcionamiento de la gestión de TI. Por otro lado, ayuda a formar un marco de control interno en el área de TI de acuerdo con las necesidades de la empresa.
La función de auditoría de sistemas utiliza en sus revisiones como criterios de evaluación diferentes normas y marcos de referencia que han sido creados a partir de consensos internacionales, además de las normas regulatorias locales y las buenas prácticas recomendadas por los fabricantes de tecnología. Esto constituye una garantía de que se realizan evaluaciones objetivas. De hecho, los responsables de TI, en la medida que maduran sobre su aprendizaje de la gestión de TI, van reconociendo las normas y marcos de referencia que les son aplicables y van implementando controles de acuerdo a evaluaciones propias de pertinencia en la organización. Esto es un reconocimiento implícito de la necesidad de control por parte de los responsables de la función de TI en las organizaciones. En un ambiente organizacional que provee mejora continua a sus procesos de gestión, la auditoría de sistemas le aporta los conocimientos necesarios para enfocar la mejora en el control de TI, bajo un enfoque metodológico y sistemático, basado en normas y marcos de referencia reconocidos y totalmente integrado con el plan de auditoría interna de la organización.
Gestión y Auditoría de TI 