Summary-IT Controls book (Spanish version)

331 views

Published on

IT strategic and operational controls in Spanish

  • Be the first to comment

  • Be the first to like this

Summary-IT Controls book (Spanish version)

  1. 1. SUMMARY Controles Estratégicos y Operacionales de la TI JOHN KYRIAZOGLOU www.itgovernance.co.uk © John Kyriazoglou 2010 El autor tiene los derechos, según la Copyright, Designs y Patents Act, 1988, para ser identificado como el autor de este trabajo. Primera edición publicada en el Reino Unido (UK) en 2010 Por IT Governance Publishing. 978-1-84928-061-7 PREFACIO
  2. 2. Se puede fracasar de muchas maneras, pero sólo de una se puede tener éxito. Aristóteles (384–322 a. C.) Los activos más críticos, en el siglo 21, para las empresas públicas o privadas, para las organizaciones, la sociedad global y la economía (local, nacional, internacional) no son activos materiales (equipos, maquinaria, instalaciones, fábricas), o de naturaleza financiera (dinero, crédito u otros instrumentos financieros), ni tampoco son software. Los activos más críticos son el conocimiento (hechos, experiencia, datos sin elaborar, etc.) y las ideas (conceptos) que están almacenados en sistemas informatizados (personales y corporativos), en el moderno entorno de negocios. La tecnología de información y la infraestructura relacionada, los sistemas de información, la red troncal de comunicaciones (intranet, extranet, metropolitana, Internet, etc.) y las tecnologías de medios (media), dan a todos los que están en un contexto social, y a los gestores de un entorno organizativo concreto, acceso directo a lo que está ocurriendo: en la organización concreta, en el sector de su industria y en la economía general y en el mercado donde la organización opera. Todos estos componentes tecnológicos, denominados de modo amplio Tecnología de Información (TI) y los Sistemas de Información (SI) que operan dentro de la TI, posibilitan que la moderna empresa privada o la corporación u organización pública consiga los siguientes beneficios (orientativos): Información más rápida y más efectiva para la toma de decisión de todos los niveles; mayor calidad en los productos y servicios ofrecidos por los sistemas de información a los clientes (y ciudadanos) y a la sociedad en general. Con la velocidad de desarrollo del proceso de información y de los procesos y tecnologías de fabricación de ordenadores, una velocidad sin precedentes en la historia de la humanidad, ahora las organizaciones pueden hacer que casi todas las operaciones de la actividad diaria se puedan llevar a cabo en sistemas integrados de información. Estos sistemas son como los medicamentos, que o bien refuerzan la organización o le permiten curar o resolver un problema concreto de fallo de funcionamiento. Sin embargo, siguiendo con la analogía del medicamento, si estos sistemas no se usan de modo riguroso pueden causar daños y, a menudo, ocasionar resultados inesperados e incluso catastróficos. Estos sistemas integrados de información deben, pues, operar dentro de un entorno de negocio regulado por reglas, políticas, leyes e instrucciones de un marco de referencia de gobernanza corporativa y gestión del riesgo, y el correspondiente marco de referencia de gobernanza de tecnología. Como dijo Negroponte: ‘La próxima década verá casos de abuso sobre la propiedad intelectual y de invasión de nuestra privacidad. Sufriremos vandalismo digital, piratería del software y robo de datos’. Esta predicción se ha cumplido. Los incidentes de seguridad y otros actos de delitos electrónicos o por medio de ordenadores, están creciendo (como muestra www.cert.org y otros recursos relacionados con la seguridad). Kevin David Mitnick, consultor de seguridad de TI, y condenado por varios delitos informáticos en Estados Unidos a finales de los años 90, dijo: ‘La información valiosa debe protegerse
  3. 3. independientemente de su formato o de dónde esté ubicada. La lista de clientes tiene el mismo valor si está en papel o en un archivo electrónico, en su oficina o en una caja. Los ingenieros sociales siempre prefieren lo más fácil de evitar, el punto de ataque menos defendido. Se piensa que un centro de almacenamiento, fuera de los centros informáticos, tiene menos riesgo de ser detectado o atacado. Todas las organizaciones que almacenan cualquier datos valioso, sensible o crítico, en instalaciones o medios de terceros, deberían cifrar sus datos para proteger su confidencialidad’. La auditoría de TI mejorará las cualidades de la información (efectividad, eficiencia, confidencialidad, integridad, disponibilidad, cumplimiento, fiabilidad), según ISACA (www.isaca.org). La respuesta para los gestores y líderes de las organizaciones está en planear este nuevo entorno con las herramientas, metodologías y recursos apropiados. Esta es, pues, la razón de escribir este libro: ofrecer un libro exhaustivo, práctico y conveniente (en estilo y contenido) y al mismo tiempo claro en los conceptos, sobre los Controles de TI, su diseño, implantación, monitorización, revisión y asuntos de auditoría. En casi todas las clases de organizaciones, públicas o privadas, los controles corporativos muestran el conjunto de políticas, procedimientos, técnicas, métodos y prácticas para gestionar y controlar sus operaciones de negocio. Dentro de sus marcos de referencia de controles corporativos, los controles de Tecnología de Información (o controles de TI) son acciones específicas -habitualmente especificadas por medio de políticas, procedimientos, prácticas, etc.- realizadas por personas máquinas o software, con el objetivo principal de asegurar que se satisfacen los objetivos específicos de negocio. El objetivo principal de los controles de TI ser refiere al procesamiento seguro, confidencialidad, integridad y disponibilidad de los datos y a la gestión general de la función de TI en las organizaciones. Se dirigen a posibilitar, facilitar y dar soporte al marco de referencia de gestión del conocimiento de las organizaciones, ya que los sistemas de TI y los elementos relacionados: organizativos, administrativos y de infraestructura (bases de datos, almacenes de datos, comunicaciones, herramientas de adquisición de conocimiento y de análisis de datos, etc.) son factores importantes de este marco de referencia. Los controles de TI se suelen clasificar, según varias fuentes, en dos categorías: Controles generales de TI y controles de aplicaciones informáticas. Los controles generales de TI son aplicables a todas las actividades de TI (sistemas, servicios, problemas, procesos, operaciones, etc.) y a todos los datos de una organización concreta o de un entorno de sistemas de TI. Incluyen controles cobre áreas como estrategia de TI, desarrollo de sistemas, operaciones de centros de datos, infraestructura de bases de datos y comunicaciones de datos, soporte y mantenimiento del software de sistemas, seguridad de TI, adquisición de aplicaciones llave en mano, desarrollo y mantenimiento. Los controles de aplicaciones informáticas son los apropiados para el procesamiento de transacciones en subsistemas individuales informatizados, como contabilidad financiera, administración de Personal, ventas a clientes, control del inventario, nóminas, cuentas a pagar, etc.
  4. 4. Se refieren al procesamiento y almacenamiento de datos en archivos informatizados por medio de aplicaciones individuales y de programas, y ayuda a asegurar que las transacciones de negocio están autorizadas y son registradas, almacenadas, procesadas y reportadas de modo íntegro (completo) y exacto. Los controles generales de TI se tratan en los capítulos 1 a 8. Los controles de aplicación de TI se tratan en el capítulo 9. Se incluyen varios casos de estudio en el capítulo 10. El método seguido en este libro es el de poner en funcionamiento y operar cualquier función o entidad de negocio, como ventas, producción, TI, etc. y los controles precisos (planes, políticas, procedimientos, prácticas, etc.) para gestionarla y operarla mejor. Es un libro práctico, basado sobre todo en la experiencia práctica del autor, complementada, en algunos casos con investigación. Inicialmente usted establece la entidad o función de TI y sus controles (Capítulo 1: Controles de la organización de TI). Como segunda acción, usted diseña e implanta las políticas y procedimientos básicos de TI para obtener los recursos necesarios (Capítulo 2: Controles de administración de TI). Su tercera actividad es diseñar (o mejorar la ya existente) una arquitectura de negocio para posibilitar el proceso estratégico de TI (Capítulo 3: Controles de Arquitectura de la Empresa). Después de estar puesta en marcha la función de TI con estructura, personal, administración y Arquitectura de la Empresa, usted construye una estrategia de TI y la alinea con las funciones de negocio de la organización (Capítulo 4: Controles estratégicos de TI). Ahora, poniendo en acción su estrategia de TI, puede crear productos y servicios seguros y con calidad. Para ello, usted desarrolla y diseña sistemas de aplicaciones. (Capítulo 5: Controles del desarrollo de sistemas) y crea e implanta controles de seguridad (Capítulo 6: Controles de seguridad de TI). Para ejecutar estos sistemas de aplicaciones y proporcionar servicio a todos los niveles y ubicaciones de la organización y la comunidad extendida, incluyendo otras partes interconectadas, usted necesita crear y operar una infraestructura física y conseguir servicios de proveedores externos especializados (Capítulo 7: Controles de operaciones y soporte del Centro de Procesamiento de Datos). Ya que estos sistemas de aplicación informatizados están constituidos con software de aplicación, que no puede funcionar él solo, sino que debe tener software de sistemas, sobre el cual puede conseguir sus tareas, usted necesita instalar y configurar software específico de sistemas y plataformas tecnológicas, como sistemas de gestión de bases de datos, comunicaciones de datos y software de redes, etc. (Capítulo 8: Controles de software de sistemas). Por último, pero no menos importante, todos los sistemas de aplicaciones informáticas están compuestos de programas individuales, que reciben datos de las transacciones de negocio, comprueban que no tengan errores, las procesan y almacenan en archivos informatizados y proporcionan informes y resultados a todos los usuarios autorizados de esos sistemas. Como estos programas necesitan cumplir sus tareas con el mayor nivel posible de exactitud, calidad y seguridad, deben aplicarse controles específicos en los programas individuales o subsistemas (Capítulo 9: Controles en aplicaciones informáticas).
  5. 5. Además, varios casos de estudio sobre el uso de controles de TI presentados en todos estos capítulos, se perfilan en el Capítulo 10 (Uso de Controles de TI en misiones de auditoría y consultoría). Todos los capítulos contienen ejemplos de varios planes, políticas, procedimientos, metodologías, formularios, medidas de desempeño o rendimiento y otros controles (p.e. programas y listas de comprobación de auditoría), y se complementan y reciben apoyo de un apéndice, que contiene varias herramientas (políticas, formularios, metodología de auditoría, etc.). Cada capítulo tiene un alcance, la descripción de los principales tipo de control del área particular (p.e. organización de TI, administración de TI, etc.), un ejemplo de las medidas de desempeño o rendimiento (estratégico y operacional), varios programas y listas de comprobación de auditoría y un conjunto de preguntas de revisión. Las medidas de desempeño operacional supervisan la implantación y efectividad de las estrategias de TI de una organización, determinar el diferencia entre el desempeño real y el objetivo y determinar la efectividad, calidad de productos y servicios y la eficiencia operacional. La medida del desempeño puede definirse como: (a) el cálculo de lo conseguido, para medir y gestionar la calidad de un proyecto, (b) el grado de logro de un objetivo, comparándolo con un esfuerzo dado, o (c) el acto de medir o el proceso de ser medido. Un indicador o medida esencial del desempeño es una descripción de qué se mide, para determinar hasta qué punto se han conseguido los objetivos y resultados. Un indicador o medida de cumplimiento muestra: (a) si los planes, políticas, procedimientos, etc. existen o no, (b) si los elementos anteriores se siguen o no, y (c) si la organización cumple o no con las leyes específicas, las normas de la industria, los códigos éticos, como el Acta SOX, las leyes de privacidad de datos, las regulaciones bancarias, las normas ISO, etc. En los capítulos 1 a 9 se incluyen ejemplos de medidas del desempeño y del cumplimiento. Se añaden programas y listas de comprobación de auditoría de TI en un volumen separado, Apéndice a los Controles Estratégicos y Operaciones de TI, en formato pdf. La audiencia potencial de este libro incluye gestores de TI, auditores de TI, gestores de proyectos de TI, auditores de Sistemas de Información, personas de desarrollo de sistemas o de mantenimiento y soporte de software, expertos en ciberdelincuencia, inspectores de fraude, profesionales de seguridad y del riesgo, consultores de TI, estudiantes de contabilidad , finanzas, auditoría interna y administración de empresas, todos los niveles de gestores de organizaciones públicas y privadas, auditores externos, expertos en desempeño (rendimiento) corporativo, miembros de Consejo de Administración, asesores en Recursos Humanos y cualquiera interesado en cómo pueden gestionarse y controlarse mejor las operaciones, actividades e inversiones de las organizaciones. Los materiales, conceptos, ideas, planes, políticas, procedimientos, formularios métodos, herramientas, etc, que se presentan, describen y analizan en los capítulos y apéndices se muestran con propósito educativo y de entrenamiento. Están basados en la experiencia del autor y en los recursos identificados en la bibliografía. Tal vez pueden usarse sólo como una muestra inicial, y debe personalizarse en cada organización, tras pensarlo mucho y con cuidado, teniendo en cuenta las necesidades y requisitos
  6. 6. de cada organización, las expectativas y las implicaciones y aspectos de los entornos legal, nacional, religioso, filosófico, cultural y social, con lo cuales cada organización existe y opera. Confío en que este libro pueda ayudarle a ejecutar actividades de gestión de un modo más eficiente y a comprender y controlar mejora las organizaciones. John Kyriazoglou, CICA, BA (Hons) jkyriazoglou@hotmail.com CONTENIDO
  7. 7. de cada organización, las expectativas y las implicaciones y aspectos de los entornos legal, nacional, religioso, filosófico, cultural y social, con lo cuales cada organización existe y opera. Confío en que este libro pueda ayudarle a ejecutar actividades de gestión de un modo más eficiente y a comprender y controlar mejora las organizaciones. John Kyriazoglou, CICA, BA (Hons) jkyriazoglou@hotmail.com CONTENIDO

×