miércoles, 2 de diciembre de 2015

3.4. ÁREAS DE OPORTUNIDAD. ITIL

3.4.1.    ANÁLISIS FODA
La matriz FODA es una herramienta de análisis que puede ser aplicada a cualquier situación, individuo, producto, empresa, etc., que esté actuando como objeto de estudio en un momento determinado del tiempo.
Es como si se tomara una “radiografía” de una situación puntual de lo particular que se esté estudiando. Las variables analizadas y lo que ellas representan en la matriz son particulares de ese momento. Luego de analizarlas, se deberán tomar decisiones estratégicas para mejorar la situación actual en el futuro.
Fortalezas: son las capacidades especiales con que cuenta la empresa, y que le permite tener una posición privilegiada frente a la competencia. Recursos que se controlan, capacidades y habilidades que se poseen, actividades que se desarrollan positivamente, etc.
Oportunidades: son aquellos factores que resultan positivos, favorables, explotables, que se deben descubrir en el entorno en el que actúa la empresa, y que permiten obtener ventajas competitivas.
Debilidades: son aquellos factores que provocan una posición desfavorable frente a la competencia, recursos de los que se carece, habilidades que no se poseen, actividades que no se desarrollan positivamente, etc.
Amenazas: son aquellas situaciones que provienen del entorno y que pueden llegar a atentar incluso contra la permanencia de la organización. (Ziris, 2011)



3.4.2.    ITIL
Marco de referencia que describe un conjunto de mejores prácticas y recomendaciones para la administración de servicios de TI, con un enfoque de administración de procesos.
ITIL se creó como un modelo para la administración de servicios de TI e incluye información sobre las metas, las actividades generales, las entradas y las salidas de los procesos que se pueden incorporar a las áreas de TI.
ITIL fue desarrollada al reconocer que las organizaciones dependen cada vez más de la Informática para alcanzar sus objetivos corporativos.
La aplicación TI (a veces nombrada como un sistema de información) sólo contribuye a realizar los objetivos corporativos si el sistema está a disposición de los usuarios y, en caso de fallos o modificaciones necesarias, es soportado por los procesos de mantenimiento y operaciones.



3.4.3.    VENTAJAS
ü  Mejora la comunicación con los clientes y usuarios finales a través de los diversos puntos de contacto acordados.
ü  Los servicios se detallan en lenguaje del cliente y con más detalles.
ü  Se maneja mejor la calidad y los costos de los servicios.
ü  La entrega de servicios se enfoca más al cliente, mejorando con ello la calidad de los mismos y relación entre el cliente y el departamento de IT.
ü  Una mayor flexibilidad y adaptabilidad de los servicios.
ü  La organización TI desarrolla una estructura más clara, se vuelve más eficaz, y se centra más en los objetivos de la organización.
ü  La administración tiene un mayor control, se estandarizan e identifican los procedimientos, y los cambios resultan más fáciles de manejar.
ü  La estructura de procesos en IT proporciona un marco para concretar de manera más adecuada los servicios de outsourcing.
ü  A través de las mejores prácticas de ITIL se apoya al cambio en la cultura de TI y su orientación hacia el servicio, y se facilita la introducción de un sistema de administración de calidad.
ü  ITIL proporciona un marco de referencia uniforme para la comunicación interna y con proveedores.

3.4.4.    DESVENTAJAS
ü  Tiempo y esfuerzo necesario para su implementación.
ü  Que no se dé el cambio en la cultura de las áreas involucradas.
ü  Que no se vea reflejada una mejora, por falta de entendimiento sobre procesos, indicadores y como pueden ser controlados.
ü  Que el personal no se involucre y se comprometa.
ü  La mejora del servicio y la reducción de costos puede no ser visible.
ü  Que la inversión en herramientas de soporte sea escasa. Los procesos podrán parecer inútiles y no se alcancen las mejoras en los servicios.

3.4.5.    LINEAMIENTOS Y/O ESTÁNDARES.
         Programa de auditoría.
         Plan de Auditoría.
         Lista de chequeo.
         Reporte de no conformidad.
         Reuniones de apertura y cierre.
         Seguimiento de acciones correctivas.
         Acta de Auditoría
         Informe final del ciclo.
         Informe para revisión por la gerencia. (Juarez, 2010)


Publicado por en No hay comentarios:

3.3. PRESENTACIÓN DE CONCLUSIONES DE AUDITORIA

3.3.1.    TIPOS DE CONCLUSIONES
ü  CONCEPTO
Conclusión es una proposición al final de un argumento, luego de las premisas.  Si el argumento es válido, las premisas implican la conclusión.  Como en general se argumenta con intención de establecer una conclusión, se suele procurar que las premisas impliquen la conclusión y que sean verdaderas. Antes que nada, se debe recordar que una conclusión es una proposición lógica final y no una "opinión".
ü  CALIDAD
Proceso sistemático documentado y de verificación objetiva para:
·         Evaluar la evidencia.
·         Determinar cuáles actividades, eventos condiciones, cumplen con los criterios de la auditoria.

ü  CONCLUSIÓN
Especifica el cierre de la auditoria y el cumplimiento de los objetivos.
El informe de auditoría tiene que estar basado en una metodología, misma que debe estar soportada por mejores prácticas administrativas y tecnológicas.
Debe contener cuando menos los puntos observados en la presentación y el formato puede elaborarse de acuerdo a las necesidades del auditor, por lo que no existe un formato en específico. La información y observaciones vertidos deben contener sustento y no pueden ser en ningún caso subjetivos.

ü  PARTES DE UNA CONCLUSIÓN DETALLADA
·         Título.
·         Partes interesadas.
·         Objetivo, áreas y procesos involucrados.
·         También describe la extensión y límites de la auditoría.
·         Resultados: Descubrimientos encontrados en la auditoría.
·         Observaciones relevantes por parte del auditor.
·         Firmas del auditor y auditado.
ü  INFORME DE AUDITORÍA
Es el medio formal para comunicar los objetivos de la auditoria, las normas utilizadas, alcance, resultados, conclusiones y recomendaciones de la auditoria.  La conclusión debe ser objetiva, clara, concisa, constructiva y oportuna.


Publicado por en No hay comentarios:

3.2. INTERPRETACIÓN DE LOS RESULTADOS DE AUDITORIA

3.2.1.    IDENTIFICAR LOS TIPOS DE OPINIONES
ü  FAVORABLE
En una opinión favorable, el auditor manifiesta de forma clara y precisa que las cuentas anuales consideradas expresan en todos los aspectos significativos la imagen fiel del patrimonio y de la situación financiera, de los resultados de sus operaciones y de los recursos obtenidos y aplicados durante el ejercicio, y contienen la información necesaria y suficiente para su interpretación y comprensión adecuada, de conformidad con principios y normas contables generalmente aceptados que guardan uniformidad con los aplicados en el ejercicio anterior.
Este tipo de opinión solo podrá expresarse cuando concurran las siguientes circunstancias:
·         Que el auditor haya realizado su trabajo sin limitaciones y sin incertidumbres, de acuerdo con las Normas Técnicas de Auditoría.

·         Que las cuentas anuales, incluyendo la información necesaria y suficiente en la memoria para su interpretación y comprensión adecuada, se hayan formulado de conformidad con los principios y normas contables.

3.2.2.    INFORME.
La función de la auditoria se materializa exclusivamente por escrito. Por lo tanto la elaboración final es el exponente de su calidad. Resulta evidente la necesidad de redactar borradores e informes parciales previos al informe final, los que son elementos de contraste entre opinión entre auditor y auditado y que pueden descubrir fallos de apreciación en el auditor.
*         Estructura del informe final:
El informe comienza con la fecha de comienzo de la auditoria y la fecha de redacción del mismo. Se incluyen los nombres del equipo auditor y los nombres de todas las personas entrevistadas, con indicación de la jefatura, responsabilidad y puesto de trabajo que ostente.
Definición de objetivos y alcance de la auditoria.
*         Enumeración de temas considerados:
Antes de tratarlos con profundidad, se enumerarán lo más exhaustivamente posible todos los temas objeto de la auditoria.
*         Cuerpo expositivo:
Para cada tema, se seguirá el siguiente orden a saber:
§  Situación actual. Cuando se trate de una revisión periódica, en la que se analiza no solamente una situación sino además su evolución en el tiempo, se expondrá la situación prevista y la situación real.
§  Tendencias. Se tratarán de hallar parámetros que permitan establecer tendencias futuras.
§  Puntos débiles y amenazas.
§  Recomendaciones y planes de acción. Constituyen junto con la exposición de puntos débiles, el verdadero objetivo de la auditoria informática.
§  Redacción posterior de la Carta de Introducción o Presentación
Publicado por en No hay comentarios:

3.1. CONCEPTOS BÁSICOS

3.1.1.    CONCEPTOS DE EVIDENCIA
La evidencia de auditoría es necesaria para corroborar o contradecir las afirmaciones que contiene los estados financieros y proporcionar así al auditor una base para expresar su opinión, se obtiene diseñando y aplicando pruebas de auditoría.
Los tipos de evidencia son:
1.      Examen Físico
2.      Confirmación
3.      Documentación
4.      Observación
5.      Consulta al cliente
6.      Desempeño

7.      Procedimientos analíticos



3.1.2.    PAPELES DE TRABAJO O DOCUMENTACIÓN
Son el conjunto de documentos, planillas o cédulas, en las cuales el auditor registra los datos y la información obtenida durante el proceso de Auditoría, los resultados y las pruebas realizadas.  Los papeles de trabajo también pueden constituir la información almacenada en cintas, películas u otros medios (diskettes), y puede habilitarse  sobre listados, y fotocopias de documentos claves de la organización, sin incurrir a exceso de copiar todo el archivo.
Los papeles de trabajo tienen los siguientes propósitos: 
ü  Soportar por escrito la planeación del trabajo de auditoría.
ü  Instrumento o medio de supervisión y revisión del trabajo de auditoría.
ü  Registra la evidencia como respaldo de la auditoria y de informe
ü  Se constituye en soporte legal en la medida de requerir pruebas.
ü  Memoria escrita de la auditoría.


Publicado por en No hay comentarios:

viernes, 27 de noviembre de 2015

Auditoría TI - ITIL

Hoy en día, las Tecnologías de la Información (TI) son un factor clave en la competitividad de las empresas y forman parte del núcleo de la gestión empresarial. Es fundamental evaluar la eficacia y la eficiencia con las que las empresas actúan en lo que TI se refiere.
La Auditoría TI es un proceso, el cual se orienta a la verificación y aseguramiento de la eficacia y de la eficiencia de las políticas y procedimientos establecidos para la implantación y uso adecuado de las Tecnologías de la Información, en cualquier ámbito.
La Auditoría TI debe ser más amplia que la simple detección de errores, debe proponer la toma de decisiones que permitan corregir los errores en caso de que existan y mejorar la forma de actuación. El examen que conforma una Auditoría TI abarca una serie de controles, verificaciones y juicios que concluyen en un conjunto de recomendaciones y un Plan de Acción. Es la elaboración de este Plan de Acción lo que diferencia a la Auditoría TI de lo que sería una auditoría tradicional.


3digits realiza todo el proceso de Auditoría TI con técnicos certificados en ITIL v3ITIL son las siglas de una metodología desarrollada a finales de los años 80 por iniciativa del gobierno del Reino Unido, específicamente por la OGC u Oficina Gubernativa de Comercio Británica (Office of Goverment Commerce). Las siglas de ITIL significan (Information Technology Infrastructure Library) o Biblioteca de Infraestructura de Tecnologías de Información.

Esta metodología es la aproximación más globalmente aceptada para la gestión de servicios de TIen todo el mundo, ya que es una recopilación de las mejores prácticas tanto del sector público como del sector privado. Estas buenas practicas se dan en base a toda la experiencia adquirida con el tiempo y proveen un conjunto completo de prácticas que abarca no sólo los procesos y requerimientos técnicos y operacionales, sino que se relaciona con la gestión estratégica, la gestión de operaciones y la gestión financiera de una organización moderna.
ITIL v3 postula un ciclo de vida basado en cinco procesos:
1. Estrategia del Servicio
2. Diseño del Servicio
3. Transición del Servicio
4. Operación del Servicio
5. Mejora Continua del Servicio
  


¿Por qué implantar ITIL?

Hoy en día, la dependencia de las Tecnologías de la Información por parte de las organizaciones es total. No en vano, se han convertido en un elemento indispensable en la creación de negocio para las compañías. Por eso, contar con unos estándares que ayuden a mantener la calidad de los servicios de TI y a reducir la complejidad de la infraestructura tecnológica que hay que gestionar resulta indispensable. ITIL desempeña un papel fundamental al ser la metodología más reconocida mundialmente para la mejora de la calidad en la prestación y el aumento de la productividad y eficiencia en la gestión de los servicios de TI. Y es que ITIL es una colección de documentos públicos, que basados en procesos y en un marco de mejores prácticas de la industria, permite la gestión de servicios de TI con calidad y a un coste adecuado.
Este concepto, por tanto, recoge las experiencias de múltiples organizaciones de todo el mundo en gestión de servicios TI, que, una vez analizadas y seleccionadas las más útiles, dan lugar a un conjunto de libros de las mejores prácticas. Proporciona un método para planificar procesos comunes, roles y actividades con relaciones y líneas de comunicación apropiadas, que permiten optimizar la gestión de servicios TI; es decir, ofrece un enfoque sistemático a la provisión de servicios TI de calidad.
Para garantizar el éxito de nuestro modelo de implantación progresiva, debemos destacar aquellos aspectos de la solución de Gestión de TI que facilitarían en gran medida su despliegue dentro de la organización. Estos son:

Enfoque Integrado

El primer aspecto a tomar en cuenta es el de proporcionar una única solución que permita una visión global de los puntos clave de la Gestión de TI y que disponga de una amplia cobertura funcional en una plataforma homogénea. Dicho enfoque integrado facilita la implantación, mantenimiento y actualización de la solución, lo cual se refleja mediante una reducción de costes y una mayor eficacia en la prestación del servicio.

Escalabilidad

Además de disponer de una plataforma homogénea para la Gestión TI, es necesario asegurar que la solución que simplanta gradualmente es escalable. Para ello, consideramos esencial que la herramienta disponga de funcionalidades que permitan un soporte multi-organización, es decir, que se pueda extender un modelo organizativo altamente centralizado hacia un modelo multisocietario de alta dispersión geográfica y funcional, que incluso pueda traspasar fronteras nacionales con usuarios en diferentes idiomas y zonas horarias. Este tipo de necesidad se ha incrementado como resultado de la creciente globalización en diferentes sectores empresariales. Muchos de nuestros clientes han pasado por procesos de consolidación de su operativa resultado de Fusiones y Adquisiciones empresariales, o simplemente por cambios de estrategia dentro de su organización. Sea cual sea la razón, este tipo de modelo progresivo debe de facilitar la adaptación a la nueva situación de la compañía.

Coste Total de Propiedad Bajo

El Coste Total de Propiedad (TCO, por sus siglas en inglés) sigue siendo una asignatura pendiente en muchas organizaciones de TI. Hoy en día, se centran muchas decisiones de implantación de soluciones primordialmente en la inversión inicial (infraestructuras y despliegue), sin tomar en cuenta los costes recurrentes post-implantación, que suelen representar entre un 50 y un 70% del TCO. Por esta razón, consideramos de vital importancia para el modelo de implantación progresiva propuesto, un enfoque de solución Out-of-the-box. Dicho enfoque se fundamenta en ofrecer, de manera estándar, una serie de prestaciones –como asistentes predefinidos, informes o indicadores– que faciliten la parametrización e integración gradual de los diversos procesos contemplados dentro del proyecto. Esto, con el paso del tiempo, supondrá menores costes de mantenimiento y de migración, con lo cual es posible esperar una reducción importante en el TCO. No olvidemos que esta reducción de costes es uno de los factores que servirán para demostrar los beneficios de la implantación progresiva de procesos de Gestión TI.

El modelo en la práctica

Esta propuesta de implantación progresiva no parte de una base teórica no probada, sino que se apoya en la experiencia en el desarrollo e implantación de una solución para Gestión de TI en diversas organizaciones tanto públicos como privados, a nivel mundial. La filosofía inherente a este modelo es la de quick-wins (ganancias rápidas), que pretende realizar entregas parciales que satisfagan requerimientos funcionales de los usuarios implicados. Dicho de otra manera, se busca poner en producción, de forma paulatina, las funcionalidades que permitan a los usuarios finales tener una toma de contacto inicial con los nuevos procesos a ser implantados o mejorados. Este enfoque facilita el proceso de Gestión del Cambio, debido a que esta exposición inicial de los usuarios permite realizar a tiempo los ajustes necesarios en el despliegue ya realizado y preparar mejor los siguientes pasos en la implantación. Además, está dinámica permite mantener un alto nivel de motivación de todos los implicados en la implantación, principalmente al ver los resultados positivos de las fases que se van completando, en vez de iniciar una proyecto de implantación demasiado largo y costoso, que al final pretende desplegar simultáneamente n procesos de gestión “el día D a la hora H”, con los altos riesgos que ese enfoque siempre supone.
Para ejemplificar lo expuesto anteriormente, y empleando ITIL como telón de fondo, se proporciona una recomendación de despliegue progresivo de procesos en la organización, tomando en cuenta las diferentes experiencias de implantación en diversas organizaciones. El orden de implantación de los procesos debe servir como una orientación inicial que debe de adaptarse a las necesidades concretas de cada empresa, después de un análisis inicial de su situación actual y de sus requerimientos para un a mejor prestación del servicio TI al negocio. Un punto importante a destacar: se debe de considerar, como punto de partida, la elaboración de un catálogo de servicios corporativo que recoga todos aquellos servicios que presta TI al negocio. Durante esta fase preliminar, se recomienda tomar en cuenta aspectos como la estandarización de nomenclaturas, identificación de niveles de criticidad, impacto para el negocio y grado de visibilidad dentro de la organización, entre otros.
Publicado por en No hay comentarios:

¿QUÉ ES LA AUDITORIA DE TECNOLOGIA DE INFORMACIÓN (A.T.I.)?

ROL DE LA AUDITORIA EN LA EMPRESA :
El auditor de sistemas debe jugar un rol proactivo a través de todas las etapas del proceso de sistematización del negocio. Adicionalmente debe apoyar a la Auditoria Financiera en su proceso de obtención de evidencia y validación de procedimientos de control a través del uso de C.A.A.T. (computer audit assisted technologies) y del computador.
Los servicios de Auditoría de Tecnología de Información se encuentran orientados al mercado pro-activo y preventivo, brindándole a nuestros clientes evaluaciones de sus controles, que sirvan para el fortalecimiento de su seguridad e infraestructura tecnológica.
Auditoría de Tecnología de la Información
  • Auditoría de Sistemas
  • Outsourcing o Co-Sourcing de Auditorias de Sistemas
  • Revisiones de estándar de seguridad del PCI – VISA
  • Auditoría de Sistemas especializadas (ACH, Cajeros automáticos (ATM), etc.)
  • Certificación-Declaración de Sistemas Contables
  • Certificación-Declaración de Sistemas de Almacenamiento Tecnológico
  • Sistema de Gestión de Seguridad de la Información (Norma ISO)
  • Evaluación y Alineamiento de Tecnología con mejores prácticas Gobierno de TI
OBJETIVOS ESPECIFICOS:
La información y la tecnología es el activo más valioso de nuevo milenio.
La información puede constituirse en una ventaja competitiva de la empresa frente a terceros. Su uso inadecuado puede convertirse en la peor amenaza
La información es la memoria y el conocimiento de la empresa. Base de su desarrollo y adaptación futura
Todo lo que la rodea (la información) y la soporta, debe estar adecuadamente asegurado y controlado. Hablamos de equipos, personas y programas de computador
Es necesario determinar si los recursos informáticos están siendo utilizados de la manera más efectiva, eficiente y económica.
Es de vital importancia evaluar si los sistemas de negocios que posee la empresa tienen involucrados los CONTROLES suficientes que garanticen una información libre de errores, fraudes, alteración o falta de disponibilidad. Es decir, que dicha información está realmente segura y protegida del acceso no autorizado, daño intencional o destrucción por parte de terceros o personal de la empresa
Se hace necesario mantener servicios de monitoreo de nuevas tecnologías, de forma que estas se adquieran y utilicen en beneficio de los objetivos de la empresa, generando ventajas competitivas y beneficios tangibles frente a terceros.
Solo la experiencia continuada, real, exitosa, el conocimiento acumulado de muchos años en proyectos de sistematización de todo tipo y el uso de estándares y metodologías de reconocido valor técnico, garantizan que la tecnología Informática, y la información en si misma, están siendo adecuadamente utilizadas y aseguradas.

Caracteristicas


La Informática hoy, está integrando en la gestión de la empresa, y por eso las normas y estándares propiamente informáticos deben estar, sometidos a los generales de la misma. Debido a su importancia en el funcionamiento de una empresa, existe la Auditoría Informática. La Auditoría Informática es un examen crítico que se realiza con el fin de evaluar la eficacia y eficiencia de una empresa.
Los principales objetivos que constituyen a la auditoría Informática son:
  • el control de la función informática,
  • el análisis de la eficiencia de los Sistemas Informáticos,
  • la verificación del cumplimiento de la Normativa en este ámbito
y la revisión de la eficaz gestión de los recursos informáticos.
Publicado por en No hay comentarios:

La auditoría de TI en un entorno VICA. El reto de la razonabilidad en un ecosistema digital

Introducción
En un mundo en constante movimiento, altamente Volátil, Incierto, Complejo y Ambiguo (VICA), la función de auditoría en las empresas enfrenta un desafío mayor en su ejercicio de evaluación y asesoría al primer nivel de las organizaciones, pues ya no son tan conocidos los escenarios para auditar y los métodos de verificación y evaluación no cuentan con la flexibilidad para enfrentar dichos escenarios.
Si bien los discursos metodológicos y fundamentos de la auditoría generalmente aceptados, son referentes importantes que aseguran el proceso mismo de verificación, no así las condiciones y detalles que se advierten en el contexto mismo del trabajo de campo, donde las tecnologías emergentes, las tendencias en las redes sociales y las novedades propias de los ciber ataques, hacen que el auditor enfrente situaciones que posiblemente no pudieron ser identificadas con las herramientas actuales .
Los auditores, particularmente de tecnología de información, se enfrentan en la actualidad a escenarios novedosos que le exigen una comprensión superior a la que tienen a la fecha, habida cuenta que ya su dominio de evaluación no se encuentra identificado de manera física y tangible, sino que representa una apuesta de servicios tercerizados, que está más allá de su alcance y por lo tanto, deberá establecer una nueva forma de analizarlos.
Así, los auditores de tecnología de información pasaron de tener en sus papeles de trabajo temáticas como redes, comunicaciones, servidores, archivos, bases de datos, cintas, controles de acceso, a revisar un nuevo escenario denominado ecosistema tecnológico o digital (ver más información en http://insecurityit.blogspot.de/2012/09/pronosticos-de-seguridad-de-la.html), donde lo que fluyen son servicios e información, como fundamento mismo de su operación. Un mundo digital creado por el hombre donde se construyen realidades superiores, donde la imaginación y la estrategia plantean los límites y posibilidades.
Un auditor de tecnología de información (TI) en un ecosistema digital (4) debe desarrollar habilidades y práctica diferentes para poder encarar el reto de “auditar” un contexto como éste, donde la dinámica es la norma, las probabilidades son inciertas y las posibilidades son todas. Así, el profesional de auditoría debe lidiar con la incertidumbre que supone este entorno y enfrentar las diversas conexiones presentes y emergentes de este ecosistema para tratar de entender la esencia del mismo.
En razón con lo anterior, el auditor de TI consciente de su saber disciplinar y las contradicciones del contexto que ahora enfrenta, debe orientar su práctica metodológica hacia lo sistémico, a la búsqueda de respuestas en la dinámica de las relaciones, más que en la estática de sus componentes. Esto es, motivar un cambio de pensamiento especializado, a uno transdisciplinario que consulta otras disciplinas y métodos para comprender mejor lo que el ecosistema le presenta.
Por tanto, este breve documento busca revisar la condición actual del auditor de TI, sus prácticas y métodos de trabajo frente al ecosistema digital y los retos emergentes que debe asumir y anticipar para continuar generando valor a la alta gerencia.
Evolución de la práctica de auditoría de TI
La dinámica propia del trabajo de auditoría en general demanda un proceso de planeación (que consulta inclusive ejercicios anteriores), la contextualización con el área auditada (poner en conocimiento del área evaluada el alcance y los apoyos requeridos), los fundamentos de la evaluación (estándares y buenas prácticas que se van a tener en cuenta), la ejecución (la recolección y análisis de documentos, la aplicación de las pruebas), resultados (el detalle de los hallazgos identificados) y el reporte (conclusiones documentadas del ejercicio realizado). En este ejercicio, el registro controlado de todos los soportes y hallazgos es la fuente misma de la precisión y credibilidad de las conclusiones de dicho trabajo.
En este derrotero metodológico, el auditor de TI, explora los diferentes componentes del sistema de información o tecnología objeto de la revisión para producir sus resultados. Es claro que deberá establecer el mapa relacional del sistema en evaluación con los objetivos del negocio y los otros procesos de las empresas, para no perder la vista general de los impactos que tiene el sistema bajo análisis para la empresa. Este tipo de ejercicios, exige de los auditores la especialidad de tecnología de información y sobre manera el entendimiento de la dinámica interna de la organización.
En escenarios conocidos, donde la operación de la empresa ocurre en un lugar cierto y preciso, las prácticas vigentes de auditoría revelan resultados relevantes, que permiten dar cuenta de la razonabilidad de la seguridad y el control que los sistemas de información tienen para mantener una operación confiable y ajustada a las buenas prácticas y estándares en la materia. Las listas de chequeo, los cuestionarios de control, las pruebas de auditoría con cruces de datos, las simulaciones de máquinas y servicios, así como algunas técnicas de valoración de seguridad de la información sobre aspectos claves de los sistemas información, hacen parte de la batería de recursos que los auditores disponen para hacer su labor.
Mientras la operación de tecnología de información estuvo inmersa dentro de los procesos de adquisición de hardware, software, aplicaciones y servicios de apoyo, las prácticas de auditoría tradicionales, basadas en estándares referentes, particularmente de riesgos, estuvieron atentas a dar respuesta a la necesidad de los grupos de interés, para ilustrar el nivel de confiabilidad que dicha infraestructura tenía y cómo avanzar para mitigar la exposición a los riesgos identificados.
La conectividad con internet, los servicios web, la exposición de web-services, las aplicaciones java, los marcos de desarrollo de aplicaciones en la web y servicios de pagos en línea, cambiaron la forma de cómo sus prácticas debían dar una nueva lectura a sus conclusiones. Un mundo más interactivo y menos estático hizo que los auditores comenzaran a pasar de un método relativamente conocido, a uno donde la especialidad técnica comenzaba a desbordar las respuestas para sus grupos de interés.
En este escenario los marcos metodológicos hicieron giros estratégicos importantes, donde ahora la web era la vista más elaborada de la práctica, sin descuidar los asideros conceptuales que se mantenían sin cambios relevantes. Esto motivó una actualización de los auditores tradiciones de TI, para incorporar nuevos conocimientos sobre la dinámica de internet, sus posibilidades y nuevos riesgos.
Durante más de una década, los auditores de TI avanzaron con los desarrollos tecnológicos, como custodios de sus prácticas de seguridad y control, motivando cambios relevantes e importantes en el gobierno de las tecnologías de información, que ha impactado positivamente el ejercicio de aquellos que tienen la responsabilidad de apalancar el modelo de generación de valor de las empresas con tecnología, cargo generalmente denominado a nivel internacional como Chief Information Officer o Chief Technology Officer.
Hoy, las cosas vuelven a cambiar y la exigencia se hace mayor, por tanto, las prácticas de los auditores de TI requieren una nueva revisión que les permita crear un nuevo momentum en el ejercicio de la auditoría, no para abandonar lo que usa en la actualidad, sino para ajustarlo e incorporar nuevas propuestas para enfrentar las nuevas amenazas y retos en un mundo hiperconectado, con información instantánea, en la nube y en el móvil.
La auditoría de TI y el ecosistema digital
Gartner, en su documento denominado “The nexus of forces” publicado en 2012, anticipa el nuevo escenario que el mundo debe asumir, conocer, usar y explotar para crear la nueva etapa de la sociedad global, donde casi todas las cosas serán servicios, estarán conectadas y transmitiendo en tiempo real. La realidad de la computación en la nube, la computación móvil, los grandes datos, la analítica y las redes sociales, establecen los nuevos normales de operación y desarrollo tanto de las personas, como de las organizaciones.
La vista convergente del mundo hace camino en cada uno de los elementos que sintonizan a las organizaciones con sus grupos de interés, elevando los niveles de transparencia y visibilidad que permiten a los interesados tener la información relevante, hacerse a un criterio y opinar de manera abierta y sin reparos. Las redes sociales se han convertido en un eslabón estratégico de las empresas, no sólo como “parlante abierto” de su realidad, sino como ocasión de liderazgo organizacional abierto, que demanda una completa inmersión en la dinámica social y tecnológica de la sociedad local donde opera y la realidad global donde se enmarca.
El ecosistema digital, como construcción conceptual, reviste una serie de componentes, muchos de ellos operados por terceros, con especialidades y capacidades específicas, las cuales se ofrecen en diferentes modelos y posibilidades, es el cliente el que define la manera de cómo los recursos disponibles van a ser organizados y usados, para crear entornos nuevos o propuestas alternas que generarán experiencias diferentes en los usuarios finales.
Esta nueva realidad, que ahora inicia en un teléfono inteligente en las manos de una persona, en cualquier parte del mundo y que es capaz de movilizar información y acciones con otros a través de conexiones internacionales, que no requiere puntos únicos de ingreso o conexión, que conoce de aplicaciones y servicios especializados, y que está dispuesto a estar en línea todo el tiempo, muestra con claridad que los perímetros de control se han vuelto porosos, que el control de la descarga de aplicaciones se ha vuelto efímera y el nivel de exposición y riesgos emergentes está a la orden del día.
Las recomendaciones restrictivas propias de las prácticas de auditoría en estos entornos dinámicos contradicen los modelos de negocio que exigen las empresas de hoy. En este sentido, las prácticas de seguridad y control, habituadas a entornos estáticos y conocidos, comienzan a ceder terreno para inaugurar una transición a nuevas prácticas donde variables como tipo de información a la que requiere tener acceso, perfil de la persona que solicita el acceso y lugar donde se encuentra la persona que solicita el acceso, comienzan a ser relevantes para establecer el nivel de protección que se requiere.
Por tanto, los auditores de TI deben tomar nota sobre esta nueva realidad y comenzar a retar sus propias prácticas, que si bien seguirán basadas en las realidades de la exposición al riesgo, sí deberán consultar y entender la manera de cómo el ecosistema digital dicta las normas de interacción y establece los nuevos normales, los cuales deberán ser insumo para plantear las renovadas exigencias de la auditoría, ahora en un escenario más dinámico y más volátil, motivando una práctica de seguridad y control más moderna que custodie la dinámica de la información y el valor de la empresa más ajustado a su realidad .

Referencias
(1) Johansen, B. (2009) Leaders Make the Future: Ten New Leadership Skills for an Uncertain World. San Francisco, USA:Berrett-Koehler Publishers.
(2) Harrington, L. y Piper, A. (2015) Driving success in changing world. 10 imperatives for internal audit. The IIA Research Foundation. Global Internal Audit Common Body of Knowledge. Recuperado de: https://na.theiia.org/iiarf/Pages/Common-Body-of-Knowledge-CBOK.aspx
(3) Quintanar, E. (1983) Normas de auditoría generalmente aceptadas. Revista Española de Financiación y Contabilidad. Vol.12, No.42. Septiembre-Diciembre. 667-680
(4) Cano, J. (2015) Computación forense. Descubriendo los rastros informáticos. Segunda Edición. Bogotá, Colombia: Alfaomega.
(5) Huerta J. J., Zambrano, R., Pérez, I. S., y Matsui, O. J. (2014) Pensamiento complejo en la enseñanza por competencias profesionales integradas. Centro Universitario de Ciencias de la Salud. Universidad de Guadalajara. Guadalajara, México:Editorial Universitaria.
(6) Tamayo, A. (2001) Auditoría de sistemas. Una visión práctica. Universidad Nacional de Colombia. Sede Manizales. Manizales, Colombia: Centro de Publicaciones, Universidad Nacional de Colombia.
(7) Piattini, M. y Del Peso, E. (2000) Auditoría informática. Un enfoque práctico. Segunda edición. Madrid, España: Ra-ma Editorial y publicaciones.
(8) Schmidt, E. y Cohen, J. (2014) The new digital age. Transforming nations, businesess, and our lives. New York, USA: Vintage Books.
(9) Fernández, C. y Piattini, M. (2012) Modelo para el gobierno de las TIC basado en las normas ISO. AENOR (Asociación Española de Normalización y Certificación). Madrid, España: AENOR.
(10) Howard, C., Plummer, D. C., Genoves, Y., Mann, J., Willis, D. A. y Mitchel Smith, D. (2012) The nexus of forces: Social, Mobile, Cloud and Information. Gartner report. Disponible en: https://www.gartner.com/doc/2049315
Publicado por en No hay comentarios:
Suscribirse a: Entradas (Atom)