Herramientas De Auditoria Informática : COBIT

Cobit – Resumen UNSa.

Coordinación Informática

Secretaría de Cooperación Técnica

El gobierno requiere de prácticas generalmente aplicables y aceptadas de control en las TIC para medir en forma comparativa tanto su ambiente de TIC existente, como su ambiente planeado. Es por ello que se puede considerar la metodología que se detalla a continuación como una herramienta que permite salvar la brecha existente entre los requerimientos de control, los aspectos técnicos y el riesgo del negocio orientado siempre a la Tecnología de la Información.

El presente programa de gestión apunta a resolver problemas centrales para la gestión y el gobierno de la UNSa. Se plantea una estructura conceptual tendiente a gestionar las Tecnologías de la Información y Comunicaciones en la Universidad.

Utilizaremos las herramientas COBIT que constituyen un modelo para la gestión (gobierno) de las TIC . De la misma forma que las prácticas de la programación extrema (XP), el modelo centra su accionar en los controles, auditorías y test. Conociendo lo que se va a testear, se gestiona, realiza, planifica, diseña y especifica. Su uso ha sido sugerido por especialistas de la Auditoría General de la Nación, organismo máximo de control del Estado, dependiente del Parlamento. El hecho que finalmente seremos auditados usando esta herramienta no es un dato menor a la hora de elegirla como herramienta interna.

Podemos cambiar la forma de gestionar la Universidad cumpliendo nuestros objetivos y superando los problemas detectados por CONEAU.

COBIT:

• ha sido desarrollado como un estándar generalmente aceptado y aplicable a las buenas prácticas de seguridad y control en TIC.

• ayuda a salvar las brechas existentes entre riesgos de negocio, necesidades de control y aspectos técnicos. Proporciona “prácticas sanas” a través de un Marco Referencial de dominios y procesos y presenta actividades en una estructura manejable y lógica. Las prácticas sanas de COBIT representan el consenso de los expertos.

• tiene una premisa simple y práctica: con el fin de proporcionar la información que la organización necesita para alcanzar sus objetivos, señala que los recursos de TIC deben ser administrados por un conjunto de procesos de TIC agrupados en forma natural.

• está diseñado no solo para ser utilizado por usuarios y auditores, sino que en forma más importante, esta diseñado para ser utilizado como un Check List detallado para los responsables de cada proceso.

• proporciona herramientas al responsable de los procesos que facilitan el cumplimiento de esta tarea.

• es, por lo tanto, la herramienta innovadora para el manejo de TIC que ayuda a la gerencia a comprender y administrar los riesgos asociados con TIC.

Con la emisión de este documento ubicamos nuestras actividades actuales en el marco COBIT, y comunicamos el mismo al equipo de gobierno de la universidad, su plantel TIC, y a la comunidad toda, con el objetivo de comenzar la discusión tendiente a implementar una gestión de las TIC moderna, avanzada y racional en al Universidad.

Hemos incorporado la cuestión de las comunicaciones a las tecnologías de la información pues las nuevas capacidades técnicas las han integrado.

En el documento realizamos una breve descripción de COBIT para cada una de sus áreas y avanzamos en las cuestiones concretas para la UNSa.

Si bien se plantea desde lo micro (manejo de información, organización de sistemas, etc) el esquema planteado determina (el medio es el mensaje) el futuro de la institución al modelar el flujo interno de información. Alterar la red nerviosa de un organismo es básicamente redefinirlo.

Hablamos de información dinámica e interactiva donde los contenidos son multidireccionales y no solo tienen efecto en el campo virtual sino que se concretan en acciones y actividades materiales a través de los procesos de gestión.

Gobierno de las TIC, Conceptos Básicos

1.- Introducción.

Se define como la estructura de relaciones y procesos que dirigen y controlan la organización en orden de conseguir sus objetivos institucionales añadiendo valor, balanceando riesgos contra beneficios.

El enfoque del control en TIC se lleva a cabo visualizando la información necesaria para dar soporte a los procesos y considerando a la información como el resultado de la aplicación combinada de recursos relacionados con la TIC que deben ser administrados por procesos de TIC.

El marco referencial conceptual puede ser enfocado desde tres puntos estratégicos:

1. recursos de TI,

2. requerimientos institucionales (objetivos) para la información y

3. procesos de TI.

Estos puntos de vista diferentes permiten al marco referencial ser accedido eficientemente.

Los procesos pueden ser aplicados a diferentes niveles dentro de una organización. Por ejemplo, algunos de estos procesos serán aplicados al nivel institucional, otros al nivel de la función de servicios de información, otros al nivel del responsable de cada proceso.

Por ejemplo, el Rector o los Decanos pueden interesarse en un enfoque de calidad, seguridad o fiduciario (traducido por el marco referencial en siete requerimientos de información específicos). Un Responsable Informático puede desear considerar recursos de TIC por los cuales es responsable. Un Director responsable de algún proceso, especialistas de TIC y usuarios pueden tener un interés en procesos particulares. Los auditores podrán desear enfocar el marco referencial desde un punto de vista de cobertura de control.

Estos tres puntos estratégicos son descritos en el Cubo COBIT que se muestra a continuación:

En el caso de la UNSa también debemos tener en cuenta su estructura organizacional interna. Así distinguimos niveles de gestión: local y global. Teniendo el local responsabilidades especificas y ámbitos de aplicación diversos: 6 Facultades, CIUNSa, Sedes, Iems, Museo, Delgación Buenos Aires, Rectorado Centro, Rectorado Castañares, todos ellos distintos pero equivalentes. El global comprende diversas responsabilidades o funciones: la coordinación informática, el diseño de sistemas comunes, la red central, etc., aplicables a toda la UNSa.

2.- Requerimientos Institucionales y eventos

FODA

________________________________________

3.- Recursos de TI

Los recursos pueden explicarse o definirse como se indica a continuación:

• Datos: Los elementos de datos en su más amplio sentido, (por ejemplo, externos e internos), estructurados y no estructurados, gráficos, sonido, etc.. Se empezo a crear los primeros diccionarios de datos, como ser el sistema de lugares, el de organizaciones, personas, bienes, etc..

• Aplicaciones: Se entiende como sistemas de aplicación la suma de procedimientos manuales y programados. Se ha comenzado a desarrollar el sistema Mojotoro, utilizando tecnología Ekeko y Software Libre, creando software bajo la GPL

• Tecnología: La tecnología cubre hardware, software, sistemas operativos, sistemas de administración de bases de datos, redes, multimedia, etc.

• Instalaciones: Recursos para alojar y dar soporte a los sistemas de información. Se cuenta con instalaciones relativamente apropiadas, si bien debiéramos incrementar la organización, comodidad, condiciones de temperatura para los equipos, etc..

• Habilidades de la planta TIC: conocimiento, conciencia y productividad para planear, organizar, adquirir, entregar, soportar y monitorear servicios y sistemas de información. Se están organizando charlas de difusión y coordinación todas las semanas.

• Habilidades de los usuarios de la comunidad universitaria par adaptarse y usar las herramientas TIC. A partir de la construcción de la red se incremento notablemente la formación de la comunidad universitaria en tecnologías informáticas, tanto de oficina como de Internet, (email).

El dinero o capital no es considerado como un recurso para la clasificación de objetivos de control para TI debido a que puede definirse como la inversión en cualquiera de los recursos mencionados anteriormente y podría causar confusión con los requerimientos de auditoría financiera

También se destaca que si bien COBIT no menciona, en forma específica para todos los casos, la documentación de todos los aspectos “materiales” importantes relacionados con un proceso de TIC particular. Como parte de las buenas prácticas, la documentación es considerada esencial para un buen control y, por lo tanto, la falta de documentación podría ser la causa de revisiones y análisis futuros de controles de compensación en cualquier área específica en revisión.

Otra forma de ver la relación de los recursos de TIC con respecto a la entrega de servicios se puede observar en el siguiente gráfico:

Distintos procesos de control impactan o no en los recursos.

4.- Calificación, organización y criterios de la información para administrar la gestión TIC.

4.1.- Criterios de Información: (calidad, fiduciarios, seguridad)

Requisitos de calidad

• confiabilidad (fidelidad) de la información: calidad y entrega. Se refiere a la provisión de información apropiada para la administración con el fin de operar la entidad y para ejercer sus responsabilidades de reportes financieros y de cumplimiento.

• eficiencia de las operaciones, costo. Se refiere a la provisión de información a través de la utilización óptima (más productiva y económica) de recursos.

Requisitos fiduciarios

• efectividad de las operaciones,

...