Herramientas De Auditoria Informática : COBIT

Cobit – Resumen UNSa.

Coordinación Informática

Secretaría de Cooperación Técnica

El gobierno requiere de prácticas generalmente aplicables y aceptadas de control en las TIC para medir en forma comparativa tanto su ambiente de TIC existente, como su ambiente planeado. Es por ello que se puede considerar la metodología que se detalla a continuación como una herramienta que permite salvar la brecha existente entre los requerimientos de control, los aspectos técnicos y el riesgo del negocio orientado siempre a la Tecnología de la Información.

El presente programa de gestión apunta a resolver problemas centrales para la gestión y el gobierno de la UNSa. Se plantea una estructura conceptual tendiente a gestionar las Tecnologías de la Información y Comunicaciones en la Universidad.

Utilizaremos las herramientas COBIT que constituyen un modelo para la gestión (gobierno) de las TIC . De la misma forma que las prácticas de la programación extrema (XP), el modelo centra su accionar en los controles, auditorías y test. Conociendo lo que se va a testear, se gestiona, realiza, planifica, diseña y especifica. Su uso ha sido sugerido por especialistas de la Auditoría General de la Nación, organismo máximo de control del Estado, dependiente del Parlamento. El hecho que finalmente seremos auditados usando esta herramienta no es un dato menor a la hora de elegirla como herramienta interna.

Podemos cambiar la forma de gestionar la Universidad cumpliendo nuestros objetivos y superando los problemas detectados por CONEAU.

COBIT:

• ha sido desarrollado como un estándar generalmente aceptado y aplicable a las buenas prácticas de seguridad y control en TIC.

• ayuda a salvar las brechas existentes entre riesgos de negocio, necesidades de control y aspectos técnicos. Proporciona “prácticas sanas” a través de un Marco Referencial de dominios y procesos y presenta actividades en una estructura manejable y lógica. Las prácticas sanas de COBIT representan el consenso de los expertos.

• tiene una premisa simple y práctica: con el fin de proporcionar la información que la organización necesita para alcanzar sus objetivos, señala que los recursos de TIC deben ser administrados por un conjunto de procesos de TIC agrupados en forma natural.

• está diseñado no solo para ser utilizado por usuarios y auditores, sino que en forma más importante, esta diseñado para ser utilizado como un Check List detallado para los responsables de cada proceso.

• proporciona herramientas al responsable de los procesos que facilitan el cumplimiento de esta tarea.

• es, por lo tanto, la herramienta innovadora para el manejo de TIC que ayuda a la gerencia a comprender y administrar los riesgos asociados con TIC.

Con la emisión de este documento ubicamos nuestras actividades actuales en el marco COBIT, y comunicamos el mismo al equipo de gobierno de la universidad, su plantel TIC, y a la comunidad toda, con el objetivo de comenzar la discusión tendiente a implementar una gestión de las TIC moderna, avanzada y racional en al Universidad.

Hemos incorporado la cuestión de las comunicaciones a las tecnologías de la información pues las nuevas capacidades técnicas las han integrado.

En el documento realizamos una breve descripción de COBIT para cada una de sus áreas y avanzamos en las cuestiones concretas para la UNSa.

Si bien se plantea desde lo micro (manejo de información, organización de sistemas, etc) el esquema planteado determina (el medio es el mensaje) el futuro de la institución al modelar el flujo interno de información. Alterar la red nerviosa de un organismo es básicamente redefinirlo.

Hablamos de información dinámica e interactiva donde los contenidos son multidireccionales y no solo tienen efecto en el campo virtual sino que se concretan en acciones y actividades materiales a través de los procesos de gestión.

Gobierno de las TIC, Conceptos Básicos

1.- Introducción.

Se define como la estructura de relaciones y procesos que dirigen y controlan la organización en orden de conseguir sus objetivos institucionales añadiendo valor, balanceando riesgos contra beneficios.

El enfoque del control en TIC se lleva a cabo visualizando la información necesaria para dar soporte a los procesos y considerando a la información como el resultado de la aplicación combinada de recursos relacionados con la TIC que deben ser administrados por procesos de TIC.

El marco referencial conceptual puede ser enfocado desde tres puntos estratégicos:

1. recursos de TI,

2. requerimientos institucionales (objetivos) para la información y

3. procesos de TI.

Estos puntos de vista diferentes permiten al marco referencial ser accedido eficientemente.

Los procesos pueden ser aplicados a diferentes niveles dentro de una organización. Por ejemplo, algunos de estos procesos serán aplicados al nivel institucional, otros al nivel de la función de servicios de información, otros al nivel del responsable de cada proceso.

Por ejemplo, el Rector o los Decanos pueden interesarse en un enfoque de calidad, seguridad o fiduciario (traducido por el marco referencial en siete requerimientos de información específicos). Un Responsable Informático puede desear considerar recursos de TIC por los cuales es responsable. Un Director responsable de algún proceso, especialistas de TIC y usuarios pueden tener un interés en procesos particulares. Los auditores podrán desear enfocar el marco referencial desde un punto de vista de cobertura de control.

Estos tres puntos estratégicos son descritos en el Cubo COBIT que se muestra a continuación:

En el caso de la UNSa también debemos tener en cuenta su estructura organizacional interna. Así distinguimos niveles de gestión: local y global. Teniendo el local responsabilidades especificas y ámbitos de aplicación diversos: 6 Facultades, CIUNSa, Sedes, Iems, Museo, Delgación Buenos Aires, Rectorado Centro, Rectorado Castañares, todos ellos distintos pero equivalentes. El global comprende diversas responsabilidades o funciones: la coordinación informática, el diseño de sistemas comunes, la red central, etc., aplicables

...