Académique Documents
Professionnel Documents
Culture Documents
Autores: David A. Richards, Presidente, El IIA Alan S. Oliphant, MIIA, QiCA, MAIR International Charles H. Le Grand, CIA, CHL Global
Marzo 2005
Copyright 2005 del Instituto de Auditores Internos, 247 Maitland Avenue, Altamonte Springs, Florida 32701-4201. Todos los derechos reservados. Impreso en Estados Unidos. Ninguna parte de esta publicacin puede ser reproducida, guardada en un sistema de recuperacin o transmitida en forma alguna ni por ningn medio, sea electrnico, mecnico, fotocopia, grabacin, o cualquier otor, sin obtener previamente el permiso por escrito del editor. El IIA publica este documento con fines de informativos y educativos. Este documento tiene como propsito bindar informacin, pero no sustituye el asesoramiento legal o contable. El IIA no ofrece ese tipo de asesoramiento y no garantiza ningn resultado legal ni contable por medio de la publicacin de este documento. Cuando surgen cuestiones legales o contables, se debe recurrir y obtener asistencia profesional.
GTAG ndice
Captulo 1 Resumen ejecutivo ................................................................................................................................................................ 1 Captulo 2 Introduccin.......................................................................................................................................................................... 3 Captulo 3
Evaluacin de controles de TI Una perspectiva ...................................................................................................................... 4
Captulo 4
Comprensin de los controles de TI ........................................................................................................................................ 5
Captulo 5
Importancia de los controles de TI ........................................................................................................................................ 13
Captulo 6
Funciones de TI en la organizacin ........................................................................................................................................ 14
Captulo 7
Anlisis de riesgos ................................................................................................................................................................ 19
Captulo 8
Supervisin y tcnicas .......................................................................................................................................................... 23
Captulo 9
Evaluacin............................................................................................................................................................................ 26
Captulo 10
Conclusin .......................................................................................................................................................................... 29
Captulo 11
Apndice A Elementos de un programa de seguridad de la informacin ................................................................................ 30
Captulo 12
Apndice B Cumplimiento con la legislacin ...................................................................................................................... 31
Captulo 13
Apndice C Las tres categoras de conocimientos de TI para los auditores internos ................................................................ 35
Captulo 14
Apndice D Esquemas de cumplimiento .............................................................................................................................. 37
Captulo 15
Apndice E - Evaluacin de los controles de TI mediante COSO ............................................................................................ 45
Captulo 16
Apndice F - Objetivos de control de informacin y tecnologas relacionadas (CobiT) de ITGI ................................................ 47
Captulo 17
Apndice G Ejemplo de mtricas de control de TI .............................................................................................................. 49
Captulo 18
Apndice H Cuestionario del DEA .................................................................................................................................... 52
Captulo 19
Apndice I Referencias ...................................................................................................................................................... 54
Captulo 20
Apndice J Glosario .......................................................................................................................................................... 56
GTAG ndice
Captulo 21
Apndice K Sobre la GTAG ................................................................................................................................................58
Captulo 22
Apndice L Socios y Equipo Global del Proyecto GTAG ........................................................................................................59
ii
Estructura de auditora de TI
General y aplicacin Preventivo, detectivo, correctivo Seguridad de la informacin Fiabilidad y efectividad Ventajas competitivas Legislacin y regulacin Gobierno Gestin Auditora
Anlisis de riesgos Respuesta a los riesgos Controles de lnea base Esquema de control Frecuencia Metodologas Interrelacin del Comit de Auditora
E
Tcnicas y supervisin
ua val
ci
Controles de TI
Figura 2
COSO Comit de Organizaciones Patrocinadoras para la Comisn Treadway sobre informe financiero fraudulento. Consulte www.coso.org.
Controles de gobierno
Controles de gestin
Controles tcnicos
rarse de que los controles de TI necesarios para lograr los objetivos establecidos por la organizacin se aplican y aseguran que el proceso es fiable y continuo. Estos controles son distribuidos como resultado de acciones deliberadas por la gerencia a fin de lograr lo siguiente: Reconocer los riesgos de la organizacin, sus procesos y activos. Promulgar mecanismos y procesos para mitigar y gestionar riesgos (proteger, supervisar y medir resultados) 4.2.3 Controles tcnicos Los controles tcnicos forman el fundamento esencial que asegura la confiabilidad de prcticamente todo el resto de los controles de la organizacin. Por ejemplo, la proteccin contra accesos no autorizados e intrusiones, estos proporcionan la base para la confianza en la integridad de la informacin incluida la evidencia de todos los cambios y su autenticidad. Estos controles son especficos para las tecnologas usadas dentro de las infraestructuras de TI de la organizacin. La capacidad para automatizar controles tcnicos que implementen y demuestren cumplimiento con las polticas planificadas de la direccin, basadas en la informacin, es un recurso importante para la organizacin.
Gobierno
Polticas Normas Organizacin y gestin Controles fsicos y ambientales Control del software de sistemas Control de desarrollo de sistemas Controles basados en la aplicacin
Gestin
Figura 4 Controles de TI
cas. Sin declaraciones claras de polticas y normas para la direccin, las organizaciones se pueden desorientar y funcionar ineficazmente. Las organizaciones con metas y objetivos claramente definidos tienden a ser exitosas. Dado que la tecnologa es vital para las operaciones de la mayora de las organizaciones, las declaraciones de polticas claras con respecto a todos los aspectos de TI deben ser diseadas y aprobadas por la direccin, refrendadas por el consejo de administracin y comunicadas a todo el personal. Se pueden necesitar muchas y diferentes declaraciones de polticas, segn el tamao de la organizacin y el alcance del servicio de TI. Para organizaciones ms pequeas, una sola declaracin de poltica puede ser suficiente, pero debe cubrir todas las reas relevantes. Las organizaciones ms grandes que implementan TI de manera amplia necesitarn polticas ms detalladas y especficas. Las declaraciones de polticas de TI incluyen, entre otras, las siguientes: Una poltica general sobre el nivel de seguridad y privacidad para toda la organizacin. Esta poltica debe ser consistente con toda la legislacin nacional e internacional relevante y debe especificar el nivel de control y de seguridad requeridos segn la sensibilidad del sistema y de los datos procesados. Una declaracin sobre la clasificacin de la informacin y sobre los derechos de acceso en cada nivel. La 7
Tcnicos
Riesgo asumido
El grado de aceptacin del riesgo o la tolerancia al riesgo de una organizacin define el grado de riesgo que una compaa u otra organizacin est dispuesta a correr en la bsqueda de sus metas, segn lo determinado por la direccin y el gobierno ejecutivo. El grado de aceptacin del riesgo puede especificar, por ejemplo, si una organizacin asumir un papel agresivo en la distribucin de tecnologas nuevas y emergentes. El grado de aceptacin del riesgo de una organizacin puede verse afectado por su industria y entorno normativo especficos. Se relaciona estrechamente con el grado de aceptacin y la tolerancia al riesgo de una organizacin, mide qu distancia se est dispuesto a desviar de la medida indicada en tal grado de aceptacin del riesgo.
11
12
* Ley de 2002 de la Reforma de la contabilidad pblica de empresas y proteccin del inversionista, conocida como Ley Sarbanes-Oxley en honor a sus patrocinadores, el senador Paul Sarbanes y el congresista Michael Oxley de EEUU.
13
6.1.3 Comit de nombramientos El comit de gobierno es responsable de la seleccin y evaluacin de los miembros del consejo, y del liderazgo de las operaciones del consejo. En relacin con TI, este comit debe:
Controles de TI y tica
Como qued evidenciado en los casos relacionados con los fondos de inversin en acciones durante los aos setenta y en los escndalos que siguen apareciendo hoy da, el uso de la tecnologa crea oportunidades significativas para iniciar y perpetuar fraudes y engaos. La capacidad y autoridad para soslayar ciertos controles trae consigo la tentacin de iniciar acciones irregulares. Si esas irregularidades no son percibidas, o son tcitamente permitidas, pueden terminar en un fraude rotundo. Por lo tanto, cuando una organizacin da a un individuo la oportunidad de realizar acciones en nombre de la organizacin, esta tiene la correspondiente responsabilidad de proporcionar la supervisin adecuada como para detectar y corregir actividades irregulares rpidamente. La organizacin tiene tambin la responsabilidad de identificar amenazas de este tipo y establecer salvaguardas como medida preventiva. Las mismas herramientas tecnolgicas que pueden crear las oportunidades de fraude se utilizan para identificar actividades, e incluso patrones inusuales en las transacciones u otros datos que podran indicar una evidencia de fraude o comportamiento cuestionable.
16
6.2.6 Asesora jurdica El asesor jurdico puede ser un empleado o directivo de la organizacin o un asesor externo. Esta funcin implica lo siguiente: Entender y ocuparse de las obligaciones que surgen de la divulgacin de informacin y proporcionar orientacin a nivel de polticas para ayudar en la gestin de los riesgos relacionados. Asegurar que los informes y las presentaciones financieras cumplan con las leyes y regulaciones. Entender los aspectos legales de TI y asesorar sobre los riesgos legales relacionados con la TI. Gestionar el buen nombre de la organizacin en lo referente a cuestiones legales, cumplimiento y relaciones pblicas. Entender el fraude relacionado con la TI. Gestionar los aspectos contractuales de TI. Comprender los protocolos de investigacin forense en relacin con supuestas actividades delictivas. 6.2.7 Director de Riesgos (CRO, en ingls) Al director de riesgos le incumbe la gestin de los riesgos en todos los niveles de la organizacin. Dado que los riesgos de TI son parte de esa funcin, este debe considerarlos con la ayuda del director de seguridad de la informacin (CISO, en ingls). Esto incluye: Anlisis y evaluacin de las exposiciones a los riesgos de TI, incluyendo aquellas que comprometan a la informacin, como prdidas, daos, divulgacin no autorizada e interrupcin del acceso. Evaluacin de contingencias de TI como interrup17
18
Se encuentra estas definiciones en Enterprise Risk Management Integrated Framework (octubre de 2004) de COSO.
19
Fundamental Five
Los benchmark de consenso del Centro para la Seguridad de Internet (www.cisecurity.org), proporcionan una gua denominada Fundamental Five de higiene bsica de seguridad. Del uso de esos criterios se obtiene una reduccin del 80 y 95% de las vulnerabilidades conocidas. 1. Gestin de la identidad y del acceso (incluida la asignacin de privilegios y autenticacin). 2. Gestin de cambios (incluida la gestin de actualizaciones). 3. Gestin de la configuracin. 4. Filtro de seguridad (estaciones de trabajo, servidores, sub-redes, perimetral). 5. Proteccin contra software daino (incluidos gusanos y virus).
22
25
GTAG Evaluacin 9
9.1 Qu metodologa de auditora utilizar?
La auditora de TI ha sufrido muchos cambios en los 40 aos de su existencia: los componentes de la tecnologa se han vuelto ms pequeos, ms rpidos, ms baratos, mientras que el coste global de TI para la organizacin ha aumentado significativamente. La mayora de los procesos de negocio se han automatizado, especialmente para proporcionar eficacia, pero tambin para hacer posible ciertos procesos de negocio que no se pueden realizar manualmente. Las consabidas comunicaciones de red, incluyendo Internet, han eliminado cualquier distincin entre el negocio y el negocio electrnico. De forma similar, el proceso de auditora ha evolucionado para ponerse al mismo nivel de la automatizacin de los procesos de negocio. En los primeros tiempos de la automatizacin, los auditores auditaban alrededor de la computadora. Ahora utilizan software para probar o analizar datos y controles tcnicos dentro de los sistemas. Un enfoque de auditora usado mayoritariamente incluye el anlisis del procesamiento de transacciones de negocio importantes mediante sistemas automatizados. En tales auditoras, el auditor identifica las actividades y la informacin que deben estar sujetas a control y evala la capacidad de los controles existentes para proporcionar una proteccin fiable, incluida la suficiencia de la evidencia en relacin a la fiabilidad de los controles. Dado que las auditoras operativas de los procesos automatizados de negocio identifican frecuentemente las deficiencias del control interno, los auditores internos pueden a veces transferir su atencin a auditoras de los procesos, o hasta incluso implicarse en aquellas actividades de negocio que estn automatizadas, tales como diseo, desarrollo y adquisicin, implementacin y mantenimiento de sistemas. Los auditores experimentados desarrollan un conocimiento extenso de los controles internos, sus fortalezas y sus debilidades. Por lo tanto, no es raro que los auditores internos proporcionen servicios de consultora a la direccin para disear e implementar controles internos. El alcance y las limitaciones sobre tal actividad de consultora son prescritas en las Normas Internacionales para la Prctica Profesional de Auditora Interna (consulte http://www.theiia.org/guidance.). Sin embargo, la implicacin del auditor interno en actividades de diseo, desarrollo, o implementacin no absuelve a la direccin de la responsabilidad de esas actividades. Hoy en da, no hay metodologas de auditora especficas que puedan ser consideradas como mejor, actual y nica prctica. Los auditores internos adoptan los mtodos y prcticas que mejor se adecen al trabajo especfico. Por ejemplo: Cuando se realiza la evaluacin en funcin de los requisitos de Sarbanes-Oxley, un enfoque de auditora basado en sistemas puede ser el mejor mtodo. Las investigaciones de fraude tal vez requieran el uso de software de auditora para analizar datos y buscar evidencia. El software de auditora proporciona capacidad analtica potente y adicionalmente proporciona la capacidad para examinar todos los registros y archivos relevantes. La realizacin del trabajo anual de auditora como soporte de los objetivos principales de auditora interna, seguir muy probablemente un enfoque basado en el riesgo.
9.2
Adems de evaluar la adecuacin de los mecanismos de control de TI, se deben realizar revisiones regulares para asegurarse de que los controles continan funcionando segn lo requerido. Un mtodo tradicional usado por los auditores internos es crear una poblacin de datos de prueba que se procesan a travs de los sistemas de negocio para verificar los resultados y asegurar, por ejemplo, que los controles continan aceptando datos vlidos y rechazan elementos incorrectos e invlidos. Sin embargo, dado que los sistemas del negocio de hoy da son muy amplios, de naturaleza compleja, e interactivos, las pruebas de auditora tienden a centrarse ms especficamente en controles automatizados claves y en el anlisis de los datos.
GTAG Evaluacin 9
9.2.1 Supervisin continua y automatizada Las herramientas de auditora y supervisin continua se han utilizado por muchos aos. Anteriorment se denominaban Software de auditora integrado, all el cdigo del programa comprueba los datos que son procesados en los sistemas de negocio segn los criterios predeterminados e informa sobre las anomalas que detecta. La ventaja de tal supervisin es obvia: cualquier discrepancia puede ser identificada y se puede actuar inmediatamente sobre ella. Actualmente, muchos productos propietarios de software de negocio proporcionan tal funcionalidad de supervisin continua. El concepto tambin ha ido ms all de las aplicaciones de negocio. Por ejemplo, la mayora del software de filtros de seguridad y de los sistemas de deteccin de intrusos realizan continuas verificaciones para saber si hay escenarios potenciales de ataques y proporcionan alarmas inmediatas cuando se detectan ataques potenciales. Este tipo de supervisin puede causar problemas debido al volumen considerable de datos y errores potenciales que se detecten, no todos de ellos, sern dignos de atencin. La tarea de refinar las tcnicas de anlisis y supervisin de los limites mnimos requiere vigilancia constante para determinar qu alertas que se deben destacar y cules se deben aceptar como sucesos normales. 9.2.2 Herramientas automatizadas de anlisis de control interno El software de auditora puede ser utilizado para analizar datos almacenados y comprobar su validez para as asegurar la ejecucin continua y fiable de los controles internos. Originalmente denominados como software de interrogacin de auditora, los productos tales como ACL (www.acl.com) o IDEA de CaseWare (www.caseware.com) proporcionan ahora funcionalidades sofisticadas y especficas de anlisis que pueden reducir la carga de trabajo de la evaluacin del control mientras se incrementa la efectividad y eficiencia. Los productos tales como Microsoft Excel tambin contienen herramientas potentes de anlisis que los auditores pueden utilizar. 9.2.3 Anlisis de riesgos automatizado Tambin hay disponibles herramientas para automatizar el proceso de anlisis de riesgos. Estas herramientas son inestimables para toda la funcin de auditora interna, no solo para el auditor de TI o especialista en riesgos. En nuestros das, realizar un anlisis apropiado de riesgos en entornos de TI complejos no es fcil sin la ayuda de herramientas automatizadas. La direccin es responsable de realizar evaluaciones de riesgos para determinar los controles a implementar o para mejorarlos. Los auditores internos realizan anlisis similares cuando evalan la adecuacin de los controles para determinar los objetivos del plan de trabajo y el alcance de la auditora. Las herramientas automatizadas pueden asistir a ambos procesos. La automatizacin de la gestin de la auditora 27 interna es un tema importante por derecho propio.
9.3
No es prctico establecer reglas para informar sobre cada situacin especial de los controles de TI. El director ejecutivo de auditora interna debe aplicar un juicio prudente cuando exprese una opinin o emita un informe al comit de auditora. Esto no es diferente de la forma en que el director ejecutivo de auditora interna interacta con el comit de auditora con respecto a otros temas de control interno. El director ejecutivo de auditora interna discutir con el comit de auditora los temas de control interno para determinar el nivel ptimo de la informacin a ser proporcionada para permitir al comit de auditora cumplir con sus obligaciones de gobierno estatutarias, legales, de polticas, de debido cumplimiento u otras Las mtricas y el informe y los resmenes de informes de auditora son dos reas donde el director de auditora interna debe interactuar con el comit de auditora con respecto a los controles internos. Otras interacciones dependern de las necesidades especficas del comit de auditora y de cualquier requisito legislativo o regulatorio. Mtricas e informes . Las mtricas y los informes deben presentar informacin significativa sobre el estado de los controles de TI. Mientras que la direccin proporciona las mtricas y los informes, el director ejecutivo de auditora interna debe poder atestiguar su validez y opinar sobre su valor. Esto se logra a travs de una revisin de auditora de las reas de control relevantes para producir una evaluacin objetiva e independiente. El director ejecutivo de auditora interna debe comunicarse con la direccin en todos los niveles y con el comit de auditora para acordar sobre la validez y la efectividad de las mtricas y de los aseguramientos elegidos para los informes. Un conjunto bsico de mtricas de gobierno y de gestin para la seguridad de la informacin se incluye en el Apndice G. Estas mtricas no incluyen datos especficos con respecto a la realizacin de controles tcnicos detallados, aunque los controles tcnicos pueden proporcionar la informacin usada en la medicin. Las mtricas reales usadas dependern de la organizacin y de las necesidades del comit de auditora. El director de auditora interna puede seleccionar ejemplos de mediciones tomadas en cualquier nivel de la organizacin para ayudar a ilustrar las materias que pueden impactar materialmente sobre los controles a nivel de gobierno. Resmenes de informes de auditora. Preparados habitualmente para el comit de auditora, estos informes resumen hallazgos, conclusiones y opiniones sobre el estado de los controles de TI. Tambin pueden informar sobre las acciones acordadas de informes de auditoras anteriores y el estado de esas acciones, probablemente sobre una base de excepciones en cuanto a acciones no implementadas en el marco de tiempo previsto. Los resmenes de controles de TI
GTAG Evaluacin 9
no pueden ser presentados de manera aislada, sino que deben ser presentados en el contexto del marco completo de control interno. La frecuencia de los informes depende de las necesidades de la organizacin. En un entorno regulador fuerte, tal como el proporcionado por Sarbanes-Oxley en Estados Unidos, se requiere que los informes sean trimestrales. En otros casos, la frecuencia de los informes se ajustar al esquema de gobierno de la organizacin, a la filosofa y al alcance de los riesgos de TI.
Aseguramiento de mtricas
Comit de Auditora
Resmenes de infomes, opiniones, realizacin del plan Informes, opiniones estado del plan Peticiones y consultas especiales
Direccin
28
GTAG Conclusin 10
La evaluacin de los controles de TI es un proceso constante, debido a que los procesos de negocio cambian permanentemente, la tecnologa avanza continuamente, las amenazas se desarrollan a la vez que emergen nuevas vulnerabilidades y los mtodos de auditora continan mejorando. El director ejecutivo de auditora interna debe mantener las evaluaciones de los controles de TI que respaldan los objetivos de negocio, en el nivel ms alto de la agenda de auditora. La evaluacin de los controles de TI no es un trabajo de slo determinar si se estn empleando las mejores prcticas, dado que los controles son especficos para la misin, objetivos, cultura, tecnologa y procesos implementados y riesgos de la organizacin. La tecnologa debe ser adaptada para proporcionar controles eficaces y el director de auditora interna debe asegurar que la auditora interna adopte mtodos apropiados y eficaces. La auditora de TI es un proceso de aprendizaje continuo. El director ejecutivo de auditora interna my rara vez entiende todas las tecnologas usadas en su entorno y sus implicaciones de control especficas. Por ello, los auditores de TI, adecuadamente certificados y con experiencia son un activo importante para cualquier funcin de auditora interna. Sin embargo, el director ejecutivo de auditora interna debe entender los temas globales de control y poder comunicarlos a la ms alta direccin y a los comits apropiados del Consejo de Administracin en una forma que pueda ser fcil de entender y de una manera que d lugar a una respuesta apropiada. La clave para evaluar efectivamente los controles de TI es la comunicacin con el personal tcnico, la direccin y los miembros del Consejo.
29
11.3
Tcnica
11.1
Supervisar los programas de gestin de riesgos y cumplimiento relacionados con la seguridad de la informacin (por ejemplo, Ley Sarbanes-Oxley, Ley de Registro de Seguros Mdicos y Ley GrammLixivian-Bliley).Accountability Act, Gramm-LeachBliley Act). Aprobar y adoptar principios amplios del programa de seguridad de la informacin y aprobar la designacin de gerentes clave responsables de seguridad de la informacin. Procurar la proteccin de los intereses de todos los accionistas en lo referente a seguridad de la informacin. Revisar las polticas de seguridad de la informacin con respecto a socios estratgicos de negocio y otras terceras partes. Asegurar la continuidad del negocio. Revisar las previsiones de auditoras internas y externas del programa de seguridad de la informacin. Colaborar con la direccin en especificar las mtricas de seguridad de la informacin que se comunicarn al Consejo.
Establecer un programa completo de seguridad de la informacin requiere la atencin a los siguientes componentes de programas tcnicos: Identificacin y autenticacin de usuarios. Gestin de cuentas de usuarios. Privilegios de usuarios. Gestin de configuraciones. Registro y supervisin de eventos y actividades. Comunicaciones, correos electrnicos y seguridad en los accesos remotos. Proteccin de cdigos malignos, incluyendo virus, gusanos y troyanos. Gestin de cambios de software, incluyendo parches. Filtro de seguridad. Cifrado de datos. Copia de respaldo y recuperacin. Deteccin de incidentes, vulnerabilidades y respuesta a ellos. Colaborar con la direccin para especificar las mtricas tcnicas que se deben comunicar a la direccin.
11.2
Direccin
Establecer las polticas de gestin de seguridad de la informacin, los controles y la supervisin del cumplimiento. Asignar las funciones de seguridad de la informacin, responsabilidades y conocimientos requeridos y hacer cumplir el criterio de privilegios de acceso basado en la necesidad de informacin de cada funcin. Evaluar los riesgos de la informacin, establecer umbrales de riesgo y gestionar activamente la mitigacin del riesgo. Asegurar la implementacin de los requisitos de seguridad de la informacin para los socios estratgicos y otras terceras partes. Identificar y clasificar los activos de informacin. Implementar y probar los planes de continuidad del negocio. Aprobar la arquitectura de los sistemas de informacin durante la adquisicin, desarrollo, operaciones y mantenimiento. 30
12.1
La ley Sarbanes-Oxley (http://www.theiia.org/iia/ guidance/issues/sarbanes-oxley.pdf) fue ideada para reformular las prcticas de la auditora externa y otros procesos del gobierno corporativo en los mercados de capitales, como consecuencia de los escndalos del caso Enron y del Worldcom. El PCAOB proporciona una conjunto extenso de informacin y consejos sobre la Ley Sarbanes-Oxley en su sitio Web http: www.sarbanes-oxley.com. Los principales requisitos de la Ley Sarbanes-Oxley, la SEC y las Bolsas de Valores de Estados Unidos se comparan y contrastan en el anlisis de la Fundacin para la Investigacin del IIA, titulado Assessment Guide for U.S. Legislative, Regulatory, and Listing Exchanges Requirements Affecting Internal Auditing (www.theiia.org/iia/download.cfm?file=519). Sin embargo, la Ley Sarbanes-Oxley no trata la aplicacin de controles de TI de manera especfica. Esto no significa que se pueda ignorar la TI cuando se realizan las revisiones de cumplimiento requeridas por esa ley. La ley es
12.2
El acuerdo de Basilea
El acuerdo de Basilea II es un tratado normativo que define las normas globales para las prcticas de gestin de riesgos del mundo empresarial en el sector financiero con la intencin de atenuar riesgos de prdidas en la industria. El foco est en el sector bancario, pero hay un intento claro para armonizar normas a travs de todos los segmentos de la
12.3
Proteccin de datos
El concepto de proteccin de datos fue desarrollado cuando en las conferencias de Naciones Unidas y la OCDE se plantearon distintos aspectos de la computarizacin en los ltimos aos de la dcada del 60. La primera ley nacional fue promulgada en 1974 en Suecia y la OCDE public sus Guas para la Proteccin de Datos en el ao 80 (OCDE C (80) 58 ltima parte). Los organismos regionales, como el Consejo de Europa (Convencin de proteccin de datos 108/1981, basada en derechos humanos) y la Comisin Europea (EC, en ingls) (Directiva 95/46/EC Orientada a la proteccin del consumidor) ha aprobado marcos de referencia vinculantes para la implementacin en sus estados miembros. Segn su sistema legislativo, muchos pases del mundo tienen previsiones constitucionales y leyes generales o de amplio espectro con regulaciones para la proteccin de los datos. Para tender un puente entre las diferentes regulaciones en Estados Unidos y en la Unin Europea (EU), la EC y el Ministerio de Comercio de EE. UU. desarrollaron un marco de seguridad de puerto seguro para las compaas de EE. UU. El puerto seguro es un acuerdo marco que consiste en siete principios y en una serie de preguntas realizadas frecuentemente. (Vase tambin: http://www.was4.hewitt.com/hewitt/resource/legislative_up dates/europe/eu_data1.htm). La legislacin de la Unin Europea requiere que las organizaciones protejan la informacin personal. Tambin obliga a que se tomen las medidas tcnicas apropiadas para garantizar la seguridad de los datos personales, sean electrnicos o manuales. Se puede encontrar informacin adicional sobre proteccin de datos en el Centro de Informacin sobre Privacidad Electrnica (EPIC, en ingls) (http://www.epic.org); Privacy Internationaln (http://www.privacyinternational.org) y UK Office of the Information Commissioner (http://www. ico.gov.uk).
12.4
La Ley GLBA naci para proteger la privacidad de la informacin de clientes en el sector financiero, pero
12.7
12.5
Ley HIPAA de 1996 (Ley de Responsabilidad y Portabilidad del Seguro Mdico de EE. UU.)
HIPAA contiene los requerimientos para la proteccin de la informacin personal y para la seguridad de la informacin. La ley se aplica a las compaas con sede en EE. UU. del sector mdico, pero puede tambin alcanzar a cualquier compaa que proporcione servicios de proteccin o cobertura mdica a sus empleados, segn las circunstancias. Si desea ms informacin, visite http://www.hipaa.org.
Muchos pases tienen regulaciones nacionales que cubren el control interno, incluidos Alemania (KonTraG, requisitos de la gestin de riesgos) y Francia (LSF, requisitos de informacin del control interno). Adems, se puede requerir que los auditores externos certifiquen la adecuacin de los mecanismos y de los controles de los informes financieros. Aunque la mayora de estas regulaciones no tratan directamente con la TI, ellas implican la necesidad de una infraestructura de TI adecuadamente controlada. Por esta razn muchos organismos nacionales de la Federacin Internacional de Contadores (IFAC) proporcionan guas detalladas para la evaluacin de los controles de la TI.
12.6
Ley de Infracciones a la Seguridad de la Informacin de California. Seccin 1798.29 y 1798.82 del Cdigo Civil (Habitualmente se la conoce como BillCA SB 1386)
La CA SB 1386 del Estado de California enmend la Ley de Prcticas de la Informacin de 1977, del Cdigo Civil, para crear una regulacin amplia que determina la divulgacin pblica de las infracciones a la seguridad de las computadoras cuando se pudiera haber visto comprometida la informacin confidencial de los residentes de California. Las empresas, pblicas o privadas, que realizan transacciones comerciales con los residentes de California se ven potencialmente afectadas. La informacin confidencial cubierta por la ley incluye los nmeros de seguridad social, los nmeros de licencia de conductor de California, los nmeros de cuentas bancarias y los nmeros de tarjetas de crdito o dbito. Aunque no se mencionan aqu casos de esta legislacin, hay algunas discusiones sobre el tema que han indicado que las cortes pueden no tener una visin favorable de una organizacin si trata diferente a sus clientes de California que al resto de los clientes
34
GTAG Apndice C Las tres categoras de conocimientos de TI para los auditores internos - 13
13.1 Consideraciones sobre el conocimiento del auditor
Norma 1210: El nivel de competencia sobre las Normas del IIA, requiere que la actividad de la auditora interna, en su conjunto, tenga u obtenga el conocimiento, las aptitudes y otras competencias necesarias para cumplir con sus responsabilidades1. Se necesitan diversos niveles de conocimiento de TI en la organizacin para proporcionar un enfoque sistemtico y disciplinado a fin de evaluar y mejorar la efectividad de los procesos sobre la gestin de riesgos, los controles y del gobierno. El conocimiento de cmo se utiliza la TI, los riesgos relacionados y la capacidad de utilizar la TI como un recurso en el desarrollo del trabajo de auditora es esencial para la eficacia del auditor en todos los niveles. El Comit Internacional de Tecnologa Avanzada del IIA, ha identificado tres categoras de conocimiento de TI para los auditores internos. 13.1.1 Categora 1: Todos los auditores La categora 1 es el conocimiento de TI necesario para todos los auditores profesionales, desde las nuevas incorporaciones hasta el director de auditora interna. El conocimiento de TI abarca entender conceptos, como las diferencias en el software usado en aplicaciones, sistemas operativos y software de sistemas y redes. Esto implica entender los componentes bsicos de seguridad de TI y de control, tales como seguridad perimetral, deteccin de intrusismo, autenticacin y controles de los sistemas de aplicacin. El conocimiento bsico incluye entender cmo los controles de negocio y los objetivos de aseguramiento pueden verse afectados por vulnerabilidades en las operaciones de negocio y lo relacionado con los sistemas de soporte y los componentes de redes y datos. Es fundamental asegurar que los auditores tienen suficiente conocimiento para centrarse en el entendimiento de los riesgos de TI, sin necesariamente tener conocimientos tcnicos significativos. 13.1.2 Categora 2: Supervisores de Auditora La categora 2 se aplica al nivel de supervisin de auditora. Adems de tener el conocimiento bsico en TI, los supervisores de auditora deben entender los aspectos y elementos de TI, de forma suficiente para considerarlos en las tareas de auditora de planificacin, pruebas, anlisis, informe y seguimiento y en la asignacin de las habilidades de los auditores a los proyectos de auditora. Esencialmente, el supervisor de auditora debe: Entender las amenazas y vulnerabilidades asociadas a procesos automatizados de negocio. Entender los controles de negocio y la mitigacin del riesgo que debe ser proporcionada por la TI. Planificar y supervisar las tareas de auditora para considerar las vulnerabilidades y los controles relacionados con la TI, as como la eficacia de la TI en la provisin de controles para las aplicaciones y entornos de negocio. Asegurar que el equipo de auditora tiene competencia suficiente, incluidas las habilidades en TI, para las tareas de auditora. Asegurar el uso eficaz de las herramientas de TI en los trabajos de auditora y en las pruebas. Aprobar los planes y las tcnicas para probar los controles y la informacin. Evaluar los resultados de las pruebas de auditora para evidenciar las vulnerabilidades o debilidades de control de la TI. Analizar los sntomas detectados y relacionarlos con las causas que pueden tener su origen en el negocio o en la misma TI, como planificacin, ejecucin, operaciones, gestin de cambios, autenticacin, u otras reas de riesgo. Proporcionar recomendaciones de auditora basadas en los objetivos del aseguramiento del negocio, centrndose en los orgenes de los problemas observados, ms que en divulgar simplemente los problemas o los errores detectados. 13.1.3 Categora 3: Especialista en auditora tcnica de TI La categora 3 se aplica al especialista en auditora tcnica de TI. Aunque los auditores de TI pueden funcionar a nivel de supervisin, deben entender la tecnologa subyacente que respalda a los componentes del negocio y estar familiarizados con las amenazas y vulnerabilidades asociadas a las tecnologas. Los auditores de TI tambin pueden especializarse en ciertas reas de la tecnologa. Los programas y productos del IIA se disean sobre todo para resolver las necesidades de informacin de la categora 1 y 2 de los auditores. El auditor de la categora 1 buscar las guas del IIA para relacionar las amenazas, las vulnerabilidades y los controles de TI con los objetivos de aseguramiento del negocio. Los productos del IIA tambin proporcionan informacin que puede ser til para explicar los impactos de los problemas tcnicos en el negocio. Adems, los productos de IIA pueden ayudar a la categora 3 de auditores tcnicos de TI para ganar competencia en las reas de tecnologa con las que no estn familiarizados y en esforzarse para alcanzar competencias de supervisin o gerenciales de auditora. El instituto SANS proporciona formacin en seguridad de la informacin y concede la Certificacin Global de Aseguramiento de la Informacin (GIAC, en ingls), una certificacin relevante para los profesionales de la seguridad de la informacin, incluidos los auditores. Las ofertas de cursos y certificaciones que los acompaan coinciden con las demandas crecientes de estudiantes, de nuevas amenazas y de nuevas tecnologas. Las certificaciones GIAC (http://www.giac.org/subject_certs.php) estn agrupadas por
4 Nota: El documento de Las tres categoras del conocimiento de TI para los auditores internos no forma parte de las Normas del IIA, pero es una orientacin prctica proporcionada por el Comit Internacional de Tecnologa Avanzada del IIA
35
GTAG Apndice C Las tres categoras de conocimientos de TI para los auditores internos - 13
tema y por nivel de dificultad. Algunas son certificaciones completas que acompaan cursos de aprendizaje de cinco a seis das, mientras que otros son certificados relacionados con cursos de uno a dos das. Los certificados son menos complicados pero estn ms centrados que las certificaciones. Tambin de inters y beneficio para todas las categoras de auditores de TI es el material proporcionado por la Asociacin de Auditora y Control de Sistemas de Informacin (ISACA, en ingls). ISACA ofrece normas y pautas a los profesionales de auditora de TI, adems de trabajos de investigacin tcnica centrados en aspectos de auditora de TI, la certificacin de Auditor Certificado de Sistemas de Informacin (CISA, en ingls) obtenida por ms de 35.000 personas en todo el mundo, publicaciones, formacin, y conferencias dedicadas a los profesionales de la auditora de TI.
36
Constituido en 1985, COSO es una iniciativa independiente del sector privado, estudi los factores que pueden dar como resultado informacin financiera fraudulenta y desarroll recomendaciones para las compaas que cotizan en bolsa y sus auditores independientes, para el SEC y para otros organismos de control, e instituciones educativas. COSO public su Enfoque integrado de control interno, Apndice E, traducido al castellano por el Instituto de Auditores Internos de Espaa. Este es una herramienta ampliamente aceptada tanto para la gestin como para los auditores y luego public el Enfoque integrado de gestin de riesgo empresarial en el otoo de 2004, tambin traducido al castellano por el IAI. Los detalles de ambos se pueden encontrar en http://www.coso.org.
14.5
14.2
CICA y CoCo
El Instituto Canadiense de Contadores Certificados (CICA, en ingls) public en 1992 los Criterios del Esquema de Control (CoCo) para tratar cuestiones pblicas e institucionales que la visin tradicional del control ya no abordaba de manera eficaz en la prevencin de quiebras corporativas. La misin de CoCo es mejorar el funcionamiento de la organizacin y la toma de decisiones mediante la mejor comprensin del control, el riesgo y el gobierno. Ms an, el marco proporciona una base para emitir juicios sobre la eficacia del control. En 1995 se edita la Gua de control, que describe la estructura de CoCo y define el control de una manera que va ms all del control interno tradicional sobre la informacin financiera. El modelo de CoCo es una manera de centrarse en el futuro de una organizacin para asegurarse de que est controlada, teniendo un sentido claro de los propsitos compartidos, el compromiso colectivo para alcanzar ese propsito, los recursos que se necesitan para hacer el trabajo y la capacidad de aprender de la experiencia.
ISO/IEC 17799:2000(E) fue emitida por la Organizacin Internacional para la Estandarizacin (ISO, en ingls) y la Comisin Internacional Electrotcnica (IEC, en ingls), define los principios de seguridad de la informacin que, en ltima instancia, proporcionan una garanta tanto a las partes del negocio como a los organismos de control, que la informacin de una organizacin est protegida correctamente. Derivado de la norma britnica BS 7799 (Instituto Britnico de Normas), el Cdigo de buenas prcticas para la gestin de seguridad de la informacin, se construye alrededor de los elementos especficos de seguridad requeridos en 10 reas, incluidas seguridad fsica y ambiental, comunicacin, gestin de operaciones y control de accesos. Aunque como cdigo de prctica, la ISO/IEC 17799:2000 proporciona orientaciones y recomendaciones de actuacin, no intenta ser una especificacin y se debe tener en cuenta que los reclamos de cumplimiento no deben ser confusos. La norma original BS 7799 tiene dos partes: La parte 1, que es el Cdigo de Prctica y es idntico a la ISO/IEC 17799:2000. La parte 2, que es una especificacin para implementar un Sistema de Gestin de Seguridad de la Informacin (ISMS, en ingls). Para dar conformidad a la parte 2 de la BS 7799 (BS 7799-2:2002) se debe implementar un ISMS en la organizacin, conforme con los requisitos descritos en la norma, que estn en las especificaciones. Terceras partes se han acreditado para certificar, o para registrar a las organizaciones con respecto a la BS 77992:2002. 14.5.1 Qu es la seguridad de la informacin? LA BS 7799 trata a la informacin como un activo, que como otros activos importantes del negocio, tiene valor en una organizacin y por lo tanto la necesidad de ser protegido. La seguridad de la informacin protege la informacin contra una amplia gama de amenazas para asegurar continuidad del negocio, minimizar daos en el negocio y para maximizar el retorno de inversiones y oportunidades de negocio. La informacin puede existir en muchas formas: impresa o escrita en el papel, almacenada electrnicamente, transmitida por correo u otros medios electrnicos, exhibida en pelculas, en las conversaciones. Cualquier forma que la informacin tome, o medio por el que se comparta o almacene, la BS 7799 indica que siempre se debe proteger apropiadamente. La seguridad de la informacin se caracteriza segn BS 7799 en preservar lo siguiente: Confidencialidad, asegurar el acceso a la informacin 37
14.3
La Gua de control de TI, publicada por el CICA, es una fuente de referencia para evaluar los controles de TI. Est organizada de una manera fcil de utilizar y est escrita en un lenguaje de negocio directo.
14.4
Establecido en 1998, el Instituto de Gobierno de TI (ITGI) proporciona orientacin en los aspectos actuales y futuros relacionados con el gobierno, la seguridad y el aseguramiento de la TI. La publicacin principal de la direccin del ITGI es el CobiT (consulte el Apndice F). El CobiT del ITGI proporciona un marco de referencia y un lenguaje comn a travs del ciclo de vida de los sistemas de informacin (SI), tanto para el rea de los SI como para los responsables del negocio y para los profesionales de auditora de los
14.6
El Foro de Seguridad de la Informacin (ISF, en ingls) con sus Normas de Buenas Prcticas de Seguridad de Informacin tiene como objetivo gestionar los riesgos asociados a cada aspecto de los sistemas de informacin, independientemente del sector de mercado, tamao, o estructura de la empresa. La norma fue desarrollada por los grupos de trabajo del ISF y
14.7
Los principios generalmente aceptados para la seguridad de la informacin (GAISP, en ingls) resumen la mejor prctica de un conjunto de esquemas similares. Desarrollados en 1991, estos principios proporcionan una amplia jerarqua de guas para asegurar la informacin y la tecnologa de soporte, entre ellos se incluyen: Principios bsicos gua a nivel del Consejo Principios generales de funcionamiento diseados para la gestin de la informacin a nivel ejecutivo (borrador distribuido en septiembre de 1999). Principios detallados gua para la gestin de seguridad de la informacin operativa (en desarrollo). Estos principios ahora estn siendo desarrollado por la Asociacin de Seguridad de Sistemas de Informacin (ISSA, en ingls) (http://www.issa.org), que puede proporcionar detalles de ello. 14.7.1 Principios bsicos Se refieren a la confidencialidad, integridad y disponibilidad de la informacin. Proporcionan una gua general para establecer y mantener la seguridad de la informacin y de la tecnologa de soporte. Principio de responsabilidad. La asignacin de responsabilidad sobre seguridad de la informacin y las responsabilidades deben estar claramente definidas y deben ser aceptadas. Razonamiento. La responsabilidad caracteriza la capacidad de auditar las acciones de todas las partes y procesos que interactan con la informacin. Las funciones y responsabilidades deben estar claramente definidas, identificadas y aprobadas a un nivel adecuado segn sensibilidad y criticidad de la informacin. La relacin entre las partes, los procesos y la informacin se debe definir claramente, se debe documentar y debe ser conocida por todos. Todas las partes deben tener responsabilidades en funcin de las cuales debern rendir cuentas. Principio de conocimiento. Todas las partes que necesariamente deben conocer la informacin, incluidos, entre otros, los propietarios de la informacin y los actores de la seguridad de la informacin, deben tener acceso a los principios, las normas, las convenciones o los mecanismos disponibles para asegurar la informacin y los sistemas de informacin, as como tambin se los debe informar sobre posibles amenazas a la seguridad de la informacin. 39
Gestin de seguridad
Desarrollo de sistemas Aplicaciones crticas del negocio
14.8
El Comit Ejecutivo de Servicios de Aseguramiento del Instituto Estadounidense de Contadores Pblicos Certificados (AICPA, en ingls) y el Consejo de Desarrollo de Servicios de Aseguramiento de CICA desarrollaron los Principios y criterios de servicios confiables para tratar los riesgos y las oportunidades de la TI. Estos principios precisan una serie de declaraciones de principios e identifican criterios especficos que se deben alcanzar para resolver cada principio. Los principios son declaraciones amplias de objetivos. Los criterios son comparaciones usadas para medir y presentar el tema y contra los que, quienes realizan las evaluaciones, pueden analizar tal tema. En los Principios y criterios de servicios confiables, los criterios son apoyados por una lista de controles ilustrativos y se organizan en cuatro reas amplias: Polticas. La organizacin ha definido y documentado sus polticas1 relevantes en sus Principales Principios Comunicaciones. La organizacin ha comunicado sus polticas ya definidas a los usuarios autorizados. Procedimientos. La organizacin utiliza procedimientos para alcanzar sus objetivos de acuerdo con las polticas definidas. Supervisin. La organizacin supervisa el sistema y ejecuta las acciones necesarias para mantener la conformidad con las polticas definidas. Seguidamente, se encuentran los resmenes de Servicios de seguridad confiables, Disponibilidad, Integridad de procesamiento, Aislamiento, Confidencialidad, y Principios y criterios de la autoridad de certificacin. Los Principios y criterios de servicios confiables se pueden utilizar para calificar los contratos de SysTrust y de WebTrust, que son servicios de aseguramiento diseados para una amplia gama de sistemas basados en TI. Sobre la obtencin de un informe de no aptitud sobre aseguramiento, la organizacin tiene la posibilidad de tener un SysTrust o WebTrust y el correspondiente informe del auditor. Adems, este esquema se puede utilizar para proporcionar servicios de consulta. Para obtener un listado detallado de los principios y criterios de servicios confiables, consulte http://www.aicpa.org/los trustservices.
5 El trmino polticas se refiere a pautas escritas que comunican el espritu de la gestin, los objetivos, requerimientos, responsabilidades y normas para un tema en particular. Algunas polticas pueden ser descritas como explicativas, contenidas en manuales de polticas o documentos de nombres similares. Sin embargo, otras pueden estar documentadas sin esas caractersticas explcitas, incluidas por ejemplo, las comunicaciones a empleados o terceros.
41
14.8.5
Principio de confidencialidad la informacin sealada como confidencial se protege segn lo comprometido o acordado El principio de confidencialidad se centra en la informacin sealada como confidencial. No hay definicin extensamente reconocida sobre informacin confidencial, a diferencia de la informacin personalmente identificable, que muchos pases actualmente estn definiendo con lasregulaciones. En el curso de la comunicacin y las transacciones del negocio, los socios intercambian informacin que a menudo desean mantener como confidencial. En la mayora de los casos, las partes desean asegurar que la informacin que proporcionan est disponible solamente para los individuos que deben tener acceso para completar la transaccin o resolver las cuestiones que que se presenten. Para realzar la confianza de los socios del negocio, es importante informarlos acerca de las prcticas de confidencialidad de la organizacin, incluidas aquellas que proporcionan el acceso autorizado, el uso y la posibilidad de compartir la informacin identificada como confidencial. La informacin de confidencialidad incluye: Detalles de la transaccin Diseos de ingeniera. Planes del negocio. Informacin de las actividades bancarias del negocio. Disponibilidad del inventario. Ofertas o consultas de precios. Listas de precios. Documentos legales. Listas de clientes normales y preferenciales. Rentas para el cliente y la industria. A diferencia de la informacin personal, no existen derechos definidos para tener acceso a la informacin confidencial que aseguren su exactitud y totalidad. Las interpretaciones de qu se considera informacin confidencial pueden variar significativamente de negocio a negocio y son guiadas por acuerdos contractuales en la mayora de los casos. Como resultado, las partes implicadas en las relaciones del negocio deben comprender qu informacin se mantendr sobre una base confidencial y qu derechos de acceso, u otras condiciones, puede tener una organizacin para actualizar esa informacin que asegure su exactitud y totalidad. La informacin que se proporciona a la otra parte es susceptible al acceso no autorizado durante su transmisin y mientras se almacena en los sistemas informticos de la otra parte. Por ejemplo, una parte no autorizada puede interceptar transacciones e informacin del perfil del socio del negocio y las instrucciones acordadas, mientras estas se estn transmitiendo. Los controles tales como encriptacin se pueden utilizar para proteger la confidencialidad de la informacin durante la transmisin, mientras que los filtros de seguridad y los controles de acceso rigurosos pueden ayudar
Aunque cierta regulacin sobre privacidad utilice el tmino principio, el trmino componente es el utilizado por el Esquema de criterios de privacidad de servicios confiables de AICPA/CICA para representar este concepto ya que el trmino principio estaba previamente definido en los textos de Servicios confiables.
42
14.9
14.9.1 Principios de la OCDE del gobierno corporativo Los principios de la OCDE del gobierno corporativo, modificados en abril de 2004, precisaron una estructura para buenas prcticas acordada por los 30 pases miembros de la OCDE y se ha convertido en un principio generalmente aceptado (http://www.oecd.org/corporativo). Publicado originalmente en 1999, los principios se disean para asistir a los gobiernos y a los organismos de control en la elaboracin y cumplimiento de las reglas, regulaciones y de los cdigos del gobierno corporativo de forma efectiva. En paralelo, proporcionan una gua para las bolsas de valores, los inversores, las compaas y otras que tengan algn rol en el proceso de desarrollar un buen gobierno corporativo. Aunque los principios de la OCDE no roporcionan una gua especfica para controles de TI, otras unidades de la OCDE proporcionan una gua adicional e investigan en temas de seguridad y privacidad de la informacin. 14.9.2 Comisin de la EU El plan de accin de la Comisin Europea sobre la regulacin de empresas y gobierno corporativo se lanz en mayo de 2003 para consolidar mecanismos de gobierno corporativo en entidades de inters pblico (consulte ms detalles en http://europa.eu.int/comm/internal_market/company/ index_e n.htm). Las iniciativas de gobierno corporativo de la EU no se refieren especficamente a temas de TI, las actividades de la Sociedad de la informacin (http://europa.eu.int/information_society/index _en.htm) contienen muchos temas especficos sobre controles de TI. 14.9.3 El cdigo combinado del Reino Unido y la gua de Turnbull El cdigo combinado y la gua de Turnbull fueron el acercamiento del Reino Unido al gobierno corporativo. Como la Ley Sarbanes-Oxley, no se refieren especficamente al tema de controles de TI, sino que se centran en el marco de control interno de forma global. Se puede encontrar ms informacin del IAI-RU e Irlanda en http://www.iia.org.uk/ knowledgecentre/keyissues/corporategovernance.cfm?Actio 43
14.10.1 Biblioteca de Infraestructura de TI (ITIL, en ingls) La ITIL es un acercamiento genrico a la administracin del servicio de TI, proporciona un conjunto de las mejores prcticas, enfocados internacionalmente en sectores pblicos y privados. Se origin en el Reino Unido, est respaldada por un esquema de calificacin, por organizaciones acreditadas de formacin y herramientas de implementacin y evaluacin. Los procesos de las mejores prcticas promovidos en ITIL apoyan y son apoyados por la norma del Instituto Britnico de Normas para la gestin de servicio de TI (BS 15000). Mientras que ITIL no exige especficamente tener una estructura para control de TI, se debe reconocer y considerar su uso cuando se determina qu estructura de control se aplicar. Obtenga informacin adicional en http://www.itil.co.uk/. 14.10.2 ISO 9000:2000 Mientras que la ISO 9000 se relaciona especficamente con los requisitos de calidad de la gestin, no contiene elementos que contribuyen a los controles de TI relacionados con los procesos de control y documentacin. A pesar de que no constituye un esquema de control completo de TI, la ISO 9000 puede proporcionar elementos que aporten a la solidez de los controles de TI para implementar procesos slidos. Para obtener ms informacin, visite http://www. iso.ch/iso/en/iso9000-14000/iso9000/ iso9000index.html. 14.10.3 Marco de calidad del Instituto Nacional de Calidad (NQI) de Canad para la excelencia del negocio El marco de calidad canadiense para la excelencia del negocio, desarrollado por el Instituto Nacional de Calidad (NQI), es una estructura para mejorar la calidad. Se basa en los principios de calidad y en los criterios originales del sector privado que se han adaptado tambin al sector pblico. Adems, forman la base de la evaluacin para las concesiones de calidad de
44
15.2
El control interno consiste en cinco componentes correlacionados que se derivan de la manera en que la direccin ejecuta el negocio y se integran con el proceso de gestin. Aunque los componentes se aplican a todas las entidades, las organizaciones pequeas y de tamao mediano pueden ponerlos en ejecucin de manera diferente a las grandes empresas. Los controles de una organizacin pequea pueden ser menos formales y estructurados, pero an as pueden tener un control interno eficaz. Los componentes son: 15.2.1 Entorno de control El entorno de control fija el nivel dentro de una organizacin, influenciando la conciencia de control de su personal, estableciendo la base para el resto de los componentes de control interno y proporcionando disciplina y estructura. Los factores estructurales de control incluyen la integridad, los valores ticos y la competencia del personal de la entidad; la filosofa de la direccin y el estilo de operacin, la manera en que la direccin asigna autoridad y responsabilidad, y organiza y desarrolla a su gente; la atencin y direccin proporcionadas por el consejo de administracin. 15.2.2 Evaluacin de riesgos Cada entidad hace frente a numerosos riesgos de origen externo e interno, que deben ser evaluados. Una condicin previa a la evaluacin de riesgos es establecer los objetivos que estn conectados a diferentes niveles y que son consistentes internamente. La evaluacin de riesgos identifica y analiza los riesgos relevantes para alcanzar esos objetivos, y forma una base para determinar cmo se deben gestionar los riesgos. Debido a que las condiciones econmicas, industriales, legales y operativas continuarn cambiando, las organizaciones necesitan mecanismos para identificar y ocuparse de los riesgos especficos asociados al cambio. 15.2.3 Actividades de control Las actividades de control son las polticas y los procedimientos que ayudan a asegurar que las directivas de la direccin se lleven a cabo y que las acciones necesarias se implementen para identificar los riesgos y alcanzar los objetivos. Las actividades de control existen en la organizacin, en todos los niveles y en todas las funciones. Incluyen una gama de actividades tan diversas como aprobaciones, autorizaciones, verificaciones, reconciliaciones, revisiones de rendimiento operativo, seguridad de activos y separacin de funciones. 45
15.1
COSO define el control interno (http://www.coso.org/) como el proceso, efectuado por el consejo de administracin, la direccin y dems empleados de una entidad, diseado para proporcionar un grado de seguridad razonable en la consecucin de los objetivos en las siguientes categoras: Eficacia y eficiencia de las operaciones. Fiabilidad de la informacin financiera. Cumplimiento con las leyes y regulaciones aplicables. Estas distintas categoras, aunque superpuestas, se remiten a diversas necesidades de tal forma que cada una requiere un enfoque especfico. La primera categora se centra en los objetivos bsicos de negocio de una entidad, incluyendo metas de rendimiento, beneficios y salvaguarda de recursos, afectados en gran medida por el uso de TI. La segunda categora se relaciona con la preparacin y publicacin de estados contables fiables, incluidos los estados contables provisionales y abreviados, as como la publicacin de ganancias y otros datos financieros emitidos pblicamente que derivan de esos estados. Los sistemas de TI suelen producir tales informes y los controles sobre estos sistemas juegan un papel importante a nivel del control interno. La tercera categora se ocupa del cumplimiento de aquellas leyes y regulaciones a las cuales la entidad est sujeta. Los sistemas de control interno funcionan segn diversos niveles de eficacia. El control interno se puede considerar eficaz en cada una de las tres categoras si el consejo de administracin y la direccin tienen razonable confianza de que: Entienden la medida en que se logran los objetivos operativos de la entidad. Los estados contables publicados se estn elaborando
Copyright 2000 del ITGI y reproducido con el permiso del ITGI. No se concede ningn otro derecho o permiso con respecto a este trabajo. 48
17.1
Establecer un programa competente de seguridad de la informacin requiere que los miembros del consejo presten atencin a ciertos elementos de programa. Los miembros del consejo pueden utilizar las siguientes mtricas como parte de sus responsabilidades en cuanto a seguridad de la informacin. Los miembros del consejo generalmente deben encontrar el
7 http://reform.house.gov/TIPRC/
49
17.2
Las siguientes mtricas y elementos del programa han sido pensados para ayudar a la direccin a implementar las metas y polticas de seguridad de la informacin establecidas por el consejo como parte de un programa efectivo para dicha seguridad: Establecer las polticas y controles de gestin de seguridad de la informacin y de supervisin del cumplimiento. Porcentaje de los elementos del programa de seguridad de la informacin para los cuales las polticas y controles aprobados son operativos. Porcentaje de responsabilidades asignadas al personal para los controles y polticas de seguridad de la informacin, quienes han reconocido las responsabilidades asignadas en relacin con esas polticas y controles. Porcentaje de las revisiones de cumplimiento de las polticas de seguridad de la informacin que observaron infracciones. Porcentaje de los responsables de unidades de negocio y gerentes de rango superior, quienes han implementado los procedimientos operativos para asegurar el cumplimiento con los controles y las polticas de seguridad de la informacin aprobados. Asignar las funciones, responsabilidades y habilidades requeridas para la seguridad de la informacin y asegurar su cumplimiento basndose en las funciones y los privilegios de acceso a la informacin. Porcentaje de los nuevos empleados contratados en el perodo informado que realizaron con xito su capacitacin de concienciacin en seguridad antes de otorgarles acceso a la red. Porcentaje de los empleados que han completado su capacitacin de actualizacin peridica en concienciacin en seguridad, tal como lo requieren las polticas. Porcentaje de las descripciones de los puestos de trabajo que definen, en relacin con la seguridad de la informacin, las funciones, responsabilidades, habili dades, y las certificaciones para: + Gerentes y administradores de seguridad. + Personal de TI. + Personal en general usuario de los sistemas. Porcentaje de las revisiones de desempeo de los puestos de trabajo que evalan las responsabilidades de seguridad de la informacin y de cumplimiento de las polticas. Porcentaje de las funciones de usuario, sistemas y aplicaciones que cumplen con el principio de separacin de funciones. Nmero de individuos con acceso al software de seguridad que no han sido capacitados ni autorizados como administradores de seguridad.
Acciones
1. Identificar el entorno de control de TI de la organizacin, se incluyen: a. Valores. b. Filosofa. c. Estilo de gestin. d. Conocimiento de TI. e. Organizacin. f. Polticas. g. Normas.
Preguntas
1. Existen polticas y normas corporativas que describan la necesidad de controles de TI?
2. Identificar la legislacin relevante y la regulacin que afectan al control de TI, como a. Gobierno. b. Informacin a emitir. c. Proteccin de datos. d. Cumplimiento legal
2. Qu legislacin existe que impacte sobre la necesidad de controles de TI? 3. La direccin ha tomado medidas para asegurar el cumplimiento de esta legislacin?
3. Identificar las funciones y responsabilidades sobre los controles de TI en relacin a lo siguiente: a. Consejo de administracin i. Comit de Auditora ii. Comit de Riesgos iii. Comit de Gobierno iv. Comit de Finanzas b. Direccin i. Presidente ii. Director Financiero y Contralor iii. Director de TI iv. Director de Seguridad v. Director de Seguridad de la Informacin vi. Asesora Jurdica vii. Director de Riesgos c. Auditora. i. Interna ii. Externa
4. Se han asignado todas las responsabilidades relevantes de controles de TI a funciones individuales? 5. Es compatible la asignacin de responsabilidades con la aplicacin de la separacin de funciones? 6. Estn documentadas las responsabilidades deTI? 7. Se han comunicado las responsabilidades de control de TI a toda la organizacin? 8. Los responsables individuales de cada funcin, entienden claramente sus responsabilidades en cuanto a controles de TI? 9. Qu evidencia hay de que los titulares de las funciones han ejercido sus responsabilidades? 10. La auditora interna emplea los suficientes especialistas de auditora de TI para centrarse en aspectos del control de TI?
52
Acciones
4. Identificar el proceso de evaluacin de riesgos. Este cubre los siguientes aspectos?: a. Aceptacin del riesgo. b. Tolerancia al riesgo. c. Anlisis de riesgos. d. Comparacin de riesgos con los controles de TI.
Preguntas
11. Cmo se determina la aceptacin de riesgo y la tolerancia al riesgo de la organizacin? 12. La aceptacin y tolerancia al riesgo de la organizacin han sido autorizadas en el nivel del consejo? 13. La aceptacin y tolerancia al riesgo son conceptos claramente comprendidos por todos aquellos que tienen responsabilidad en el control de TI? 14. Existe un proceso formal de anlisis de riesgos dentro de la organizacin? 15. Todos aquellos con responsabilidades en el control de TI comprenden el proceso? 16. Se utiliza el proceso de manera consistente en toda la organizacin?
5. Identifique todos los procesos de supervisin, incluidos los siguientes: a. Regulatorios. b. Internos a la empresa. c. Otros, excepto los de auditora interna.
17. Qu procesos existen para supervisar el cumplimiento de la legislacin relevante, adems de las polticas y las normas internas? 18. Hay procesos de supervisin realizados por la direccin por fuera de las revisiones de auditora interna?
19. Qu mtricas se proporcionan al consejo de administracin, sus comits y a la direccin en lo referente a seguridad de TI? 20. Qu informes adicionales se proporcionan al consejo de administracin y a la direccin de regularmente? 21. Est la direccin siempre informada cuando hay fallos de los controles de TI? 22. El consejo de direccin y sus comits reciben informes similares de los fallos de TI?
53
19.1
Gobierno
Board Briefing on IT Governance, ITGI http://www.itgi.org/Template_ITGI.cfm? Section=ITGI&CONTENTID=6658&TEMPLATE=/ ContentManagement/ContentDisplay.cfm. Information Security Governance: Guidance for Boards of Directors and Executive Management, ITGI, http://www.itgi.org. Information Security Management and Assurance, Three report series from The IIA National Association of Corporate Directors (NACD), U.S. Critical Infrastructure Assurance Office, et al., http://www.theiia.org/esac/ index.cfm?fuseaction=or&page=rciap. Information Security Oversight: Essential Board Practices, NACD, http://www.nacdonline.org/publications/ pubDetails.asp?pubID=138&user=6158BBEB9D7C4EE0B9 E4B98B601E3716. IT Governance Implementation Guide, ISACA, http://www.isaca.org/Template.cfm?Section=Browse_By_To pic&Template=/Ecommerce/ProductDisplay.cfm&ProductI D=503. Turnbull Report - Internal Control - Guidance for Directors on the Combined Code, Institute of Chartered Accountants in England & Wales, http://www.icaew.co.uk/ index.cfm?AUB=TB2I_6242,MNXI_47896.
19.2
Direccin
BS 7799 Parts 1 & 2, Code of Practice for Information Security Management, British Standards Institution, http://www.bsi.org.uk. Common Sense Guide for Senior Managers, Internet Security Alliance, www.isalliance.org. Corporate Information Security Evaluation for CEOs, TechNet, http://www.technet.org/cybersecurity. Generally Accepted Information Security Principles (GAISP), Information Systems Security Association. Currently available: Generally Accepted Systems Security Principles (GASSP) consisting of Pervasive Principles and 54
19.3
Aspectos Tcnicos
Consensus Benchmarks, Center for Internet Security, http://www.cisecurity.org. DISA Security Technical Implementation Guides, http://www.csrc.nist.gov/pcig/cig.html. ISO 15408 Common Criteria, http://www.csrc.nist.gov/cc/ ccv20/ccv2list.htm.
19.4
Auditora de TI
Control Objectives for Information and Related Technologies (CobiT), ISACA, http://www.isaca.org. Federal Information Systems Controls Audit Manual (FISCAM), U.S. Government Accountability Office, http://www.gao.gov. Information Technology: Control Guidelines (ITCG), CICA, http://www.cica.ca.
55
21.1
Cada gua GTAG se desarrolla con la participacin de expertos tcnicos de auditora y de seguridad, ejecutivos de auditora, proveedores de tecnologa y las asociaciones e individuos que representan a los miembros del consejo, la alta direccin, los ejecutivos de finanzas, los profesionales de tecnologa de la informacin y los ejecutivos de seguridad. La participacin de los institutos internacionales del IIA y los socios respaldan la filosofa global de las guas. Otros profesionales que presentan sus visiones especializadas en cuanto a temas legales, de seguros, regulatorios y normas, sern incluidos, segn sea aplicable, dentro de los proyectos individuales de GTAG.
58
22.3
22.1
Jack Antonelli, ADP Ken D. Askelson, CIA, JC Penney Co. Inc. Becky Bace, Infidel Inc. Kevin Behr, IPSI, Institute for Integrated Publication and Information Systems Jeff Benson, BearingPoint
El Consejo de Asesoramiento est compuesto por personas que han contribuido al desarrollo de esta gua desde el comienzo de la planificacin del proyecto del GTAG, pasando por el diseo y desarrollo inicial y diversos borradores de la Gua de Controles de TI, hasta completar el producto final. Estas personas han ido ms all de su funcin de un equipo de soporte voluntario actuando realmente con una funcin de liderazgo. Julia H Allen, CMU/SEI Carnegie-Mellon University/Software Engineering Institute Michael R. Dickson, Business Technology Group, LLC Clint Kreitner, President/CEO, CIS, The Center for Internet Security Alex Lajoux, NACD, National Association of Corporate Directors Will Ozier, Vice Chair, the ISSA GAIS Committee CEO & President OPA Inc., The Integrated Risk Management Group, USA Mark Salamasick, CIA, University of Texas at Dallas Karyn Waller, AICPA, American Institute of Certified Public Accountants
Robert S. Block, Chairman, 3D Business Tools, USA Sylvia Boyd, The IIA Alexandra Branisteanu, Information Security Officer, Scripps Health, San Diego, USA Larry Brown, Options Clearing Corp. Stephanie Bryant, University of South Florida Phil Campbell, Specialized IT, LLC, USA John Carlson, BITS, Banking Industry Technology Secretariat Chris Compton, Intrusion Labs Guy Copeland, CSC, Computer Sciences Corp.
22.2
Organizaciones asociadas
Rich Crawford, Vice President/Senior Security Advisor, Janus Risk Management, USA Bob Daniels, EDS Bob Dix, U.S. House of Representatives 59
AICPA Michael R. Dickson, Karyn Waller, American Institute of Certified Public Accountants CIS Clint Kreitner, Center for Internet Security
22.4
Institutos internacionales del IIA 22.6 Comit Internacional de Tecnologa Avanzada del IIA
Frank Alvern, CIA CCSA, Nordea Bank, Noruega Alexandre Alves Apparecido, Brasil Dror Aviv, Israel
Anton van Wyk, (Chairman), CIA, PricewaterhouseCoopers, South Africa Alexandre Alves Apparecido, Brasil Telecom, Brazil
David F. Bentley, England, RU e Irlanda. Ken D. Askelson, CIA, JC Penney Co. Inc., USA Gerardo Carstens, CIA, IIA Argentina Dror Aviv, CFSA, IIA Israel Richard Cascarino, Sudfrica. Donald L. Bailey, Grant Thornton, LLP, USA Iftikhar Chaudry, Pakistan Hisham T. El Gindy, Manager, KPMG Hazem Hassan,Egipto Dr. Ulrich Hahn, CIA, Suiza Rossana S. Javier, Makati City, Filipinas Andras Kovacks, Hungra Christopher McRostie, Australia Furqan Ahmad Saleem, Partner, Avais Hyder Nauman Rizwani RSM, Pakistan Kyoko Shimizu, CIA, Japn. Douglas Guerrero, EDS Corp., USA John Silltow, Security Control and Audit Ltd., Reino Unido Ken Siong, Federacin Internacional de Contadores David J Hill, IBM Corp., USA Anton van Wyk, PwC, Sudfrica Michael S. Hines, CIA, Purdue University, USA Nick Wolanin, Conferencista Senior Adjunto, graduado universitario de Australia. Julie Young, Australia Mark J. Hornung, Ernst & Young LLP, USA Gene Kim, CTO, Tripwire Inc., USA David S. Lione, KPMG LLP Southeast Region, USA Peter B. Millar, ACL Services Ltd., Canada Allan M. Newstadt, CIA, World Bank/International Finance Corp., USA Brenda J. S. Putman, CIA, City Utilities of Springfield, USA 61 Dr. Ulrich Hahn, CIA, Syngenta International, Switzerland E.W. Sean Ballington, PricewaterhouseCoopers, LLP, USA (originally South Africa) Norman F. Barber, Microsoft Corp., USA David F. Bentley, QiCA, Consultant, England Claude Cargou, GIE AXA, France Michael P. Fabrizius, CIA, Bon Secours Health System Inc., USA Ramiz Tofigi Ganizade, Azerbaijan Republic Chamber of Auditors, Azerbaijan
22.5
Carolee Birchall, Vice President and Senior Risk Officer, Bank of Montreal, Canada P. J. Corum, Quality Assurance Institute, Middle East and Africa, United Arab Emirates
22.7
Equipo de redaccin
David A. Richards, CIA, President, The IIA Alan S. Oliphant, MIIA, QiCA, MAIR International Charles H. Le Grand, CIA, CHL Global
22.8
62
Controles de tecnologa de la informacin Esta gua describe cmo se distribuyen los roles de TI y las responsabilidades en la organizacin, cmo se logra una evaluacin precisa de los controles de TI y cmo la organizacin puede fomentar la confiabilidad y eficiencia de TI.
Qu es GTAG? La Gua de Auditora de Tecnologa Global (GTAG) ha sido preparada por el Instituto de Auditores Internos y est escrita en un lenguaje de negocios claro y directo para abordar temas de actualidad relacionados con la gestin, el control o la seguridad de la tecnologa de la informacin. GTAG es una coleccin de recursos lista para ser utilizada por los directores ejecutivos de auditora en la educacin de los miembros del Consejo de Administracin y del Comit de Auditora, Direccin, propietarios de los procesos y otros en lo que respecta a riesgos asociados a la tecnologa y prcticas recomendadas.
www.theiia.org