Académique Documents
Professionnel Documents
Culture Documents
Autores:
Marzo 2005
Copyright 2005 del Instituto de Auditores Internos, 247 Maitland Avenue, Altamonte Springs, Florida 32701-4201.
Todos los derechos reservados. Impreso en Estados Unidos. Ninguna parte de esta publicacin puede ser reproducida,
guardada en un sistema de recuperacin o transmitida en forma alguna ni por ningn medio, sea electrnico, mecnico,
fotocopia, grabacin, o cualquier otor, sin obtener previamente el permiso por escrito del editor.
El IIA publica este documento con fines de informativos y educativos. Este documento tiene como propsito bindar infor-
macin, pero no sustituye el asesoramiento legal o contable. El IIA no ofrece ese tipo de asesoramiento y no garantiza
ningn resultado legal ni contable por medio de la publicacin de este documento. Cuando surgen cuestiones legales o
contables, se debe recurrir y obtener asistencia profesional.
GTAG ndice
Captulo 1
Resumen ejecutivo ................................................................................................................................................................ 1
Captulo 2
Introduccin.......................................................................................................................................................................... 3
Captulo 3
Evaluacin de controles de TI Una perspectiva ...................................................................................................................... 4
Captulo 4
Comprensin de los controles de TI ........................................................................................................................................ 5
Captulo 5
Importancia de los controles de TI ........................................................................................................................................ 13
Captulo 6
Funciones de TI en la organizacin ........................................................................................................................................ 14
Captulo 7
Anlisis de riesgos ................................................................................................................................................................ 19
Captulo 8
Supervisin y tcnicas .......................................................................................................................................................... 23
Captulo 9
Evaluacin............................................................................................................................................................................ 26
Captulo 10
Conclusin .......................................................................................................................................................................... 29
Captulo 11
Apndice A Elementos de un programa de seguridad de la informacin ................................................................................ 30
Captulo 12
Apndice B Cumplimiento con la legislacin ...................................................................................................................... 31
Captulo 13
Apndice C Las tres categoras de conocimientos de TI para los auditores internos ................................................................ 35
Captulo 14
Apndice D Esquemas de cumplimiento .............................................................................................................................. 37
Captulo 15
Apndice E - Evaluacin de los controles de TI mediante COSO ............................................................................................ 45
Captulo 16
Apndice F - Objetivos de control de informacin y tecnologas relacionadas (CobiT) de ITGI ................................................ 47
Captulo 17
Apndice G Ejemplo de mtricas de control de TI .............................................................................................................. 49
Captulo 18
Apndice H Cuestionario del DEA .................................................................................................................................... 52
Captulo 19
Apndice I Referencias ...................................................................................................................................................... 54
Captulo 20
Apndice J Glosario .......................................................................................................................................................... 56
i
GTAG ndice
Captulo 21
Apndice K Sobre la GTAG ................................................................................................................................................58
Captulo 22
Apndice L Socios y Equipo Global del Proyecto GTAG ........................................................................................................59
ii
GTAG Resumen ejecutivo 1
1
GTAG Resumen ejecutivo 1
Capacidad para ejecutar y planificar trabajos nuevos, est adecuadamente cubierto. Esta estructura puede ser for-
tal como la actualizacin de la infraestructura de TI mal o informal. Un enfoque formal satisfacer ms fcil-
que se requiere para admitir nuevos productos y servi- mente los diversos requerimientos regulatorios o estatutarios
cios. para aquellas organizaciones que estn sujetas a ellos. El pro-
Proyectos de desarrollo entregados a tiempo y dentro ceso de seleccionar o construir un esquema de control debe
del presupuesto mediante los cuales se obtienen resul- incluir todos los puestos de trabajo de una organizacin que
tados eficaces en cuanto a costes y mejores ofertas en tengan responsabilidad directa sobre los controles. La estruc-
productos y servicios en comparacin con los com- tura de control debera ser aplicada y utilizada por toda la
petidores. organizacin y no solamente por auditora interna.
Capacidad para asignar recursos de forma previsible.
Consistencia en cuanto a disponibilidad y fiabilidad 1.7 Evaluacin del control de TI
de la informacin y de los servicios de TI a travs de La evaluacin de los controles de TI es un proceso continuo.
la organizacin y sus clientes, los socios de negocio y Los procesos de negocio cambian constantemente y a su vez
otras interrelaciones externas. la tecnologa evoluciona de forma permanente. Las ame-
Comunicaciones claras a la direccin sobre indi- nazas aparecen a medida que se descubren nuevas vulnerabil-
cadores clave de controles eficaces. idades. Los mtodos de auditora mejoran a la par que los
Capacidad para proteger contra vulnerabilidades y auditores adoptan un enfoque en el que los aspectos de con-
amenazas y capacidad de recuperacin rpida y efi- trol de TI, como soporte de los objetivos de negocio, tienen
ciente desde cualquier perturbacin de servicios de una alta prioridad en la agenda.
TI. La gerencia proporciona mtricas e informes sobre los
Eficiencia en el uso de centros de asistencia al cliente controles de TI. Los auditores verifican su validez y opinan
o mesas de ayuda. sobre su vala. El auditor debe trabajar en estrecho contacto
Conciencia en cuanto a seguridad de los usuarios y con la gerencia en todos los niveles y con el comit de audi-
cultura de concienciacin sobre seguridad en toda la tora para ponerse de acuerdo sobre la validez y la efectividad
organizacin. de las mtricas y el aseguramiento de los informes.
2
GTAG Introduccin
Introduction
32
3
GTAG Evaluacin de controles de TI Una perspectiva 3
Gobierno
Funciones y
Gestin
responsabilidades
Auditora
Anlisis de riesgos
Basada en los
Respuesta a los riesgos
riesgos
Controles de lnea base
4
GTAG Comprensin de los controles de TI 4
COSO 1 define el control interno como: Un proceso, efectu- 4.1 Clasificaciones de los controles
ado por el Consejo de Administracin, la Direccin y el Los controles se pueden clasificar para ayudar a entender sus
resto del personal de una organizacin, diseado para pro- propsitos y ver dnde se integran dentro del sistema global
porcionar un grado de seguridad razonable en cuanto a la de controles internos (Consulte la Figura 3, Algunas clasifica-
consecucin de objetivos dentro de las siguientes categoras: ciones de los controles). A partir de la clara comprensin de
Efectividad y eficiencia de operaciones. estas clasificaciones, el analista y el auditor del control
Fiabilidad de los informes financieros. pueden establecer mejor su situacin dentro de la estructura
Cumplimiento de las leyes y regulaciones aplicables. de control y responder preguntas claves como la siguiente:
Los controles de TI abarcan estos procesos que proporcionan Son los controles de deteccin adecuados como para identi-
aseguramiento para la informacin y los servicios de infor- ficar errores que pueden burlar los controles preventivos?
macin y ayudan a mitigar los riesgos asociados con el uso de Son los controles correctivos suficientes a fin de reparar los
la tecnologa en la organizacin. Estos controles se extien- errores una vez que han sido detectados? Una clasificacin
den desde las polticas corporativas escritas hasta su imple- comn de los controles de TI es controles generales versus
mentacin en instrucciones codificadas, desde la proteccin controles de aplicacin.
del acceso fsico hasta la habilidad de rastrear acciones y Los controles generales (tambin conocidos como con-
transacciones de los individuos responsables de estas, y desde troles de infraestructura) se aplican a todos los componentes
ediciones automticas hasta anlisis de racionalidad para de sistemas, procesos y datos para una determinada organi-
grandes volmenes de datos. zacin o entorno de sistemas. Los controles generales
incluyen, entre otros: polticas de seguridad de informacin,
Com administracin, acceso y autenticacin, separacin de fun-
ciones claves de TI, gestin de la adquisicin e imple-
ci
n los prens mentacin de sistemas, gestin de cambios, respaldo,
ua con in
Eval tro de
les
recuperacin y continuidad del negocio.
Los controles de aplicacin estn relacionados con el
de los controles
5
GTAG Comprensin de los controles de TI 4
6
GTAG Comprensin de los controles de TI 4
El Centro para la Seguridad de Internet (www.cisecurity.org) considera que aplicar controles consistentemente en
los sistemas y en la configuracin de los componentes de la red proteger a la organizacin contra ms del 85% de
las vulnerabilidades ms frecuentes identificadas por el Instituto Nacional de Normas y Tecnologa de Estados
Unidos (NIST, en ingls), la Oficina Federal de Investigacin (FBI, en ingls), el Instituto SANS y el Instituto de
Seguridad Informtica (CSI, en ingls).
Tcnicos
Control del software de sistemas
Los controles tcnicos forman el fundamento esencial que
asegura la confiabilidad de prcticamente todo el resto de los
Control de desarrollo de sistemas
controles de la organizacin. Por ejemplo, la proteccin con-
tra accesos no autorizados e intrusiones, estos proporcionan
la base para la confianza en la integridad de la informacin Controles basados en la aplicacin
incluida la evidencia de todos los cambios y su autentici-
dad. Estos controles son especficos para las tecnologas
Figura 4 Controles de TI
usadas dentro de las infraestructuras de TI de la organi-
zacin. La capacidad para automatizar controles tcnicos que
implementen y demuestren cumplimiento con las polticas cas. Sin declaraciones claras de polticas y normas para la
planificadas de la direccin, basadas en la informacin, es un direccin, las organizaciones se pueden desorientar y fun-
recurso importante para la organizacin. cionar ineficazmente. Las organizaciones con metas y obje-
tivos claramente definidos tienden a ser exitosas.
4.3 Controles de TI Qu esperar Dado que la tecnologa es vital para las operaciones de la
Los mecanismos individuales de control que un DEA puede mayora de las organizaciones, las declaraciones de polticas
esperar dentro de la organizacin se definen dentro de la jer- claras con respecto a todos los aspectos de TI deben ser dis-
arqua de los controles de TI, desde las declaraciones de eadas y aprobadas por la direccin, refrendadas por el con-
poltica de alto nivel emitidas por la direccin y refrendadas sejo de administracin y comunicadas a todo el personal. Se
por el consejo de administracin hasta los mecanismos pueden necesitar muchas y diferentes declaraciones de
especficos de control incorporados en los sistemas de apli- polticas, segn el tamao de la organizacin y el alcance del
cacin. servicio de TI. Para organizaciones ms pequeas, una sola
declaracin de poltica puede ser suficiente, pero debe cubrir
La jerarqua en la Figura 4, Controles de TI, representa un todas las reas relevantes. Las organizaciones ms grandes
enfoque lgico de tipo descendente, tanto cuando se con- que implementan TI de manera amplia necesitarn polticas
sideran controles para implementar como cuando se deter- ms detalladas y especficas.
minan las reas en las cuales centrar los recursos de Las declaraciones de polticas de TI incluyen, entre otras,
auditora durante las revisiones del entorno operativo de TI las siguientes:
completo. Los diversos elementos de la jerarqua no son Una poltica general sobre el nivel de seguridad y pri-
mutuamente exclusivos; todos estn conectados y pueden vacidad para toda la organizacin. Esta poltica debe
mezclarse. Muchos de los tipos del control dentro de los ser consistente con toda la legislacin nacional e
elementos se describen en este captulo. internacional relevante y debe especificar el nivel de
control y de seguridad requeridos segn la sensibili-
4.3.1 Polticas dad del sistema y de los datos procesados.
Todas las organizaciones necesitan definir su metas y obje- Una declaracin sobre la clasificacin de la informa-
tivos mediante planes estratgicos y declaraciones de polti- cin y sobre los derechos de acceso en cada nivel. La
7
GTAG Comprensin de los controles de TI 4
poltica debe tambin definir cualquier limitacin pequeas difcilmente tengan recursos suficientes para ese
respecto a uso de la informacin por parte de las per- ejercicio. Hay muchas fuentes de informacin sobre normas
sonas con acceso autorizado. y mejores prcticas, algunas de las cuales se enumeran en el
Una definicin de los conceptos de la propiedad de Apndice I.
los datos y sistemas, as como de la autoridad nece- A modo de directriz, el DEA esperar encontrar normas
saria para crear, modificar o eliminar informacin. adoptadas para los siguientes tems:
Sin estas pautas, frecuentemente es difcil coordinar Procesos de desarrollo de sistemas. Cuando las orga-
el cambio en organizaciones grandes porque es posi- nizaciones desarrollan sus propias aplicaciones, las
ble que no exista alguien designado especficamente normas se aplican a los procesos para disear, desar-
que posee la responsabilidad total de los datos y los rollar, probar, implementar y mantener los sistemas y
sistemas. programas. Si las organizaciones externalizan el desar-
Una poltica general que define el grado en que los rollo de aplicaciones o adquieren sistemas a provee-
usuarios pueden distribuir las estaciones de trabajo dores, el DEA debe comprobar que los acuerdos
inteligentes para crear sus propias aplicaciones. exijan a los proveedores la aplicacin de principios
Las polticas de personal que definen y aplican condi- que sean consistentes con las normas de la organi-
ciones al personal en reas sensibles. Esto incluye la zacin o aceptables para ella.
investigacin de los antecedentes del personal nuevo, Configuracin del software de sistemas. Dado que el
antes de su incorporacin a la organizacin, realizando software de sistemas proporciona un importante ele-
adems pruebas anuales y haciendo que los empleados mento de control en el entorno de TI, las normas
firmen acuerdos para aceptar las responsabilidades de para asegurar las configuraciones del sistema, como
los niveles de control, seguridad, y confidencialidad las de benchmark de CIS estn comenzando a
requeridos. Esta poltica tambin debera detallar los ganar amplia aceptacin en organizaciones destacadas
respectivos procedimientos disciplinarios. y en proveedores de tecnologa. La forma en que los
Definiciones de los requisitos globales de planifi- productos como sistemas operativos, software de
cacin para la continuidad del negocio. Estas polti- interconexin de redes y sistemas gestores de bases de
cas deben asegurar de que se consideren todos los datos son configurados puede aumentar la seguridad o
aspectos del negocio ante la posible ocurrencia de crear debilidades que pueden ser explotadas.
una interrupcin o un desastre, no slo de los ele- Controles de aplicaciones. Todas las aplicaciones que
mentos de TI. soportan las actividades del negocio deben ser con-
Una buena fuente para las polticas y la seguridad de TI, troladas. Las normas son necesarias para todas las
es la pgina de SANS (http://www.sans.org/ resources/poli- aplicaciones que la organizacin desarrolla o compra
cies/#intro), que proviene de un proyecto de investigacin ya que definen los tipos de controles que deben estar
con consenso de la comunidad del Instituto SANS. El presentes en todo el mbito de las actividades del
proyecto ofrece ayudas gratis para el desarrollo y la imple- negocio, as como los controles especficos que se
mentacin rpidos de polticas de seguridad referentes a la deben aplicar a los procesos e informacin sensibles.
informacin, incluidas plantillas de polticas para 24 requer- Estructuras de datos. Disponer de definiciones con-
imientos importantes de seguridad. Si bien las plantillas sistentes de datos a travs de toda la variedad de las
fueron compiladas para ayudar a las personas que asistan a aplicaciones asegura que diferentes sistemas puedan
los programas de entrenamiento de SANS, SANS los pone acceder a los datos perfectamente y que los controles
a disponibilidad de todos porque la seguridad de Internet de seguridad para los datos privados y sensibles se
depende de la vigilancia de todos los participantes. apliquen de modo uniforme.
Documentacin. Las normas deben especificar el
4.3.2 Normas nivel mnimo de la documentacin requerida para
Las normas sirven para apoyar los requerimientos de las cada sistema de aplicacin o instalacin de TI, as
polticas. Intentan definir formas de trabajo que permitan como para las diversas clases de aplicaciones, procesos
alcanzar los objetivos requeridos de la organizacin. La adop- y centros de procesamiento.
cin y el cumplimiento de las normas tambin promueve la De la misma forma que las polticas, las normas deben ser
eficacia porque no requiere que el personal reinvente la aprobadas por la direccin, deben estar redactadas en un
rueda cada vez que se construye una aplicacin de negocio lenguaje claro y comprensible y deben estar disponibles para
nueva o se instala una red nueva. Las normas tambin per- todos aquellos que las implementen.
miten que la organizacin mantenga todo el entorno de
operaciones de TI de manera ms eficiente. 4.3.3 Organizacin y gestin
Las organizaciones grandes y con recursos significativos La organizacin y la gestin desempean un papel importante
estn en una posicin que les permite disear sus propias en todo el sistema de control de TI, como con cada aspecto de
normas. En el sentido opuesto, las organizaciones ms las operaciones de una organizacin. Una estructura apropiada
8
GTAG Comprensin de los controles de TI 4
de organizacin permite que puedan definir lneas de reporte y proceso, lo cual le permitir a la direccin tomar acciones
responsabilidad y que se puedan implementar sistemas de con- categricas. Adems, esos controles pueden producir datos
trol efectivos. histricos que luego las organizaciones utilizarn en proyec-
tos futuros.
4.3.3.1 Separacin de funciones
La separacin de funciones es un elemento vital para muchos 4.3.3.3 Gestin de cambios
controles. La estructura de una organizacin no debe asignar Los procesos de gestin de cambios se consideran elementos
la responsabilidad de todos los aspectos del procesamiento de de control gerenciales y organizativos. Esos procesos deben
datos a un solo individuo o departamento. Las funciones de asegurar que los cambios de entorno de TI, software de sis-
iniciar, autorizar, ingresar, procesar y verificar datos se deben temas, sistemas de aplicacin y datos se apliquen de modo tal
separar para garantizar que ningn individuo pueda realizar que se cumpla la correcta separacin de funciones. Tales pro-
ambas funciones y crear un error, omisin, u otra irregulari- cesos garantizan que los cambios se ejecuten segn lo
dad y autorizarlo y/o ocultar la evidencia. Los controles de requerido, a la vez que se impide que se los utilice con
separacin de funciones en los sistemas de aplicacin se pro- propsitos fraudulentos, tambin revelan los costes ver-
porcionan al otorgar privilegios de acceso slo en funcin de daderos de las ineficacias e interrupciones del sistema que se
los requerimientos del trabajo desempeado para procesar pueden llegar a ocultar como consecuencia de procesos inefi-
funciones y ganar acceso a la informacin sensible. caces de supervisin y reporte. La gestin de cambios es una
La separacin tradicional de funciones en el entorno de de las reas ms sensibles de los controles de TI y puede
TI se divide entre desarrollo de sistemas y operaciones. El impactar seriamente en la disponibilidad del sistema y del
rea de Operaciones y Explotacin debe ser responsable de servicio si no se administra con eficacia. El instituto IT
ejecutar los sistemas de produccin, a excepcin de la dis- Process Institute ha publicado una investigacin en la que se
tribucin de los cambios, y debe tener poco o ningn contac- demuestra que la gestin eficaz de cambios de TI puede pro-
to con el proceso de desarrollo. Este control debe incluir porcionar ventajas significativas a las organizaciones.
restricciones que impidan el acceso de los operadores para
modificar programas, sistemas o datos de produccin. De 4.3.3.4 Otros controles de gestin
igual manera, el personal de desarrollo de sistemas debe Otros controles tpicos de gestin incluyen la tarea de exam-
tener poco contacto con los sistemas en produccin. inar los procedimientos para el personal nuevo, medir el
Durante la implementacin y los cambios de procesos, al rendimiento, proporcionar entrenamiento especializado al
asignar funciones especficas al personal responsable de los personal de TI y revisar los procedimientos disciplinarios.
sistemas de aplicacin y a los responsables de operaciones, se Estos controle se enumeran en los Elementos del Programa
puede impulsar la correcta separacin de funciones. En orga- de Seguridad de la Informacin en el Apndice A y sern
nizaciones grandes, se deben considerar muchas otras fun- cubiertos en mayor detalle en otras publicaciones de GTAG.
ciones para asegurar la separacin apropiada y esos controles
pueden ser bastante detallados. Por ejemplo, las cuentas 4.3.4 Controles ambientales y fsicos
privilegiadas, como el grupo administrador de Windows y de Para muchas organizaciones, el equipo de TI representa una
superusuario en UNIX, pueden modificar registros de entra- inversin considerable. Debe ser protegido contra dao, pr-
da, obtener acceso a cualquier archivo y en muchos casos dida accidental o deliberada. Los controles medio ambien-
actuar como cualquier usuario o funcin. Es importante tales y fsicos, que fueron desarrollados originalmente para
restringir al mnimo el nmero de personas con este privile- grandes centros de datos de alojamiento de ordenadores,
gio. Tambin hay herramientas de software disponibles que computadoras centrales, etc., son igualmente importantes en
se deben considerar para limitar la capacidad de los usuarios el mundo moderno de sistemas distribuidos cliente-servidor
con cuentas privilegiadas y para supervisar sus actividades. y sistemas basados en la Web. Si bien el equipo de uso habit-
ual hoy en da se disea para facilitar su utilizacin en un
4.3.3.2 Controles financieros entorno normal de oficina, su valor para el negocio, el costo
Dado que las organizaciones hacen inversiones considerables y la sensibilidad de las aplicaciones que ejecutan procesos de
en TI, son necesarios los controles presupuestarios y otros negocio pueden ser significativos. Todo el equipo se debe
controles financieros para asegurar el rendimiento de la tec- proteger, incluidos los servidores y las estaciones de trabajo
nologa, el retorno de la inversin o los ahorros previstos. que permiten el acceso del personal a las aplicaciones.
Deben existir procesos de gestin para recoger, analizar y Algunos controles tpicos ambientales y fsicos son los sigu-
brindar informacin relacionada con esos aspectos. ientes:
Desafortunadamente, los nuevos desarrollos de TI con fre- Ubicar los servidores en salas cerradas con llave con
cuencia se ven afectados por estimaciones de costes masivos acceso restringido.
y no logran producir los ahorros previstos debido a una plan- Restringir el acceso al servidor a personas especficas.
ificacin insuficiente. Los controles presupuestarios pueden Proporcionar equipos de deteccin y extincin de incen-
ayudar a identificar tempranamente fallos potenciales en el dios.
9
GTAG Comprensin de los controles de TI 4
Colocar el equipo, las aplicaciones y los datos sensibles til. La certificacin confirma que un especialista tcnico ha
lejos de peligros ambientales, como inundaciones en adquirido un conjunto especfico de conocimientos y experi-
pisos inferiores o almacenamiento de lquidos inflam- encia, y que ha aprobado un examen al respecto. En el
ables. mundo de auditora de TI, entre los certificados globales se
Cuando se considera la seguridad fsica y ambiental, es tam- incluyen los siguientes: Calificacin en Auditora
bin apropiado considerar la planificacin de contingencias Informtica (QiCA, en ingls) del IAI del Reino Unido e
tambin conocida como planificacin de recuperacin de Irlanda; Auditor Certificado de Sistemas de Informacin
desastres que incluye respuestas a incidentes de seguridad. (CISA, en ingls) disponible a travs de la Asociacin de
Qu har la organizacin si ocurre un incendio, una inun- Auditora y Control de Sistemas de Informacin (ISACA,
dacin o cualquier otra amenaza? Cmo la organizacin en ingls); Certificacin Global del Aseguramiento de la
restaurar el negocio, sus instalaciones y servicios relaciona- Informacin (GIAC, en ingls), Auditor de Sistemas y
dos para asegurar la continuidad del procesamiento normal Redes (GSNA, en ingls), del programa GIAC del Instituto
con mnimos efectos en las operaciones regulares? Este tipo SANS. Otras certificaciones adicionales se centran en la
de planificacin va ms all de proporcionar una mera alter- capacidad general y especializada en la seguridad de la infor-
nativa disponible para la capacidad de procesamiento de TI macin, administracin de redes y otras reas relacionadas
y de los habituales respaldos de los datos de produccin, debe estrechamente con la auditora de TI y son tiles para iden-
considerar la logstica y coordinacin necesarias para el tificar la aptitud potencial del auditor de TI.
mbito completo de las actividades del negocio. Finalmente, Algunos controles tcnicos claves que el DEA debe esper-
la historia constantemente demuestra que un plan de recu- ar en un entorno de TI bien gestionado, son los siguientes:
peracin de desastres que no se ha probado satisfactoria- Derechos de acceso asignados y controlados segn la
mente en una simulacin realista no es fiable. poltica estipulada por la organizacin.
Separacin de funciones impulsadas en su cumplim-
4.3.5 Controles del software de sistemas iento por medio del software de sistemas y de otros
Los productos del software de sistemas permiten al equipo de controles de configuracin.
TI que los mismos sean utilizados por los sistemas de apli- Existencia de una evaluacin del intrusismo y de la
cacin y los usuarios. Estos productos incluyen sistemas oper- vulnerabilidad, prevencin, deteccin y supervisin
ativos tales como Windows, UNIX y Linux; software de red continuas.
y comunicaciones; software de filtro de seguridad; productos Pruebas de intrusin realizadas regularmente.
antivirus; y sistemas gestores de base de datos (DBMS) como Servicios de cifrado aplicados all donde la confiden-
Oracle y DB2. cialidad es un requerimiento establecido.
El software de sistemas puede ser altamente complejo y se Existencia de procesos de gestin de cambios, incluida
aplica a los componentes y dispositivos dentro del entorno la gestin de parches, para asegurar un proceso estric-
de sistemas y de red. Se configura para ajustarse a necesi- tamente controlado de aplicacin de cambios y parch-
dades altamente especializadas y normalmente se requiere un es en los componentes de software, los sistemas, las
alto grado de especializacin para su mantenimiento con redes y los datos.
seguridad. Las tcnicas de configuracin controlan el acceso
lgico a las aplicaciones, aunque algunos sistemas de apli- 4.3.6 Controles de desarrollo y adquisicin de
cacin contienen sus propios controles de acceso y pueden sistema
proporcionar una puerta de entrada para los piratas infor- Rara vez, las organizaciones adoptan una nica metodologa
mticos que deseen ingresar en un sistema. Adems, esas tc- para todos los proyectos de desarrollo de sistemas. Las
nicas de configuracin tambin proporcionan los medios metodologas se suelen elegir para satisfacer las circunstan-
para aplicar la separacin de funciones, generar pistas de cias particulares de cada proyecto. El auditor de TI debe
auditora especializadas y aplicar controles de integridad de determinar si la organizacin desarrolla o adquiere sistemas
datos mediante listas de control de acceso, filtros y registros de aplicacin usando, o no, un mtodo controlado que pro-
de actividad. porcione posteriormente controles eficaces de las aplica-
Se requieren auditores especialistas de TI para evaluar los ciones y de los datos que procesan. Todos los sistemas de
controles en este rea. En las organizaciones pequeas, es aplicacin informticos deben realizar solamente aquellas
poco probable que se tengan los recursos necesarios como funciones que el usuario requiera de manera eficiente. Por el
para contratar tales especialistas por lo que se debe consider- examen de los procedimientos de desarrollo de aplicaciones,
ar la externalizacin del trabajo. Independientemente del el auditor puede obtener aseguramiento de que las aplica-
tipo de contratacin de auditores de TI, sea directa o por ciones funcionan de manera controlada.
externalizacin, estos deben poseer conocimientos muy Algunas consideraciones de control bsico deben ser evi-
especficos y elevados. Gran parte de ese conocimiento dentes en los trabajos de desarrollo y adquisicin de sistemas:
proviene de la experiencia, pero adems el profesional se Los requerimientos de usuario deben ser documenta-
debe actualizar constantemente para mantenerse al da y ser dos y sus logros deben ser medidos.
10
GTAG Comprensin de los controles de TI 4
El diseo de sistemas debe seguir un proceso formal Sin embargo, dado que los controles de aplicacin repre-
para asegurarse de que los requerimientos y las fun- sentan un porcentaje importante de los controles de nego-
cionalidades de diseo estn incorporadas dentro del cio, deben ser la prioridad de cada auditor interno. Todos
producto terminado. los auditores internos necesitan poder evaluar un proceso
El desarrollo de sistemas se debe conducir de manera del negocio, entender y evaluar los controles proporciona-
estructurada para asegurar que los requerimientos y las dos por los procesos automatizados.
caractersticas del diseo estn incorporados en el pro- Hay varios tipos de controles genricos que el DEA
ducto terminado. espera ver en cualquier aplicacin:
Las pruebas deben asegurar que los elementos individ- Controles de entrada. Estos controles se utilizan prin-
uales del sistema trabajen segn lo requerido, que las cipalmente para chequear la integridad de los datos
interfaces del sistema operen segn lo esperado, que los ingresados dentro de una aplicacin de negocio, inde-
usuarios participen en el proceso de pruebas y que se pendientemente de si el dato de origen es ingresado
proporcione la funcionalidad prevista. directamente por el personal,, remotamente por un
Los procesos de mantenimiento de las aplicaciones socio del negocio o a travs de una aplicacin Web
deben asegurar que los cambios en los sistemas sigan habilitada. La entrada se chequea para verificar que
un patrn coherente de control. La gestin de cambios se encuentre dentro de los parmetros especificados.
debe estar sujeta a procesos estructurados de asegu- Controles de proceso. Estos controles proporcionan
ramiento de la validacin. un medio automatizado para asegurar que el proceso
Cuando el desarrollo de los sistemas sea externalizado, los con- sea completo, exacto y autorizado.
tratos con el que subcontrata o con el mismo proveedor deben Controles de salida. Estos controles se centran en qu
requerir controles similares. se hace con los datos. Deben comparar los resultados
Las tcnicas y los controles para la gestin de un proyecto con el resultado previsto y verificarlos contra la
necesitan ser parte del proceso de desarrollo, tanto si los desar- entrada.
rollos son realizados a medida o son externalizados. La direc- Controles de integridad. Estos controles supervisan
cin debe saber si los proyectos se estn desarrollando segn los datos de un proceso y/o del almacenamiento para
tiempo previsto y presupuesto, y si los recursos se han usado efi- asegurar que los datos siguen siendo consistentes y
cientemente. Los procesos de reporte o informes deben asegurar correctos.
que la direccin comprenda totalmente el estado actual de los Pista de gestin. Los controles del historial del proceso,
proyectos de desarrollo y que no reciba sorpresas cuando se real- a menudo se denominan pista de auditora y permiten a
ice la entrega del producto final. la direccin rastrear las transacciones desde su origen
hasta el ltimo resultado, y viceversa, desde los resulta-
4.3.7 Controles basados en la aplicacin dos hasta identificar las transacciones y eventos reg-
El objetivo de los controles internos sobre los sistemas de apli- istrados. Estos controles deben ser adecuados para
cacin es asegurar lo siguiente: supervisar la efectividad de todos los controles e identi-
Todos los datos de entrada son exactos, completos, ficar los errores tan cerca de sus orgenes como sea
autorizados y correctos. posible.
Todos los datos se procesan segn lo previsto.
Todos los datos almacenados son exactos y completos. 4.4 Seguridad de la informacin
Toda la salida de datos es exacta y completa. La seguridad de la informacin es una parte fundamental de
Se mantiene un registro de actividad para rastrear el todos los controles de TI. La seguridad de la informacin se
proceso de los datos desde su entrada, almacenamien- aplica desde la infraestructura hasta los datos y es la base para
to y eventual salida. la fiabilidad de la mayora de los otros controles de TI. Las
La revisin de los controles de aplicacin ha sido tradi- excepciones son los controles referentes a aspectos
cionalmente el pan y la mantequilla del auditor de TI. financieros de TI (por ejemplo, el retorno de la inversin, los
Riesgo asumido
El grado de aceptacin del riesgo o la tolerancia al riesgo de una organizacin define el grado de riesgo que una
compaa u otra organizacin est dispuesta a correr en la bsqueda de sus metas, segn lo determinado por la
direccin y el gobierno ejecutivo. El grado de aceptacin del riesgo puede especificar, por ejemplo, si una organi-
zacin asumir un papel agresivo en la distribucin de tecnologas nuevas y emergentes. El grado de aceptacin del
riesgo de una organizacin puede verse afectado por su industria y entorno normativo especficos. Se relaciona
estrechamente con el grado de aceptacin y la tolerancia al riesgo de una organizacin, mide qu distancia se est
dispuesto a desviar de la medida indicada en tal grado de aceptacin del riesgo.
11
GTAG Comprensin de los controles de TI 4
12
GTAG Importancia de los controles de TI 5
Muchos temas llevan a la necesidad de controles de TI, productos y servicios ms eficaces a menor precio en
incluyendo controles de costes y el mantenimiento de la comparacin con la competencia.
competitividad, proteccin contra robos de piratas infor- La capacidad de asignar los recursos de forma previsi-
mticos y el cumplimiento de la legislacin y regulacin, ble.
como la Ley de 2002 de Sarbanes-Oxley de Estados Unidos*, La disponibilidad y fiabilidad uniforme de la informa-
la directiva de proteccin de datos de la Unin Europea y cin y de los servicios de TI en la organizacin y para
legislaciones relacionadas de otros pases. Los controles de todos los clientes, empresas asociadas del negocio y
TI promueven la fiabilidad, la eficiencia y permiten que la otros contactos externos.
organizacin se adapte a riesgos cambiantes de los entornos. Una comunicacin clara para gestionar controles efi-
Por ejemplo, cualquier control que mitigue o detecte el caces.
fraude o los ataques cibernticos mejora la resistencia de la La capacidad de protegerse contra nuevas vulnerabili-
organizacin al ayudarla a descubrir el riesgo y gestionar su dades y amenazas de forma rpida y eficiente, y para
impacto. recuperarse ante cualquier interrupcin de los servi-
La resistencia es el resultado de un fuerte sistema de cios de TI.
control interno que otorga a la organizacin la capacidad de El uso eficiente de un centro de atencin al cliente o
gestionar los trastornos con eficacia. La legislacin y las reg- mesa de ayuda.
ulaciones de algunos pases actualmente requieren que las Una cultura de conciencia sobre seguridad entre los
organizaciones informen sobre la efectividad del control usuarios finales a travs de toda la organizacin.
interno e, implcitamente, sobre la efectividad del control de Aunque la funcin de auditora interna incluir probable-
TI. La ley ms importante, entre las nuevas leyes, es la mente auditores especialistas de TI para enfocar los aspectos
Sarbanes-Oxley, que requiere que todas las compaas que de TI en detalle, el DEA(4) tambin debe entender los
cotizan en Estados Unidos y sus subsidiarias en el extranjero, temas de control de TI a un alto nivel, en particular, las
informen sobre su sistema de controles internos en relacin interacciones de los controles de TI con otros que no sean de
con los informes financieros, que se realizan conjuntamente TI. Este entendimiento es particularmente importante a la
con la auditora de los estados contables. En el Apndice B hora de analizar el cumplimiento o las deficiencias del con-
se proporciona una lista de algunas de las legislaciones y reg- trol con la alta direccin, como el presidente, el director
ulaciones aplicables a los controles internos. financiero (CFO, en ingls), o el director de TI y con los
La necesidad de controles est principalmente dada por la diversos comits de direccin.
complejidad resultante de la necesidad de que los diversos El DEA debe ser capaz de analizar las regulaciones y la
componentes tcnicos trabajen el uno con el otro. Mientras legislacin relevante con el comit de auditora, el respons-
que la resistencia y la adaptabilidad de TI son cruciales para able principal de la asesora legal y con otras personas y
alcanzar las necesidades cambiantes de clientes y empresas comits relevantes. El DEA tambin debe entender cmo los
asociadas del negocio, como responder a las presiones com- controles de TI sirven de respaldo a la fiabilidad y la eficien-
petitivas, tambin agregan complejidad al negocio y a las cia, a la vez que ayudan a promover la ventaja competitiva.
infraestructuras de TI. Adicionalmente, la seguridad de la Ms an, el DEA debe entender a fondo los temas ms
informacin ha sido reconocida como un componente clave importantes o crticos que conducen a la necesidad de con-
del control interno con la aparicin y amplia aceptacin de troles dentro de un sector particular de la organizacin con
normas tales como el Cdigo de buenas prcticas para la el fin de asegurarse de que estn considerados en el alcance
gestin de seguridad de la informacin (ISO 17799), de la de las evaluaciones de auditora. Sin un conocimiento y
Organizacin Internacional de Normalizacin. entendimiento profundo de los controles de TI, el auditor
Las organizaciones que implementan controles de TI efi- sera incapaz de comprender su significado o de determinarlo
caces experimentan mejoras en la eficacia, fiabilidad de los adecuadamente como parte de la revisin global del control
servicios, resistencia de los sistemas y disponibilidad del ase- interno.
guramiento de la evidencia, todos ellos aaden valor e incre-
mentan la confianza de los accionistas y del organismo de
control de la organizacin. Algunos indicadores clave de la
efectividad de los controles de TI incluyen:
La capacidad de ejecutar nuevos trabajos planificados,
como actualizaciones de infraestructuras de TI
requeridas para dar soporte a nuevos productos y ser-
vicios.
La entrega de los proyectos de desarrollo a tiempo y
dentro del presupuesto, con el resultado de obtener
* Ley de 2002 de la Reforma de la contabilidad pblica de empresas y proteccin del inversionista, conocida como Ley Sarbanes-Oxley en honor a sus
patrocinadores, el senador Paul Sarbanes y el congresista Michael Oxley de EEUU.
13
GTAG Funciones de TI en la organizacin 6
En los ltimos aos han surgido varias funciones diferentes plazo) de la corporacin.
para los puesto de las organizaciones con responsabilidades y Aprobar la estructura de clasificacin de la informa-
propiedad sobre los controles de TI. Cada funcin, en los cin y de los respectivos derechos de acceso.
diferentes niveles de gobierno, gestin, operativos y tcni- El consejo puede establecer diferentes comits segn sea su
cos, debe tener una descripcin clara de sus funciones y relacin con la organizacin. Los comits ms comunes del
responsabilidades en relacin con los controles de TI, a fin consejo son: comit de auditora, comit de retribuciones y
de evitar confusiones y asegurar la asignacin de responsabil- comit de nombramientos; algunos Consejos pueden tener
idad sobre cada asunto en concreto. Esta seccin se ocupa de otros comits adicionales, como el comit financiero o el de
las distintas funciones y responsabilidades sobre los controles gestin de riesgos. Estos comits pueden tener nombres difer-
de TI dentro de una organizacin y asignndolas a puestos entes de los que se muestran aqu y sus funciones pueden
especficos dentro de una hipottica estructura organizativa. variar. Lo importante, por lo tanto, son las funciones y no los
No existe forma prctica de definir una estructura organi- nombres.
zativa para los controles de TI, que sea vlida univer-
salmente. El DEA debe identificar dnde recaen las 6.1.1 Comit de auditora
responsabilidades sobre los controles de TI y evaluar si son La funcin del comit de auditora abarca la vigilancia de
apropiados respecto a la segregacin de funciones, as como cuestiones financieras, la evaluacin del control interno, la
las carencias que puedan existir en las responsabilidades asig- gestin de riesgos y la tica. Los controles de TI son elemen-
nadas. Una vez hecho esto, el DEA debe saber con quines tos importantes para cada una de esas obligaciones y
se deben tratar todos los aspectos especficos de TI y de requieren:
dnde se puede obtener informacin especifica. Entender la gestin financiera (funcin de experto
Generalmente, los objetivos del uso de TI dentro de una financiero) y la dependencia de la organizacin en
organizacin son: relacin con TI para el procesamiento y reporte de la
Entregar informacin fiable de forma eficiente y ser- informacin financiera.
vicios de TI seguros, alineados con la estrategia de la Asegurar que los temas de TI sean incluidos en el
organizacin, las polticas, los requisitos externos y el orden del da de las reuniones del comit, especial-
riesgo asumido. mente el informe del director de TI.
Proteger los intereses de los accionistas. Asegurar que los controles generales de TI y los con-
Potenciar mutuamente relaciones beneficiosas con troles de los sistemas de aplicacin y procesos involu-
clientes, socios de negocio y otras partes externas crados en la preparacin de los estados contables sean
para alcanzar los objetivos de negocio. evaluados y probados adecuadamente.
Identificar y responder adecuadamente a las amenazas Supervisar la evaluacin global de los controles de
potenciales de violacin de los controles. TI.
Estos objetivos son respaldados por funciones especficas Revisar los aspectos de negocio y control en relacin
dentro de la organizacin. La descripcin y denominacin de a los nuevos desarrollos o adquisiciones de sistemas.
los puestos pueden ser diferentes segn los pases, los sectores Examinar los planes de auditora (internos y exter-
y las organizaciones; en organizaciones ms pequeas, algu- nos) y procurar asegurar que los aspectos de TI sean
nas de estas funciones pueden estar fusionadas. Sin embargo, cubiertos adecuadamente.
siempre deben existir puestos dentro de la organizacin que Revisar los resultados de los trabajos de auditora y
sustenten la funcin del control de TI e interacten con el supervisar la solucin de los temas presentados.
DEA y los miembros de auditora interna. Comprender los aspectos de TI que impacten en la super-
visin de cuestiones ticas.
6.1 Consejo de Administracin u rgano de
gobierno 6.1.2 Comit de retribuciones
Un papel importante del consejo de administracin es deter- El comit de retribuciones no tiene relacin directa con TI.
minar y aprobar estrategias, fijar objetivos, y asegurar de que Sin embargo, puede mejorar la supervisin del consejo sobre
se alcancen los objetivos que a su vez respaldan las estrate- las TI mediante la inclusin de TI como uno de los elemen-
gias. En relacin con TI, esto requiere: tos de desempeo en cualquier plan de compensacin que
Concienciar sobre temas claves de TI, como las apruebe.
polticas de seguridad de la informacin y de TI, y los
conceptos de riesgo referentes a TI.
Entender la infraestructura y los componentes 6.1.3 Comit de nombramientos
estratgicos de TI, as como conocer los proyectos El comit de gobierno es responsable de la seleccin y eval-
claves de desarrollo y adquisicin de sistemas, y sobre uacin de los miembros del consejo, y del liderazgo de las
cmo ellos respaldan e impactan en la estrategia gen- operaciones del consejo. En relacin con TI, este comit
eral, los objetivos y presupuestos (a largo y corto debe:
14
GTAG Funciones de TI en la organizacin 6
Asegurarse de que los miembros del consejo (poten- pueden designar una persona para cada funcin, sin embargo
ciales o actuales) tengan el conocimiento o la experi- la funcin siempre debe existir. Una persona puede realizar
encia adecuados de TI. varias funciones, pero se debe tener precaucin para que al
Evaluar el desempeo de los comits del consejo en asignar esas funciones, no se atente contra la necesidad de la
trminos de su supervisin de TI. separacin de responsabilidades cuando dos funciones sean
Revisar cualquier evaluacin sobre el gobierno por incompatibles. Cuando los servicios de TI estn externaliza-
regulacin externa en relacin con temas de TI. dos , no desaparece la necesidad de que la organizacin man-
Asegurarse de que el consejo revise las polticas de TI tenga muchas de estas funciones supervisando las funciones
peridicamente y que las reuniones del consejo se externalizadas.
centren en la TI con una frecuencia adecuada.
6.2.1 Presidente (CEO, en ingls)
6.1.4 Comit de gestin de riesgos Al ser la persona que tiene el control general sobre la estrate-
El comit de gestin de riesgos es responsable de la vigilan- gia y las operaciones de la organizacin debe tener en cuen-
cia de todos los anlisis y evaluaciones de riesgos, de las ta la TI en la mayora de los aspectos de su funcin. En
acciones de respuesta y de la supervisin de los riesgos. particular, el presidente deber:
Esta funcin incluye: Definir los objetivos corporativos y las medidas de
Evaluar en qu medida la direccin ha establecido rendimiento relativas a TI.
una gestin de riesgo eficaz de la entidad en la orga- Actuar como custodio de los factores crticos de xito
nizacin. de la organizacin en relacin con la TI.
Estar al tanto y coincidir con la aceptacin y toleran- Entender y aprobar la estrategia de TI a corto y largo
cia al riesgo de la organizacin. plazo.
Tener conciencia del impacto de los riesgos rela- Aprobar los recursos de TI para la organizacin,
cionados con la TI. incluidas la estructura y la supervisin.
Revisar el conjunto de riesgos de la organizacin, Determinar las cuestiones de TI para las delibera-
incluidos los riesgos de TI y contrastarlo con el riesgo ciones peridicas con el consejo de administracin,
asumido por la organizacin. los gerentes y dems personal.
Mantenerse informado sobre los riesgos de TI ms Operar como propietario de los controles en el ms
significativos y determinar si las respuestas de la alto nivel teniendo la ltima responsabilidad por el
direccin a los cambios en los riesgos y amenazas es xito o fracaso de los controles y por la coordinacin
apropiada. de todos los dems gerentes operativos dentro del
Supervisar y evaluar todas las actividades realizadas marco de sus responsabilidades, quienes actan como
por la direccin para minimizar todos los riesgos propietarios del control en sus reas especficas.
conocidos y documentados.
6.2.2 Director Financiero (CFO, en ingls)
6.1.5 Comit financiero El director financiero tiene la responsabilidad general sobre
El principal papel de un comit financiero es revisar los esta- todas las cuestiones financieras en la organizacin, debe
dos contables, las proyecciones de los flujos de caja y ges- tener un conocimiento profundo del uso de TI tanto para
tionar las inversiones. Los miembros de este comit facilitar la gestin financiera como para respaldar los obje-
necesitan entender los elementos de control de TI para ase- tivos corporativos. Esta funcin debe tener una comprensin
gurar la exactitud de la informacin utilizada en el proceso general sobre los siguientes temas:
de toma de decisiones financieras clave y para generar El coste total de la propiedad de las iniciativas de TI.
informes contables. Deben tambin considerar los beneficios Las estrategias de TI de la entidad para que siga sien-
y costes de mantener los sistemas crticos de TI, en compara- do competitiva tecnolgicamente.
cin con su reemplazo, a travs del pedido de informes sobre Las tecnologas usadas en la implementacin de las
esto a la gerencia. Los informes de la gerencia deben consid- aplicaciones financieras.
erar aspectos relativos a la eficiencia del software, tales como La operacin o explotacin o ejecucin de aplica-
prdidas o ganancias de productividad debido a mejoras en el ciones financieras especficas.
uso de TI, los costes del hardware debido a reparaciones y Las limitaciones y beneficios de TI.
actualizaciones, y los riesgos potenciales a causa de prdidas La estructura de control de TI para los controles gen-
o corrupcin de datos. erales que se aplican a todos los sistemas y datos de
negocio as como los controles que son especficos
6.2 Gerencia / Direccin para aplicaciones financieras.
En las grandes organizaciones han aparecido varias funciones El director financiero debe operar como el proprietario de los
especficas en relacin al riesgo y control de TI. Como se controles al mas alto nivel para los sistemas y datos
indic anteriormente, las organizaciones pequeas no financieros.
15
GTAG Funciones de TI en la organizacin 6
Controles de TI y tica
Como qued evidenciado en los casos relacionados con los fondos de inversin en acciones durante los aos setenta
y en los escndalos que siguen apareciendo hoy da, el uso de la tecnologa crea oportunidades significativas para
iniciar y perpetuar fraudes y engaos. La capacidad y autoridad para soslayar ciertos controles trae consigo la
tentacin de iniciar acciones irregulares. Si esas irregularidades no son percibidas, o son tcitamente permitidas,
pueden terminar en un fraude rotundo. Por lo tanto, cuando una organizacin da a un individuo la oportunidad de
realizar acciones en nombre de la organizacin, esta tiene la correspondiente responsabilidad de proporcionar la
supervisin adecuada como para detectar y corregir actividades irregulares rpidamente. La organizacin tiene tam-
bin la responsabilidad de identificar amenazas de este tipo y establecer salvaguardas como medida preventiva. Las
mismas herramientas tecnolgicas que pueden crear las oportunidades de fraude se utilizan para identificar activi-
dades, e incluso patrones inusuales en las transacciones u otros datos que podran indicar una evidencia de fraude o
comportamiento cuestionable.
16
GTAG Funciones de TI en la organizacin 6
17
GTAG Funciones de TI en la organizacin 6
18
GTAG Anlisis de riesgos 7
3
Se encuentra estas definiciones en Enterprise Risk Management Integrated Framework (octubre de 2004) de COSO.
19
GTAG Anlisis de riesgos 7
mas de la arquitectura de sistemas muestran la imple- estar incluidos, sino tambin por representantes de TI
mentacin de los componentes de la infraestructura y cmo y de las reas de negocio.
se interconectan con otros componentes dentro y fuera de la Existen ocho preguntas bsicas asociadas al proceso
organizacin. Para el experto en seguridad de la informacin, de evaluacin de riesgos. Estas incluyen este primer
el inventario y la arquitectura de los componentes de TI, grupo de cinco:
incluida la localizacin de los controles y tecnologas de Cules son los activos en riesgo y cul es el valor de
seguridad, ofrecen vulnerabilidades potenciales. su confidencialidad, integridad y disponibilidad?
Desafortunadamente, la informacin sobre un sistema o una Qu puede suceder para que el valor de los activos
red tambin ofrece vulnerabilidades para un atacante poten- de informacin se vea afectado negativamente? De
cial, por lo tanto el acceso a esa informacin se debe forma implcita a esta pregunta est el anlisis de vul-
restringir slo a las personas que verdaderamente la necesi- nerabilidades y la identificacin de la relacin de vul-
tan. Un sistema y una red debidamente configurados mini- nerabilidades con las amenazas y con los activos de
mizarn el volumen de informacin a disposicin de informacin potencialmente impactados.
atacantes potenciales, adems, un entorno de aspecto seguro Si la amenaza se materializa, Cun negativo podra
ofrece un objetivo menos atractivo para la mayora de los ser el impacto?
atacantes. Con qu frecuencia se espera que se materialicen los
eventos negativos (frecuencia de ocurrencia)?
7.2.2 Riesgos de TI a los que se enfrenta la Cunta certeza se dispone en las respuestas dadas
organizacin a las cuatro primeras preguntas (anlisis de
El director ejecutivo de auditora interna analiza los aspectos incertidumbre)?
de riesgo de TI con el director de TI y con los propietarios de El segundo grupo de tres preguntas se refiere a la mitigacin
los procesos para asegurarse de que todas las partes rela- del riesgo:
cionadas sean conscientes del tema, a la vez que poseen un Qu puede hacerse para reducir el riesgo?
conocimiento apropiado de los riesgos tcnicos a los que se Cunto costar?
enfrenta la organizacin por el uso de TI, y sobre sus respon- Es eficiente segn la relacin costo-beneficio?
sabilidades para aplicar y mantener controles eficaces.
7.2.5 El valor de la informacin
7.2.3 Aceptacin y tolerancia al riesgo Determinar el valor de la informacin procesada y almacena-
Aprovechando el conocimiento de los riesgos de TI, el da no es tarea fcil debido a la naturaleza multidimensional
auditor puede validar la existencia de controles eficaces del valor. Los Principios de seguridad de la informacin
para alcanzar el grado de aceptacin y tolerancia al riesgo generalmente aceptados (GAISP, en ingls) incluidos
de la organizacin en cuanto a TI. La evaluacin del auditor en el documento Pautas para valoracin de la informacin
incluir los debates con los miembros de la direccin publicado por la Asociacin de Seguridad de Sistemas
y en ltima instancia con el consejo. El nivel de detalle de Informacin (ISSA, en ingls, www.ISSA.org) encuadra
de esos debates puede ser determinado por el director de el valor de la informacin dentro de los siguientes categoras:
riesgos con la informacin aportada por el director de TI, Bien exclusivo: coste de la prdida de confidenciali-
el director de seguridad de la informacin, el director de dad.
seguridad, el DEA, y por los propietarios de los procesos. La Utilidad: coste de la prdida de integridad.
decisin final respecto al grado de aceptacin y tolerancia al Coste de la creacin y recreacin.
riesgo debe ser tomada por el comit de riesgo con el aseso- Responsabilidades en caso de litigio.
ramiento del comit de auditora, y debe ser apoyada por el Convertibilidad o negociabilidad: representa el valor
consejo por completo. Las definiciones de grado de de mercado.
aceptacin del riesgo y tolerancia deben ser comunicadas a Impacto operativo de la indisponibilidad.
todos los gestores relevantes para su efectiva imple-
mentacin. 7.2.6 Controles de TI apropiados
El objetivo de la gestin de riesgos de la compaa es ase- Finalmente, los controles de TI apropiados deben ser
gurar que todos estn trabajando con el mismo nivel y com- escogidos e implementados para cubrir los riesgos identifica-
prensin del riesgo y que las decisiones tomadas en todos los dos. Existen abundantes consejos al respecto. Consulte
niveles de la gerencia sean consistentes con la aceptacin de Apndice I.
riesgo de la organizacin. El director y el grupo de auditora interna deben estar
involucrados en el proceso de analizar y evaluar el riesgo. Al
7.2.4 Realizacin del anlisis de riesgos mismo tiempo, deben actuar de forma tal que mantengan la
La realizacin del anlisis de riesgo no slo es realizada independencia y objetividad de su funcin, y deben tambin
por el director de riesgos o por el director ejecutivo de proporcionar una opinin sobre la efectividad del marco de
auditora, an cuando ambos o sus representantes deben control interno.
20
GTAG Anlisis de riesgos 7
7.3 Estrategias de mitigacin de riesgos nivel fundamental: el nivel de higiene de TI. Por ejemplo, el
Cuando se identifican y analizan los riesgos, no siempre es uso de un filtro de seguridad para controlar el trfico entre la
apropiado implementar controles para contrarrestarlos. red corporativa y una red pblica como Internet, o entre
Algunos riesgos pueden ser menores y tal vez no sea efectivo diferentes dominios de la red interna, es un control bsico.
(en cuanto a costes) implementar procesos de control para El nivel de riesgo asociado al valor del negocio y la sensibil-
ellos. idad del trafico de red, los servicios proporcionados y la
En general, existen diversas formas de mitigar el impacto informacin almacenada en la infraestructura determina el
potencial de los riesgos: alcance en el cual los filtro de seguridad deben restringir el
Aceptar el riesgo. Una de las funciones de la direc- trfico entrante y saliente de las redes de la organizacin. Los
cin es gestionar el riesgo. Algunos riesgos son filtros de seguridad son manifestaciones fsicas y lgicas de
menores debido a que su impacto o probabilidad de los elementos de la poltica de seguridad de la informacin
ocurrencia son bajos. En ese caso, aceptar consciente- que dictaminan qu cosas pueden entrar y salir de una orga-
mente el riesgo como un coste ms del negocio es nizacin.
apropiado, as como revisar peridicamente el riesgo Los controles de TI ms ampliamente aplicables a todas
para asegurar que el impacto sigue siendo bajo. las infraestructuras de TI son conocidos como controles de
Eliminar el riesgo. Es posible que un riesgo est aso- lnea base y existen diferentes tipos. Dos de ellos que se apli-
ciado al uso de una tecnologa, distribuidor o provee- can a la seguridad de TI, uno se denomina Digital Dozen y
dor en particular. El riesgo puede ser eliminado pertenece al Programa para la seguridad de la informacin de
remplazando la tecnologa con productos ms robus- titulares de tarjetas de crdito (CISP, en ingls) de VISA,
tos o buscando proveedores ms capaces. otro se llama Fundamental Five y proviene del Centro para
Compartir el riesgo. Los enfoques de mitigacin del la Seguridad de Internet (CIS, en ingls); ambos controles se
riesgo pueden ser compartidos con los socios comer- complementan.
ciales y los proveedores. Un buen ejemplo de esto es No es fcil definir los controles de lnea base de TI porque
la gestin de una infraestructura externalizada(10). las amenazas generales, como el software malicioso y la
En este caso, el proveedor mitiga los riesgos de la piratera informtica cambian y frecuentemente se implan-
gestin de la infraestructura de TI al ser un especial- tan nuevas tecnologas y aplicaciones en la organizacin. Las
ista y dado que tiene acceso a personal ms altamente siguientes cuestiones deben ser consideradas cuando se selec-
especializado que la organizacin primaria. El riesgo ciona un conjunto adecuado de controles de lnea base:
tambin puede ser mitigado transmitiendo el coste de Existen polticas que incluyan controles de TI?
un riesgo materializado a un proveedor de seguros. Se han definido, asignado y aceptado las responsabil-
Controlar o mitigar el riesgo. Cuando se han elimi- idades de TI y de controles de TI?
nado las dems opciones, se deben crear e implemen- Se han asegurado lgica y fsicamente los equipos y
tar controles convenientes para prevenir que el riesgo herramientas de la infraestructura de TI?
se ponga de manifiesto o para minimizar sus efectos. Se usan mecanismos de control para el acceso y la
autenticacin?
7.4 Caractersticas a considerar de los controles Se ha implementado un software antivirus y se real-
Algunos de los aspectos que se deben tener en cuenta iza su mantenimiento?
durante el proceso de evaluacin de los controles de TI son Se ha implementado una tecnologa de filtros de
los siguientes: seguridad conforme a la poltica de la empresa (por
Es efectivo el control? ejemplo, en lo lugares de conexiones externas, como
Alcanza el resultado esperado? Internet, y en los lugares donde se necesita una sepa-
Es efectivo el conjunto de controles preventivos, de racin entre redes internas)?
deteccin y correctivos? Se han completado evaluaciones de vulnerabili-
El control provee evidencia cuando los parmetros dades, se han identificado los riesgos y todo se ha
de control son rebasados o cuando fallan? Cmo se resuelto adecuadamente?
alerta a la Direccin de los fallos y qu pasos se espera Existen procesos de gestin de configuracin, de
que se den? cambios y de aseguramiento de calidad?
Se conserva la evidencia (pistas de auditora o de Existen procesos de supervisin y de medicin del
gestin)? servicio?
Se dispone de especialistas con competencias en
7.5 Controles de lnea base de TI auditora de TI (sea interna o externamente)?
Los controles de TI deben ser aplicados cuando la mitigacin En el Apndice I, se puede obtener informacin adicional
del riesgo es la mejor opcin. Aunque ellos deben ser aplica- sobre controles de lnea base de TI.
dos teniendo en cuenta los riesgos relevantes, existe un con-
junto de controles a poner en prctica para proporcionar un .
21
GTAG Anlisis de riesgos 7
Digital Dozen
Una de las guas de seguridad ms concisa y ampliamente
til es la del centro CISP de VISA, esta ha probado su valor
durante dos aos de uso por parte de los proveedores de red
de tarjetas de crdito VISA, incluidos bancos, procesadores e
intermediarios, entre otros. VISA utiliza la denominacin
"Digital Dozen" para referirse a estos requisitos.
1. Instalar y mantener un filtro de seguridad para proteger
los datos.
2. Mantener al da las actualizaciones de seguridad.
3. Proteger los datos almacenados.
4. Cifrar los datos enviados por redes pblicas.
5. Usar y actualizar regularmente software antivirus.
6. Restringir el acceso a las personas que deben conocer la
informacin.
7. Asignar un identificador nico (ID) a cada persona con
acceso a una computadora.
8. No utilizar las contraseas de acceso y parmetros de
seguridad predeterminados por el proveedor.
9. Registrar todos los accesos y los datos mediante
identificador nico (ID).
10. Probar regularmente los sistemas y procesos de
seguridad.
11. Probar regularmente los sistemas y procesos de
seguridad.
12. Restringir el acceso fsico a los datos.
Fundamental Five
Los benchmark de consenso del Centro para la Seguridad
de Internet (www.cisecurity.org), proporcionan una gua
denominada Fundamental Five de higiene bsica de
seguridad. Del uso de esos criterios se obtiene una reduc-
cin del 80 y 95% de las vulnerabilidades conocidas.
1. Gestin de la identidad y del acceso
(incluida la asignacin de privilegios y autenticacin).
2. Gestin de cambios (incluida la gestin de
actualizaciones).
3. Gestin de la configuracin.
4. Filtro de seguridad (estaciones de trabajo, servidores,
sub-redes, perimetral).
5. Proteccin contra software daino (incluidos gusanos
y virus).
22
GTAG Supervisin y tcnicas 8
8.1 Elegir la infraestructura de control uar la efectividad y lo apropiado de los controles de TI. El
La adopcin por parte de la organizacin de un esquema director ejecutivo de auditora interna basar el plan de audi-
formal de control ayuda sustancialmente al proceso de tora y asignar los recursos de auditora segn las reas de TI
identificar y evaluar los controles de TI necesarios para tratar que merecen atencin dado sus niveles inherentes de riesgo.
riesgos especficos. Este esquema debe aplicarse y ser El anlisis y evaluacin de riesgos no se pueden pensar como
utilizado en toda la organizacin, y no slo por auditora procesos de nica vez, especialmente cuando son aplicados a
interna. Aunque existan muchos esquemas, ninguno cubre TI, porque la tecnologa cambia constante y rpidamente, al
especficamente cada tipo de negocio o implementacin igual que los riesgos y las amenazas asociadas. Es til catego-
tecnolgica. rizar los controles de TI de acuerdo a su ubicacin, propsi-
El marco de control es una manera organizada de catego- to y funcionalidad organizativa tanto para la evaluacin de
rizar los controles para asegurar que el espectro entero de su valor y adecuacin, como para lo apropiado del sistema de
control est cubierto adecuadamente. El esquema puede ser controles internos. El conocimiento del rango de controles
informal o formal. Un enfoque formal podr satisfacer ms disponibles de TI, las fuerzas impulsoras para los controles, y
fcilmente los diferentes requerimientos regulatorios o los roles y las responsabilidades organizativas permiten
estatutarios a los que se enfrentan muchas organizaciones. analizar y evaluar exhaustivamente los riesgos. En la evalu-
Cada organizacin debe examinar los esquemas de control acin de la efectividad de los controles, es tambin til
existentes para determinar cul de ellos, o qu parte de ellos, entender si los controles son obligatorios o voluntarios, dis-
se ajusta ms estrechamente a las necesidades. El proceso de crecionales o no, manuales o automatizados, primarios o
elegir o construir un esquema de control debe involucrar a secundarios, y si pueden ser omitidos o ignorados por la
todos los puestos de trabajo la organizacin que tengan direccin.
responsabilidad directa sobre los controles. El director de Finalmente, la evaluacin de los controles de TI implica
auditora interna debera estar involucrado en el proceso de seleccionar controles claves para realizar pruebas, evaluar los
decisin porque la funcin de auditora interna determinar resultados de las pruebas y determinar si existen o no eviden-
la adecuacin y uso del esquema como contexto para la plan- cias que indiquen debilidades significativa de control. El
ificacin y ejecucin del trabajo de auditora. cuestionario que se adjunta en esta gua (Apndice H) puede
El director ejecutivo de auditora interna debe tener ayudar al director ejecutivo de auditora interna en cuanto a
conocimiento global de los temas de riesgo de TI para eval- asegurar que todos los temas relevantes se han considerado
23
GTAG Supervisin y tcnicas 8
durante la planificacin y direccin de las evaluaciones de que tradicionalmente incluye la verificacin de los
auditora interna y de los controles de TI. Algunos esquemas informes de control del proceso de los datos que per-
y enfoques existentes pueden ayudar al director ejecutivo de miten determinar que las tareas y los trabajos(8) se
auditora interna y a otros gerentes cuando se determinan los han completado satisfactoriamente. Estos controles,
requerimientos de control de TI. Sin embargo, las organiza- cuando existen, generalmente estn automatizados. El
ciones deben investigar suficientes esquemas como para director ejecutivo de auditora interna se asegurar de
determinar cul es el que mejor se ajusta a sus propias necesi- que la gestin de supervisin exista y que est sujeta a
dades y cultura. En el Apndice D se proporciona una lista la evaluacin de la auditora interna.
parcial de esquemas disponibles. Orientada a los sucesos: Las discrepancias, o incluso
El Enfoque Integrado de Control Interno de COSO los fraudes, pueden tener lugar dentro del proce-
(1992) es aceptado por el Consejo Supervisor Contable de samiento normal, o en circunstancias especiales,
Empresas Pblicas (PCAOB, en ingls) con el propsito de como puede suceder cuando existen transacciones por
informar sobre el cumplimiento con las provisiones de infor- valores considerables. En muchos entornos de TI, es
macin financiera, pero no es especfico para todas las reas probable que ocurran ataques malintencionados.
de TI. Este esquema se considera un esquema adecuado y Consecuentemente, deben existir controles especfi-
reconocido que se puede adoptar para el cumplimiento de la cos para detectar y reportar actividades inusuales para
Ley Sarbanes-Oxley porque cubre todas las reas de imple- una unidad dentro de la organizacin que est facul-
mentacin de TI, aunque a un nivel alto de abstraccin. tada especficamente para investigar y determinar si
deben aplicarse acciones preventivas o correctivas.
8.2 Supervisar los controles de TI Estos controles de supervisin son complementarios a
No es fcil determinar dnde se debe aplicar la supervisin y los controles habituales usados y proporcionan asegu-
evaluacin de los controles y su frecuencia. La participacin ramiento(10) sobre la efectividad de aquellos con-
del auditor, en el ejercicio del anlisis de riesgos y la imple- troles o alertas tempranas que pueden indicar que los
mentacin de un entorno de control adecuado, pueden ayu- controles habituales pueden haber sido rotos o
dar a que el director ejecutivo de auditora interna tenga infringidos.
informacin suficiente para crear un plan adecuado de audi- Continua: La tecnologa proporciona hoy en da, la
tora que contemple los riesgos ms importantes de TI. posibilidad de supervisar y evaluar continuamente
En ltima instancia, la direccin es responsable de la ciertos controles sensitivos. Un buen ejemplo de
supervisin y evaluacin de los controles. La supervisin y supervisin continua es el uso de software de detec-
las evaluaciones del auditor se realizan para corroborar, de cin de intrusos, que vigila continuamente el trfico
forma independiente, las afirmaciones de la direccin en de red, proporcionando evidencias para otros con-
cuanto a la adecuacin de los controles. Las actividades de troles de proteccin, como filtro de seguridad y pro-
supervisin y evaluacin del control realizadas por la direc- teccin contra virus, que pueden ser violados.
cin, deben ser planificadas y conducidas dentro de diversas
categoras, tales como las siguientes: 8.2.2 Revisiones especiales
Evaluacin del control anual (o trimestral): La Ley
8.2.1 Supervisin continua Sarbanes-Oxley en Estados Unidos requiere evalua-
Diaria o peridica: Hay determinada informacin ciones de control cclicas. An cuando se requiere
que se debe verificar diariamente para asegurar que que el Consejo de Administracin haga declaraciones
los controles estn funcionando tal como se requiere. en relacin con la efectividad de los controles inter-
La direccin realiza normalmente esta supervisin nos, la direccin es la que realmente debe propor-
Scott A. Taub, Contador Subdirector, Comisin del Mercado de Valores de EE. UU. (SEC, en ingls),
SEC y Conferencia de Informes Financieros, Pasadena, California, 29 de mayo de 2003
24
GTAG Supervisin y tcnicas 8
25
GTAG Evaluacin 9
26
GTAG Evaluacin 9
9.2.1 Supervisin continua y automatizada interna es un tema importante por derecho propio.
Las herramientas de auditora y supervisin continua se han
utilizado por muchos aos. Anteriorment se denominaban 9.3 Interfaces entre la auditora o el comit
Software de auditora integrado, all el cdigo del progra- de auditora o la direccin
ma comprueba los datos que son procesados en los sistemas No es prctico establecer reglas para informar sobre cada
de negocio segn los criterios predeterminados e informa situacin especial de los controles de TI. El director ejecuti-
sobre las anomalas que detecta. La ventaja de tal super- vo de auditora interna debe aplicar un juicio prudente cuan-
visin es obvia: cualquier discrepancia puede ser identifica- do exprese una opinin o emita un informe al comit de
da y se puede actuar inmediatamente sobre ella. auditora. Esto no es diferente de la forma en que el director
Actualmente, muchos productos propietarios de software de ejecutivo de auditora interna interacta con el comit de
negocio proporcionan tal funcionalidad de supervisin con- auditora con respecto a otros temas de control interno.
tinua. El concepto tambin ha ido ms all de las aplica- El director ejecutivo de auditora interna discutir con el
ciones de negocio. Por ejemplo, la mayora del software de comit de auditora los temas de control interno para deter-
filtros de seguridad y de los sistemas de deteccin de intrusos minar el nivel ptimo de la informacin a ser proporcionada
realizan continuas verificaciones para saber si hay escenarios para permitir al comit de auditora cumplir con sus obliga-
potenciales de ataques y proporcionan alarmas inmediatas ciones de gobierno estatutarias, legales, de polticas, de
cuando se detectan ataques potenciales. Este tipo de super- debido cumplimiento u otras
visin puede causar problemas debido al volumen consider- Las mtricas y el informe y los resmenes de informes
able de datos y errores potenciales que se detecten, no todos de auditora son dos reas donde el director de auditora
de ellos, sern dignos de atencin. La tarea de refinar las tc- interna debe interactuar con el comit de auditora con
nicas de anlisis y supervisin de los limites mnimos respecto a los controles internos. Otras interacciones depen-
requiere vigilancia constante para determinar qu alertas dern de las necesidades especficas del comit de auditora
que se deben destacar y cules se deben aceptar como suce- y de cualquier requisito legislativo o regulatorio.
sos normales. Mtricas e informes . Las mtricas y los informes deben
presentar informacin significativa sobre el estado de los
9.2.2 Herramientas automatizadas de anlisis de controles de TI. Mientras que la direccin proporciona las
control interno mtricas y los informes, el director ejecutivo de auditora
El software de auditora puede ser utilizado para analizar interna debe poder atestiguar su validez y opinar sobre su
datos almacenados y comprobar su validez para as asegurar valor. Esto se logra a travs de una revisin de auditora de
la ejecucin continua y fiable de los controles internos. las reas de control relevantes para producir una evaluacin
Originalmente denominados como software de interro- objetiva e independiente. El director ejecutivo de auditora
gacin de auditora, los productos tales como ACL interna debe comunicarse con la direccin en todos los nive-
(www.acl.com) o IDEA de CaseWare (www.caseware.com) les y con el comit de auditora para acordar sobre la validez
proporcionan ahora funcionalidades sofisticadas y especficas y la efectividad de las mtricas y de los aseguramientos elegi-
de anlisis que pueden reducir la carga de trabajo de la eval- dos para los informes.
uacin del control mientras se incrementa la efectividad y Un conjunto bsico de mtricas de gobierno y de gestin
eficiencia. Los productos tales como Microsoft Excel tam- para la seguridad de la informacin se incluye en el
bin contienen herramientas potentes de anlisis que los Apndice G. Estas mtricas no incluyen datos especficos
auditores pueden utilizar. con respecto a la realizacin de controles tcnicos detalla-
dos, aunque los controles tcnicos pueden proporcionar la
9.2.3 Anlisis de riesgos automatizado informacin usada en la medicin. Las mtricas reales usadas
Tambin hay disponibles herramientas para automatizar el dependern de la organizacin y de las necesidades del
proceso de anlisis de riesgos. Estas herramientas son ines- comit de auditora. El director de auditora interna puede
timables para toda la funcin de auditora interna, no solo seleccionar ejemplos de mediciones tomadas en cualquier
para el auditor de TI o especialista en riesgos. En nuestros nivel de la organizacin para ayudar a ilustrar las materias
das, realizar un anlisis apropiado de riesgos en entornos de que pueden impactar materialmente sobre los controles a
TI complejos no es fcil sin la ayuda de herramientas autom- nivel de gobierno.
atizadas. Resmenes de informes de auditora. Preparados habit-
La direccin es responsable de realizar evaluaciones de ualmente para el comit de auditora, estos informes
riesgos para determinar los controles a implementar o para resumen hallazgos, conclusiones y opiniones sobre el estado
mejorarlos. Los auditores internos realizan anlisis similares de los controles de TI. Tambin pueden informar sobre las
cuando evalan la adecuacin de los controles para determi- acciones acordadas de informes de auditoras anteriores y el
nar los objetivos del plan de trabajo y el alcance de la audi- estado de esas acciones, probablemente sobre una base de
tora. Las herramientas automatizadas pueden asistir a ambos excepciones en cuanto a acciones no implementadas en el
procesos. La automatizacin de la gestin de la auditora marco de tiempo previsto. Los resmenes de controles de TI
27
GTAG Evaluacin 9
Aseguramiento Comit
de mtricas
de Auditora
opiniones, realizacin del plan
Peticiones y consultas
Resmenes de infomes,
especiales
Direccin
Informes y respuestas
de auditora
Director de
Auditora Interna
y consultas especiales
Informes, opiniones
Planes, peticiones
Auditora de
Trabajo de auditora
Validar mtricas tecnologa de
la informacin
Figura 6 Interrelaciones de auditora
28
GTAG Conclusin 10
29
GTAG Apndice A Elementos de un programa
de seguridad de la informacin 11
Nota: Este apndice se extrae del informe del equipo de Proteger el entorno fsico.
mejores prcticas y mtricas del Grupo de Trabajo de Asegurar la realizacin de auditoras internas y exter-
Seguridad de la Informacin Corporativa (CISWG, en nas del programa de seguridad de la informacin, con
ings), enviado el 17 de noviembre de 2004, al Subcomit de el oportuno seguimiento.
Poltica de Tecnologa de la Informacin, Relaciones Colaborar con el personal de seguridad para especi-
Intergubernamentales y Censo; Comit de Reforma de ficar las mtricas de seguridad de la informacin que
Gobierno; Cmara de Representantes de Estados Unidos; se deben comunicar a la direccin.
enmendado posteriormente el 10 de enero de 2005. Se puede
obtener informacin adicional en la seccin Tecnologa de 11.3 Tcnica
http://www.theiia.org Establecer un programa completo de seguridad de la informa-
cin requiere la atencin a los siguientes componentes de
11.1 Gobierno (Consejo de Administracin) programas tcnicos:
Supervisar los programas de gestin de riesgos y Identificacin y autenticacin de usuarios.
cumplimiento relacionados con la seguridad de la Gestin de cuentas de usuarios.
informacin (por ejemplo, Ley Sarbanes-Oxley, Ley Privilegios de usuarios.
de Registro de Seguros Mdicos y Ley Gramm- Gestin de configuraciones.
Lixivian-Bliley).Accountability Act, Gramm-Leach- Registro y supervisin de eventos y actividades.
Bliley Act). Comunicaciones, correos electrnicos y seguridad en
Aprobar y adoptar principios amplios del programa de los accesos remotos.
seguridad de la informacin y aprobar la designacin Proteccin de cdigos malignos, incluyendo virus,
de gerentes clave responsables de seguridad de la gusanos y troyanos.
informacin. Gestin de cambios de software, incluyendo parches.
Procurar la proteccin de los intereses de todos los Filtro de seguridad.
accionistas en lo referente a seguridad de la informa- Cifrado de datos.
cin. Copia de respaldo y recuperacin.
Revisar las polticas de seguridad de la informacin Deteccin de incidentes, vulnerabilidades y respuesta
con respecto a socios estratgicos de negocio y otras a ellos.
terceras partes. Colaborar con la direccin para especificar las mtri-
Asegurar la continuidad del negocio. cas tcnicas que se deben comunicar a la direccin.
Revisar las previsiones de auditoras internas y exter-
nas del programa de seguridad de la informacin.
Colaborar con la direccin en especificar las mtricas
de seguridad de la informacin que se comunicarn al
Consejo.
11.2 Direccin
Establecer las polticas de gestin de seguridad de la
informacin, los controles y la supervisin del
cumplimiento.
Asignar las funciones de seguridad de la informacin,
responsabilidades y conocimientos requeridos y hacer
cumplir el criterio de privilegios de acceso basado en
la necesidad de informacin de cada funcin.
Evaluar los riesgos de la informacin, establecer
umbrales de riesgo y gestionar activamente la miti-
gacin del riesgo.
Asegurar la implementacin de los requisitos de
seguridad de la informacin para los socios estratgi-
cos y otras terceras partes.
Identificar y clasificar los activos de informacin.
Implementar y probar los planes de continuidad del
negocio.
Aprobar la arquitectura de los sistemas de informa-
cin durante la adquisicin, desarrollo, operaciones y
mantenimiento.
30
GTAG Apndice B Cumplimiento con la legislacin 12
Hay un volumen creciente de legislacin que afecta de forma neutral con respecto a la tecnologa, pero dadas las implica-
estructural al sistema de control interno que las organiza- ciones, est claro que los controles de TI son crticos con
ciones eligen implementar. Aunque gran parte de esta legis- respecto al sistema general de control interno de una organi-
lacin ha surgido en aos recientes en Estados Unidos como zacin. Como los controles de TI apuntan al desempeo
resultado de varios escndalos corporativos, esto tambin ha seguro, estable, y fiable del hardware, del software, y del per-
afectado a organizaciones en otros pases. Las organizaciones sonal, para asegurar la fiabilidad de las aplicaciones, proce-
deben informarse sobre la legislacin, las regulaciones y las sos, e informes financieros, stos deben ser un elemento
prcticas de negocio relevantes en el mundo, en particular, significativo de las revisiones de cumplimiento.
las de los pases en los que tienen negocios, con el fin de Se han interpretado ciertas reas clave de controles de TI
evaluar los impactos y requerimientos organizativos. como que no han sido incorporadas dentro del alcance de la
Por ejemplo, la legislacin de proteccin de datos de Ley Sarbanes-Oxley. stas incluyen la privacidad, la con-
Europa inhibe la transferencia de informacin a otros pases tinuidad de negocios, los sistemas de negocio, la clasificacin
que no tengan una regulacin comparable sobre proteccin de los datos, y la informacin no especfica del proceso
de datos. Esto afecta las relaciones comerciales en las que la financiero y su divulgacin. Por lo tanto, cualquier revisin
informacin que se debe transferir se refiere a la identifi- limitada especficamente a la conformidad con la Ley
cacin de las personas. La Ley Sarbanes-Oxley establece req- Sarbanes-Oxley no cubrir todos los riesgos de la organi-
uisitos de informacin del sistema de control interno para zacin, y se debe complementar para asegurar la cobertura
todas las organizaciones que coticen en Estados Unidos, as completa por parte de la auditora en cuanto a gestin de
como para sus subsidiarias en el extranjero. riesgos y control interno de la organizacin.
El apndice proporciona un resumen de requisitos y el
impacto de la principal legislacin y regulacin que debera 12.1.1 Secciones de la Ley Sarbanes-Oxley
ser considerada en la evaluacin y en la gestin de controles relevantes para los controles de TI
de TI. Aunque esta GTAG est dirigida a una audiencia Los siguiente puntos describen brevemente las secciones de
global cubre la Ley Sarbanes-Oxley con una cierta profundi- la Ley Sarbanes-Oxley que se relacionan con los auditores y
dad porque es una de las legislaciones ms significativas de los controles de TI.
los ltimos aos. Los Principios de Gobierno Corporativo de
la Organizacin para la Cooperacin y el Desarrollo 12.1.1.1 Secciones 103 y 802
Econmicos (OCDE, en ingls) proporciona un marco gen- Estas secciones establecen las reglas referidas a la auditora y
eral para la implementacin de controles de negocio. Los al informe de auditora, para la firma de auditora externa.
acuerdos de Basilea II tienen un impacto importante en el En particular, requieren que el Consejo de Administracin
sector financiero internacional y muchos han sugerido que la establezca las normas para el trabajo de la auditora. Tambin
direccin marcada por Basilea II puede tambin influir en requieren que los auditores prueben los esquemas de control
otros sectores. interno y corroboren la fortaleza de esos esquemas. Esta
revisin debe incluir un examen cuidadoso de los controles
de TI que son fundamentales para el sistema del control
12.1 Ley Sarbanes-Oxley de Estados Unidos interno relacionado con la informacin financiera.
del ao 2002 Hay un requisito especfico que est relacionado con la
La ley Sarbanes-Oxley (http://www.theiia.org/iia/ retencin de registros que en razonable detalle y exactitud
guidance/issues/sarbanes-oxley.pdf) fue ideada para reformu- reflejen las transacciones y las disposiciones de los activos.
lar las prcticas de la auditora externa y otros procesos del Una vez ms, esto est mayormente influenciado por la
gobierno corporativo en los mercados de capitales, como forma de registrar y mantener los registros de TI.
consecuencia de los escndalos del caso Enron y del
Worldcom. El PCAOB proporciona una conjunto extenso 12.1.1.2 Seccin 201
de informacin y consejos sobre la Ley Sarbanes-Oxley en su Esta seccin requiere que los auditores externos sean inde-
sitio Web http: www.sarbanes-oxley.com. Los principales pendientes. Esto los imposibilita de realizar trabajo para un
requisitos de la Ley Sarbanes-Oxley, la SEC y las Bolsas de cliente en el mbito de consultora de TI o la prestacin de
Valores de Estados Unidos se comparan y contrastan en el servicios subcontratados de auditora interna. Las organiza-
anlisis de la Fundacin para la Investigacin del IIA, titula- ciones que no desean emplear sus propios auditores de TI no
do Assessment Guide for U.S. Legislative, Regulatory, and pueden subcontratar el trabajo a sus auditores externos.
Listing Exchanges Requirements Affecting Internal
Auditing (www.theiia.org/iia/download.cfm?file=519). 12.1.1.3 Seccin 301
Sin embargo, la Ley Sarbanes-Oxley no trata la apli- La seccin 301 define la necesidad de que los miembros del
cacin de controles de TI de manera especfica. Esto no Comit de Auditora sean independientes y los inhabilita de
significa que se pueda ignorar la TI cuando se realizan las realizar cualquier otro trabajo de consultora en nombre de la
revisiones de cumplimiento requeridas por esa ley. La ley es organizacin. Tambin requiere que los Comits de
31
GTAG Apndice B Cumplimiento con la legislacin 12
Auditora establezcan procedimientos para manejar el envo industria. Todas las reas de operaciones bancarias estn
annimo y confidencial, por parte de los empleados, sobre incluidas, personal, procesos, sistemas, gobierno y gestin de
aspectos preocupantes o cuestionables de la contabilidad o proveedores.
aspectos importantes de la auditora. Esto tambin se apli- Un banco que desee calificar para el Enfoque de medicin
cara con cualquier tema similar al de los controles de TI. avanzada (AMA, en ingls) en funcin del riesgo operativo
debe poder implementar las mejores prcticas en las opera-
12.1.1.4 Secciones 302 y 404 ciones y en la gestin de riesgos. Para la gestin de riesgos,
La seccin 302 de la ley requiere que el presidente (CEO, en esto significa lo siguiente:
ingls) y el director financiero (CFO, en ingls), respons- La alta direccin est implicada activamente.
ables de la informacin financiera y del sistema de control El banco tiene un sistema de gestin de riesgos opera-
interno, evalen el sistema de control interno cada 90 das e tivos, procesos, polticas y procedimientos globales.
informen sus conclusiones y cambios realizados. El banco tiene un adecuado gobierno y los recursos
Deben poner de manifiesto: suficientes para gestionar los riesgos operativos.
Todas las deficiencias significativas en el diseo o en El banco tiene una funcin de gestin de riesgo oper-
la realizacin de los controles internos que podran ativo que es responsable de:
afectar adversamente la capacidad del emisor de reg- Disear e implementar el esquema de gestin de
istrar, procesar, resumir y divulgar datos financieros e riesgos operativos.
identificar, para los auditores del emisor, cualquier Codificar las polticas, los procedimientos y los
debilidad material en los controles internos. controles.
Cualquier fraude, material o no, que involucre a la Disear e implementar una metodologa de
direccin o a otros empleados que tienen un papel medicin del riesgo operativo.
significativo en los controles internos del emisor. Disear e implementar un sistema de gestin de
La seccin 404 requiere que el CEO y el CFO generen un informes de riesgos operativos.
informe de auditora anual que: Desarrollar estrategias para identificar, medir,
Evale la efectividad del esquema de control interno supervisar y controlar o atenuar los riesgos operativos.
en relacin con la informacin financiera. El sistema de medicin de riesgo operativo est inte-
Ponga de manifiesto todas las debilidades conocidas grado estrechamente en el proceso cotidiano de
de control interno. gestin de riesgos.
Ponga de manifiesto todos los fraudes identificados. Las exposiciones a riesgos operativos y las experien-
Este informe cubrir todos los controles de TI aplicables, cias de prdidas debidas a riesgo operativo se infor-
incluidos la programacin lgica y los controles de cambios man regularmente.
relacionados, los controles de acceso y la proteccin de los El sistema de gestin de riesgo operativo est docu-
datos. La Norma de Auditora N. 2 del PCAOB sugiere el mentado.
enfoque COSO como base para la seccin 404 de gestin del Los auditores internos y externos revisan regular-
cumplimiento. Las referencias a la Declaracin sobre mente la gestin de procesos de riegos operativos y el
Normas de Auditora 95 (SAS, en ingls) tambin acentan sistema de medicin.
la importancia de TI y de los controles de seguridad de la La llave de xito en la gestin de riesgos operativos es un sis-
informacin para la Ley Sarbanes-Oxley. tema de informacin que apoye la autoevaluacin de la
exposicin al riesgo operativo, que permita el seguimiento
12.1.1.5 Seccin 409 del proceso, consistente en una base de datos de prdidas por
La seccin 409 requiere que las organizaciones pongan de riesgos operativos y funciones de reporte, y presupone una
manifiesto cualquier cambio material en las operaciones en funcin de la gestin basada en accin-planificacin.
tiempo real y en un lenguaje comprensible. Hay quienes afir- El Comit de Basilea no especifica el enfoque o las esti-
man que estos requisitos determinan el establecimiento o la maciones de distribucin que se deben utilizar para generar
necesidad de una continuidad en la supervisin, la auditora la medicin de riesgos operativos con fines regulatorios para
y los procesos del aseguramiento y que se conviertan en parte el capital. Sin embargo, el marco permite tres enfoques bsi-
significativa de los procesos de control interno. cos que esencialmente son dependientes de la calidad y la
cantidad de datos de la gestin de riesgos. Mientras que usar
12.2 El acuerdo de Basilea ms datos y mediciones histricas para probar el buen fun-
El acuerdo de Basilea II es un tratado normativo que define cionamiento puede permitir que los bancos mantengan
las normas globales para las prcticas de gestin de riesgos menos reservas de capital y que las cuantifiquen segn los
del mundo empresarial en el sector financiero con la inten- riesgos operativos, los bancos deben poder demostrar que
cin de atenuar riesgos de prdidas en la industria. El foco capturan los acontecimientos potencialmente severos de
est en el sector bancario, pero hay un intento claro para prdida de registros (prdidas inesperadas y severas). Por otra
armonizar normas a travs de todos los segmentos de la parte, segn lo definido por el comit de Basilea, se requiere
32
GTAG Apndice B Cumplimiento con la legislacin 12
33
GTAG Apndice B Cumplimiento con la legislacin 12
se extiende ms all de las compaas financieras. Cualquier 12.7 Regulaciones nacionales a nivel mundial
compaa que maneje informacin financiera no Muchos pases tienen regulaciones nacionales que cubren el
pblica de clientes puede ser considerada responsable control interno, incluidos Alemania (KonTraG, requisitos
bajo el imperio de esta ley, dependiendo de las circunstan- de la gestin de riesgos) y Francia (LSF, requisitos de infor-
cias. Se puede encontrar ms informacin disponible en macin del control interno). Adems, se puede requerir que
EPIC (http://www.epic.org/privacy/glba/) y en U.S. Federal los auditores externos certifiquen la adecuacin de los
Trade Comisin (http://www.ftc.gov/bcp/conline/pubs/bus- mecanismos y de los controles de los informes financieros.
pubs/glblong.htm-whois). Aunque la mayora de estas regulaciones no tratan directa-
mente con la TI, ellas implican la necesidad de una
12.5 Ley HIPAA de 1996 (Ley de infraestructura de TI adecuadamente controlada. Por esta
Responsabilidad y Portabilidad del razn muchos organismos nacionales de la Federacin
Seguro Mdico de EE. UU.) Internacional de Contadores (IFAC) proporcionan guas
HIPAA contiene los requerimientos para la proteccin de la detalladas para la evaluacin de los controles de la TI.
informacin personal y para la seguridad de la informacin.
La ley se aplica a las compaas con sede en EE. UU. del sec-
tor mdico, pero puede tambin alcanzar a cualquier com-
paa que proporcione servicios de proteccin o cobertura
mdica a sus empleados, segn las circunstancias. Si desea
ms informacin, visite http://www.hipaa.org.
34
GTAG Apndice C Las tres categoras de conocimientos de TI
para los auditores internos - 13
13.1 Consideraciones sobre el conocimiento del provisin de controles para las aplicaciones y
auditor entornos de negocio.
Norma 1210: El nivel de competencia sobre las Normas del Asegurar que el equipo de auditora tiene competencia
IIA, requiere que la actividad de la auditora interna, en su suficiente, incluidas las habilidades en TI, para las
conjunto, tenga u obtenga el conocimiento, las aptitudes y tareas de auditora.
otras competencias necesarias para cumplir con sus respons- Asegurar el uso eficaz de las herramientas de TI
abilidades1. Se necesitan diversos niveles de conocimiento en los trabajos de auditora y en las pruebas.
de TI en la organizacin para proporcionar un enfoque sis- Aprobar los planes y las tcnicas para probar los con-
temtico y disciplinado a fin de evaluar y mejorar la efectivi- troles y la informacin.
dad de los procesos sobre la gestin de riesgos, los controles Evaluar los resultados de las pruebas de auditora para
y del gobierno. El conocimiento de cmo se utiliza la TI, los evidenciar las vulnerabilidades o debilidades de con-
riesgos relacionados y la capacidad de utilizar la TI como un trol de la TI.
recurso en el desarrollo del trabajo de auditora es esencial Analizar los sntomas detectados y relacionarlos con
para la eficacia del auditor en todos los niveles. las causas que pueden tener su origen en el negocio o
El Comit Internacional de Tecnologa Avanzada del IIA, en la misma TI, como planificacin, ejecucin,
ha identificado tres categoras de conocimiento de TI para operaciones, gestin de cambios, autenticacin, u
los auditores internos. otras reas de riesgo.
Proporcionar recomendaciones de auditora basadas en
13.1.1 Categora 1: Todos los auditores los objetivos del aseguramiento del negocio, centrn-
La categora 1 es el conocimiento de TI necesario para todos dose en los orgenes de los problemas observados, ms
los auditores profesionales, desde las nuevas incorporaciones que en divulgar simplemente los problemas o los
hasta el director de auditora interna. El conocimiento de TI errores detectados.
abarca entender conceptos, como las diferencias en el soft-
ware usado en aplicaciones, sistemas operativos y software de 13.1.3 Categora 3: Especialista en auditora
sistemas y redes. Esto implica entender los componentes tcnica de TI
bsicos de seguridad de TI y de control, tales como seguridad La categora 3 se aplica al especialista en auditora tcnica de
perimetral, deteccin de intrusismo, autenticacin y con- TI. Aunque los auditores de TI pueden funcionar a nivel de
troles de los sistemas de aplicacin. El conocimiento bsico supervisin, deben entender la tecnologa subyacente que
incluye entender cmo los controles de negocio y los obje- respalda a los componentes del negocio y estar familiarizados
tivos de aseguramiento pueden verse afectados por vulnera- con las amenazas y vulnerabilidades asociadas a las tec-
bilidades en las operaciones de negocio y lo relacionado con nologas. Los auditores de TI tambin pueden especializarse
los sistemas de soporte y los componentes de redes y datos. en ciertas reas de la tecnologa.
Es fundamental asegurar que los auditores tienen suficiente Los programas y productos del IIA se disean sobre todo
conocimiento para centrarse en el entendimiento de los ries- para resolver las necesidades de informacin de la categora
gos de TI, sin necesariamente tener conocimientos tcnicos 1 y 2 de los auditores. El auditor de la categora 1 buscar las
significativos. guas del IIA para relacionar las amenazas, las vulnerabili-
dades y los controles de TI con los objetivos de aseguramien-
13.1.2 Categora 2: Supervisores de Auditora to del negocio. Los productos del IIA tambin proporcionan
La categora 2 se aplica al nivel de supervisin de auditora. informacin que puede ser til para explicar los impactos de
Adems de tener el conocimiento bsico en TI, los supervi- los problemas tcnicos en el negocio. Adems, los productos
sores de auditora deben entender los aspectos y elementos de IIA pueden ayudar a la categora 3 de auditores tcnicos
de TI, de forma suficiente para considerarlos en las tareas de de TI para ganar competencia en las reas de tecnologa con
auditora de planificacin, pruebas, anlisis, informe y las que no estn familiarizados y en esforzarse para alcanzar
seguimiento y en la asignacin de las habilidades de los audi- competencias de supervisin o gerenciales de auditora.
tores a los proyectos de auditora. Esencialmente, el supervi- El instituto SANS proporciona formacin en seguridad
sor de auditora debe: de la informacin y concede la Certificacin Global de
Entender las amenazas y vulnerabilidades asociadas a Aseguramiento de la Informacin (GIAC, en ingls), una
procesos automatizados de negocio. certificacin relevante para los profesionales de la seguridad
Entender los controles de negocio y la mitigacin del de la informacin, incluidos los auditores. Las ofertas de cur-
riesgo que debe ser proporcionada por la TI. sos y certificaciones que los acompaan coinciden con las
Planificar y supervisar las tareas de auditora para con- demandas crecientes de estudiantes, de nuevas amenazas y
siderar las vulnerabilidades y los controles relaciona- de nuevas tecnologas. Las certificaciones GIAC
dos con la TI, as como la eficacia de la TI en la (http://www.giac.org/subject_certs.php) estn agrupadas por
4
Nota: El documento de Las tres categoras del conocimiento de TI para los auditores internos no forma parte de las Normas del IIA, pero es una ori-
entacin prctica proporcionada por el Comit Internacional de Tecnologa Avanzada del IIA
35
GTAG Apndice C Las tres categoras de conocimientos de TI
para los auditores internos - 13
36
GTAG Apndice D Esquemas de cumplimiento 14
37
GTAG Apndice D Esquemas de cumplimiento 14
38
GTAG Apndice D Esquemas de cumplimiento 14
es un documento pblico disponible, que se encuentra divi- Razonamiento. Se aplica entre las organizaciones y
dido en cinco reas claves: gestin de la seguridad, sistemas dentro de ellas. El conocimiento de los principios, las
crticos del negocio, instalaciones de sistemas, redes y desar- normas, las convenciones y los mecanismos de seguri-
rollo de sistemas. Para ms informacin y detalles, consulte dad de la informacin aporta valor, genera controles y
http://www.isfsecurity standard.com. ayuda a minimizar las amenazas. El conocimiento de
las amenazas y de su significacin tambin aumenta la
14.7 Principios generalmente aceptados para aceptacin de los controles por parte del usuario. Sin
la seguridad de la informacin (GAISP) el conocimiento de la necesidad de controles particu-
Los principios generalmente aceptados para la seguridad de lares, los usuarios pueden poner en riesgo la informa-
la informacin (GAISP, en ingls) resumen la mejor prcti- cin ignorando, no respetando, o extralimitando los
ca de un conjunto de esquemas similares. Desarrollados en mecanismos existentes de control. El principio del
1991, estos principios proporcionan una amplia jerarqua de conocimiento se aplica a las partes autorizadas y no
guas para asegurar la informacin y la tecnologa de soporte, autorizadas.
entre ellos se incluyen: Principio de tica. Se debe utilizar y administrar la
Principios bsicos gua a nivel del Consejo informacin y la seguridad de la informacin de man-
Principios generales de funcionamiento diseados era tica.
para la gestin de la informacin a nivel ejecutivo Razonamiento. Los sistemas de informacin forman
(borrador distribuido en septiembre de 1999). parte de nuestras sociedades. El desarrollo de reglas y la
Principios detallados gua para la gestin de evolucin de las expectativas se relacionan con la
seguridad de la informacin operativa (en desarrollo). disponibilidad, el uso apropiado y la seguridad de los
Estos principios ahora estn siendo desarrollado por la sistemas de informacin. El uso de la informacin y de
Asociacin de Seguridad de Sistemas de Informacin (ISSA, los sistemas de informacin debe cubrir los requisitos
en ingls) (http://www.issa.org), que puede proporcionar establecidos en las normas y obligaciones sociales.
detalles de ello. Principio multidisciplinario. Los principios, las nor-
mas, las convenciones, los mecanismos para asegurar la
14.7.1 Principios bsicos informacin y los sistemas de informacin deben tratar
Se refieren a la confidencialidad, integridad y disponibilidad las consideraciones y los puntos de vista de todas las
de la informacin. Proporcionan una gua general para partes interesadas.
establecer y mantener la seguridad de la informacin y de la Razonamiento. La seguridad de la informacin se
tecnologa de soporte. alcanza por el esfuerzo combinado de los propietarios
Principio de responsabilidad. La asignacin de de la informacin, los usuarios, los que tienen asigna-
responsabilidad sobre seguridad de la informacin y las da su custodia y el personal de seguridad de la informa-
responsabilidades deben estar claramente definidas y cin. Las decisiones tomadas con la debida
deben ser aceptadas. consideracin de todos los puntos de vista relevantes y
Razonamiento. La responsabilidad caracteriza la de las capacidades tcnicas pueden realzar la seguri-
capacidad de auditar las acciones de todas las partes y dad de la informacin y recibir mejor aceptacin.
procesos que interactan con la informacin. Las fun- Principio de la proporcionalidad. Los controles sobre
ciones y responsabilidades deben estar claramente la seguridad de la informacin deben ser propor-
definidas, identificadas y aprobadas a un nivel adecua-
do segn sensibilidad y criticidad de la informacin. La
relacin entre las partes, los procesos y la informacin
se debe definir claramente, se debe documentar y debe Gestin de seguridad
ser conocida por todos. Todas las partes deben tener
responsabilidades en funcin de las cuales debern Desarrollo
de sistemas
rendir cuentas. Aplicaciones
Principio de conocimiento. Todas las partes que nece- crticas del
negocio
sariamente deben conocer la informacin, incluidos,
entre otros, los propietarios de la informacin y los
Instalaciones
actores de la seguridad de la informacin, deben tener de TI
acceso a los principios, las normas, las convenciones o Instalaciones
de computadoras Redes
los mecanismos disponibles para asegurar la informa-
cin y los sistemas de informacin, as como tambin
se los debe informar sobre posibles amenazas a la
seguridad de la informacin. Figura 7 Gestin de seguridad
39
GTAG Apndice D Esquemas de cumplimiento 14
cionales a los riesgos de manipulacin, negacin de Principio de equidad. La direccin respetar los dere-
uso, o de acceso a la informacin. chos y la dignidad de individuos al fijar las polticas y
Razonamiento. Los controles de seguridad deben ser al seleccionar, implementar y hacer cumplir las medi-
adecuados al valor y vulnerabilidad de los activos de la das de seguridad.
informacin. Se debe considerar el valor, la sensibili- Razonamiento. Las medidas de seguridad de la infor-
dad y la criticidad de la informacin, as como la prob- macin implementadas por una organizacin no deben
abilidad, la frecuencia y la severidad del dao o de la interferir con las obligaciones, los derechos y las
prdida directa e indirecta. Este principio reconoce el necesidades de los usuarios, los dueos u otras partes
valor de la seguridad de la informacin que se extiende afectadas por la informacin, siempre que tales medi-
desde la prevencin a la aceptacin del riesgo. das se ejerzan segn los parmetros legtimos de la con-
Principio de integracin. Los principios, normas, secucin de objetivos.
convenciones y mecanismos de seguridad de la infor-
macin deben coordinarse e integrarse con las polti- 14.8 Principios y criterios de servicios
cas y los procedimientos de la organizacin para crear confiables del AICPA/CICA.
y mantener la seguridad a travs de un sistema de El Comit Ejecutivo de Servicios de Aseguramiento del
informacin. Instituto Estadounidense de Contadores Pblicos
Razonamiento. Muchas brechas de seguridad de la Certificados (AICPA, en ingls) y el Consejo de Desarrollo
informacin implican que estn comprometidas ms de Servicios de Aseguramiento de CICA desarrollaron los
de una medida de proteccin. Las medidas de control Principios y criterios de servicios confiables para tratar los
ms eficaces son componentes de un sistema integrado riesgos y las oportunidades de la TI. Estos principios precisan
de controles. La seguridad de la informacin es ms efi- una serie de declaraciones de principios e identifican crite-
ciente si est planeada, gestionada y coordinada por rios especficos que se deben alcanzar para resolver cada prin-
medio del sistema de control de la organizacin y si se cipio. Los principios son declaraciones amplias de objetivos.
considera la vida de la informacin. Los criterios son comparaciones usadas para medir y presen-
Principio de la oportunidad. Todas las partes respons- tar el tema y contra los que, quienes realizan las evalua-
ables deben actuar de manera oportuna y coordinada ciones, pueden analizar tal tema. En los Principios y criterios
para prevenir o responder a las brechas y a las ame- de servicios confiables, los criterios son apoyados por una
nazas a la seguridad de la informacin y de los sistemas lista de controles ilustrativos y se organizan en cuatro reas
de informacin. amplias:
Razonamiento. Las organizaciones deben poder coor- Polticas. La organizacin ha definido y documenta-
dinar y actuar rpidamente para prevenir o atenuar las do sus polticas1 relevantes en sus Principales
amenazas. Este principio reconoce la necesidad de los Principios
sectores pblicos y privados de establecer mecanismos Comunicaciones. La organizacin ha comunicado
y procedimientos en comn para responder de manera sus polticas ya definidas a los usuarios autorizados.
rpida y eficaz a amenazas informadas o conocidas. El Procedimientos. La organizacin utiliza procedimien-
acceso al historial de amenazas respalda la gestin de tos para alcanzar sus objetivos de acuerdo con las
respuestas eficaces a los acontecimientos y ayudar a polticas definidas.
prevenir futuros incidentes. Supervisin. La organizacin supervisa el sistema y
Principio de anlisis. Los riesgos de la informacin y ejecuta las acciones necesarias para mantener la con-
de los sistemas de informacin se deben analizar per- formidad con las polticas definidas.
idicamente. Seguidamente, se encuentran los resmenes de Servicios
Razonamiento. Los requisitos de la informacin y de de seguridad confiables, Disponibilidad, Integridad de proce-
la seguridad varan en el tiempo. Las organizaciones samiento, Aislamiento, Confidencialidad, y Principios y cri-
deben analizar peridicamente la informacin, su terios de la autoridad de certificacin. Los Principios y
valor y la probabilidad, la frecuencia y la severidad del criterios de servicios confiables se pueden utilizar para cali-
dao posible o de la prdida directa e indirecta. El ficar los contratos de SysTrust y de WebTrust, que son servi-
anlisis peridico identifica y mide las variaciones de cios de aseguramiento diseados para una amplia gama de
las medidas de seguridad establecidas que estn activas, sistemas basados en TI. Sobre la obtencin de un informe de
tal como se articula en la gua GAISP, as como el ries- no aptitud sobre aseguramiento, la organizacin tiene la
go asociado a tales variaciones. Tambin permite a los posibilidad de tener un SysTrust o WebTrust y el correspon-
responsables tomar decisiones, respaldadas en la diente informe del auditor. Adems, este esquema se puede
gestin de riesgos de la informacin, sobre la utilizar para proporcionar servicios de consulta. Para obten-
aceptacin, atenuacin, o transferencia de los riesgos er un listado detallado de los principios y criterios de servi-
con la debida consideracin de la relacin de coste cios confiables, consulte http://www.aicpa.org/los
beneficio. trustservices.
40
GTAG Apndice D Esquemas de cumplimiento 14
14.8.1 Principios de seguridad. El sistema se debe o los servicios son procesados o realizados segn lo
proteger contra accesos no autorizados planificado. La oportunidad del abastecimiento de servicios
(fsico y lgico) o de la entrega de bienes se trata en el contexto de las
En el comercio electrnico y otros sistemas, las partes que obligaciones hechas para tal entrega. La autorizacin
intervienen deben asegurarse de que la informacin incluye asegurarse de que el proceso es realizado de
intercambiada est disponible slo para las personas que acuerdo con las aprobaciones y privilegios requeridos
necesitan el acceso para ejecutar la transaccin o los definidos por las polticas que gobiernan el proceso del
servicios, o hacer seguimiento de las preguntas o cuestiones sistema. Los riesgos asociados con la integridad del proceso
que pueden presentarse. La informacin proporcionada a estn relacionados con el individuo que inicia la transaccin
travs de esos sistemas es susceptible de accesos no autoriza- y que no termina la transaccin ni proporciona el servicio
dos durante la transmisin y mientras se almacena en los correctamente ni de conformidad con la peticin deseada
sistemas de la otra parte. Limitando el acceso a los compo- o especificada. Sin controles apropiados de la integridad
nentes del sistema, se ayuda a prevenir el potencial abuso de del proceso, el comprador puede no recibir los bienes o ser-
este, el hurto de recursos, el uso errneo del software y el vicios solicitados, puede recibir en conjunto ms de lo que
acceso incorrecto, uso, alteracin, destruccin, o acceso a la solicit, o puede recibir los bienes o servicios incorrectos.
informacin. Los elementos claves para la proteccin de los Sin embargo, si existen controles de los procesos de integri-
componentes del sistema incluyen la autorizacin y permisos dad apropiados y son operacionales dentro del sistema,
de acceso, y la desautorizacin preventiva de acceso a esos entonces el comprador puede razonablemente estar seguro
componentes. de que recibir los bienes y servicios correctos segn la can-
tidad y el precio correctos en la fecha prometida. Los proce-
14.8.2 Principio de disponibilidad. El sistema est sos de integridad implican todos los componentes del
disponible para la operacin y el uso segn sistema incluyendo los procedimientos para iniciar, registrar,
lo convenido procesar y reportar la informacin, el producto, o el servicio
El principio de la disponibilidad se refiere a la accesibilidad del tema comprometido. La naturaleza de la entrada de datos
al sistema, productos, o servicios segn lo acordado por en los sistemas de comercio electrnico implican tpica-
contrato o por el acuerdo de nivel de servicio y otros acuer- mente que el usuario ingrese datos directamente a travs de
dos. Este principio no fija, en s mismo, un nivel de fun- pantallas y formularios en formato Web, mientras que en
cionamiento mnimo aceptable para la disponibilidad otros sistemas, la naturaleza de la entrada de datos puede
de sistema. Por lo contrario, el nivel de funcionamiento mn- variar significativamente. Debido a esa diferencia en los pro-
imo se establece por acuerdo mutuo (contrato) entre cesos de ingreso de datos, la naturaleza de los controles sobre
las partes. la completitud y exactitud de la entrada de datos en sistemas
Aunque la disponibilidad del sistema, la funcionalidad y de comercio electrnico pueden ser algo diferente que en
la utilidad estn relacionadas, el principio de disponibilidad otros sistemas.
no se refiere a la funcionalidad del sistema (las funciones La integridad del proceso se diferencia de la integridad
especficas que un sistema realiza) ni al uso del sistema (la de los datos porque esta no implica que automticamente
capacidad de los usuarios de utilizar las funciones del sistema la informacin almacenada por el sistema sea completa,
para atender tareas o problemas especficos), sino al hecho exacta, actual y autorizada. Si un sistema procesa informa-
de si se tiene acceso al sistema para las tareas de procesar, cin de fuentes fuera de los limites del sistema, una
supervisar y mantener. organizacin puede establecer solamente controles limitados
de completitud, exactitud, autorizacin y oportunidad de
14.8.3 Principio de integridad del proceso. El proce la informacin que se procesa. Los errores que se pudieron
so del sistema es completo, exacto, oportuno haber introducido en los procedimientos de control e
y autorizado informacin en sitios externos estn tpicamente fuera del
La integridad del proceso existe si un sistema realiza su control de la organizacin. Cuando la fuente de informacin
funcin planificada perfectamente, libre de manipulacin se excluye explcitamente de la descripcin del sistema
desautorizada o inadvertida. Latotalidad generalmente que define el compromiso, es importante detallar esa
indica que todas las transacciones y servicios son procesados exclusin en la descripcin del sistema. En otras situaciones,
o realizados sin excepcin, y que las transacciones y servicios la fuente de datos puede ser una parte inherente del
no son procesados ms de una vez. La exactitud incluye sistema que se examina y los controles de completitud,
el aseguramiento de que la informacin clave asociada a exactitud, autorizacin y oportunidad de informacin que
la transaccin ejecutada seguir siendo exacta a travs se procesen seran incluidos en el alcance del sistema
del procesamiento de la transaccin y que la transaccin segn lo descrito.
5
El trmino polticas se refiere a pautas escritas que comunican el espritu de la gestin, los objetivos, requerimientos, responsabilidades y normas para
un tema en particular. Algunas polticas pueden ser descritas como explicativas, contenidas en manuales de polticas o documentos de nombres similares.
Sin embargo, otras pueden estar documentadas sin esas caractersticas explcitas, incluidas por ejemplo, las comunicaciones a empleados o terceros.
41
GTAG Apndice D Esquemas de cumplimiento 14
42
GTAG Apndice D Esquemas de cumplimiento 14
14.9.1 Principios de la OCDE del gobierno corporativo 14.10 Otros temas relacionados
Los principios de la OCDE del gobierno corporativo, modi-
ficados en abril de 2004, precisaron una estructura para 14.10.1 Biblioteca de Infraestructura de TI
buenas prcticas acordada por los 30 pases miembros de la (ITIL, en ingls)
OCDE y se ha convertido en un principio generalmente La ITIL es un acercamiento genrico a la administracin
aceptado (http://www.oecd.org/corporativo). Publicado del servicio de TI, proporciona un conjunto de las mejores
originalmente en 1999, los principios se disean para asistir prcticas, enfocados internacionalmente en sectores pbli-
a los gobiernos y a los organismos de control en la elabo- cos y privados. Se origin en el Reino Unido, est respalda-
racin y cumplimiento de las reglas, regulaciones y de los da por un esquema de calificacin, por organizaciones
cdigos del gobierno corporativo de forma efectiva. En acreditadas de formacin y herramientas de imple-
paralelo, proporcionan una gua para las bolsas de valores, mentacin y evaluacin. Los procesos de las mejores prcti-
los inversores, las compaas y otras que tengan algn rol cas promovidos en ITIL apoyan y son apoyados por la
en el proceso de desarrollar un buen gobierno corporativo. norma del Instituto Britnico de Normas para la gestin de
Aunque los principios de la OCDE no roporcionan una servicio de TI (BS 15000). Mientras que ITIL no exige
gua especfica para controles de TI, otras unidades de la especficamente tener una estructura para control de TI, se
OCDE proporcionan una gua adicional e investigan en debe reconocer y considerar su uso cuando se determina
temas de seguridad y privacidad de la informacin. qu estructura de control se aplicar. Obtenga informacin
adicional en http://www.itil.co.uk/.
14.9.2 Comisin de la EU
El plan de accin de la Comisin Europea sobre la regu- 14.10.2 ISO 9000:2000
lacin de empresas y gobierno corporativo se lanz en mayo Mientras que la ISO 9000 se relaciona especficamente con
de 2003 para consolidar mecanismos de gobierno corporati- los requisitos de calidad de la gestin, no contiene elemen-
vo en entidades de inters pblico (consulte ms detalles tos que contribuyen a los controles de TI relacionados con
en http://europa.eu.int/comm/internal_market/company/ los procesos de control y documentacin. A pesar de que
index_e n.htm). Las iniciativas de gobierno corporativo de no constituye un esquema de control completo de TI, la
la EU no se refieren especficamente a temas de TI, las ISO 9000 puede proporcionar elementos que aporten a la
actividades de la Sociedad de la informacin solidez de los controles de TI para implementar procesos
(http://europa.eu.int/information_society/index _en.htm) slidos. Para obtener ms informacin, visite http://www.
contienen muchos temas especficos sobre controles de TI. iso.ch/iso/en/iso9000-14000/iso9000/ iso9000index.html.
14.9.3 El cdigo combinado del Reino Unido y la 14.10.3 Marco de calidad del Instituto Nacional de
gua de Turnbull Calidad (NQI) de Canad para la excelencia
El cdigo combinado y la gua de Turnbull fueron el acer- del negocio
camiento del Reino Unido al gobierno corporativo. Como la El marco de calidad canadiense para la excelencia del negocio,
Ley Sarbanes-Oxley, no se refieren especficamente al tema desarrollado por el Instituto Nacional de Calidad (NQI), es
de controles de TI, sino que se centran en el marco de con- una estructura para mejorar la calidad. Se basa en los princip-
trol interno de forma global. Se puede encontrar ms infor- ios de calidad y en los criterios originales del sector privado que
macin del IAI-RU e Irlanda en http://www.iia.org.uk/ se han adaptado tambin al sector pblico. Adems, forman la
knowledgecentre/keyissues/corporategovernance.cfm?Actio base de la evaluacin para las concesiones de calidad de
43
GTAG Apndice D Esquemas de cumplimiento 14
44
GTAG Apndice E Evaluacin de los controles de TI
mediante COSO 15
45
GTAG Apndice E Evaluacin de los controles de TI
mediante COSO 15
15.2.4 Informacin y Comunicacin para la eficacia y los debates asociados, constituyen esta
La informacin relevante se debe identificar, capturar y estructura de control interno.
comunicar en un marco de tiempo y forma tal que permita al
personal de la organizacin cumplir con sus responsabili-
dades. Los sistemas de informacin producen la informacin
operativa, financiera y de cumplimiento que posibilita el
funcionamiento y control del negocio. Se ocupan no sola-
mente de datos generados internamente, sino as tambin
sobre cmo las actividades individuales duales se relacionan
con el trabajo de otros. Deben existir medios de comuni-
cacin de informacin significativa en sentido ascendente.
Tambin necesita ser eficaz la comunicacin con las partes
externas, tales como clientes, proveedores, entes reguladores
y accionistas.
15.2.5 Vigilancia/supervisin
Los sistemas de control interno deben ser supervisados para
evaluar la calidad de su funcionamiento en un cierto plazo.
Esto se logra mediante actividades de supervisin, evalua-
ciones especficas, o una combinacin de ambas. La super-
visin tiene lugar durante la ejecucin de las operaciones e
incluye la gestin y supervisin regular de las actividades y
de las otras acciones que realiza el personal en la ejecucin
de sus deberes. El alcance y la frecuencia de las diversas
evaluaciones dependern sobre todo de la evaluacin de
riesgos y de la eficacia de los procedimientos de supervisin
en curso. Las deficiencias de control interno se deben
comunicar de manera ascendente en la organizacin y las
cuestiones de importancia se deben informar a la alta direc-
cin y al consejo de administracin.
Existe sinergia y acoplamiento entre los componentes,
formando un sistema integrado que reacciona dinmica-
mente a las condiciones cambiantes. El sistema de
control interno est interrelacionado con las actividades
operativas de la entidad y existe por razones fundamentales
de negocio. El control interno es ms eficaz cuando los
controles se construyen en la infraestructura de la entidad
y son una parte de la esencia de la empresa. Los controles
incorporados a los procesos apoyan iniciativas de calidad,
potenciacin y desarrollo, evitan costes innecesarios y
permiten dar rpida respuesta a condiciones cambiantes.
Hay una relacin directa entre las tres categoras de
objetivos de COSO (eficacia, fiabilidad, cumplimiento),
que son los que la entidad se esfuerza por alcanzar, y los
componentes necesarios para alcanzar los objetivos.
Todos los componentes son relevantes para cada categora de
objetivos. Al mirar una categora cualquiera, por ejempo,
la eficacia y eficiencia de las operaciones, los cinco
componentes deben estar presentes ejecutndose con
eficacia para concluir que el control interno sobre las
operaciones es eficaz.
La definicin de control interno, con su identificacin
de conceptos fundamentales de un proceso, afectados por
la gente, proveyendo una garanta razonable, junto con
la clasificacin de objetivos, con sus componentes y criterios
46
GTAG Apndice F Objetivos de control de informacin
y tecnologas relacionadas (CobiT) de ITGI 16
Las organizaciones deben satisfacer los requisitos de calidad, fidu- o adquiridas, as como ser implementadas e integradas dentro del
ciarios y de seguridad para su informacin, como tambin para proceso de negocio. Adems, los cambios internos y el manten-
todos los activos. La direccin debe tambin optimizar el uso de imiento de los sistemas existentes son cubiertos por este dominio
los recursos disponibles, incluidos datos, sistemas de aplicacin, para asegurar que el ciclo de vida es continuo para estos sistemas.
tecnologa, instalaciones y el personal. Para cumplir con esas 12. Identificar las soluciones automatizadas.
responsabilidades, as como para alcanzar sus objetivos, la direc- 13. Adquirir y mantener el software de aplicaciones.
cin debe establecer un adecuado sistema de control interno. Por 14. Adquirir y mantener la arquitectura de tecnologa.
consiguiente, debe existir un marco o sistema de control interno 15. Desarrollar y mantener los procedimientos de TI.
para dar soporte a los procesos del negocio y debe estar claro 16. Instalar y acreditar los sistemas.
cmo cada actividad de control individual satisface los requerim- 17. Gestionar los cambios.
ientos de informacin e impacta sobre los recursos. El impacto Entrega y Soporte Este dominio se refiere a la entrega real de
sobre los recursos de TI se destaca en el esquema de CobiT junto los servicios requeridos, que se extienden desde operaciones
con los requerimientos del negocio que se deben satisfacer para tradicionales sobre seguridad y continan con aspectos de forma-
la efectividad, eficacia, confidencialidad, integridad, disponibili- cin. Este dominio incluye el proceso real de los datos por los sis-
dad, cumplimiento, y fiabilidad de la informacin. El control, temas de aplicacin.
que incluye polticas, estructuras organizativas, prcticas y pro- 18. Definir y gestionar los niveles de servicio.
cedimientos, es responsabilidad de la direccin. La direccin, a 19. Gestionar los servicios de terceros.
travs de su gobierno corporativo y de TI, debe asegurar que la 20. Gestionar el rendimiento y la capacidad.
diligencia debida sea ejercida por todos los individuos implicados 21. Asegurar la continuidad del servicio.
en la gestin, as como el uso, diseo, desarrollo, mantenimien- 22. Asegurar la seguridad de los sistemas.
to, o la explotacin de los sistemas de informacin. 23. Identificar y asignar los costes.
La orientacin del negocio es el tema principal de CobiT. Est 24. Educar y entrenar a los usuarios.
diseada no slo para ser empleada por los usuarios y los audi- 25. Asistir y aconsejar a los clientes de TI.
tores, sino que tambin y mucho ms importante, como una lista 26. Gestionar la configuracin.
de comprobacin exhaustiva para los propietarios de los procesos 27. Gestionar los problemas y los incidentes.
de negocio. Cada vez ms, la prctica de negocio implica la 28. Gestionar los datos.
autorizacin total de los propietarios de los procesos de negocio 29. Gestionar las instalaciones.
as ellos tienen la responsabilidad total de todos los aspectos de 30. Gestionar las operaciones.
los procesos de negocio. En particular, esto incluye proporcionar Supervisin y evaluacin Todos los procesos de TI necesitan
controles adecuados. El marco de CobiT proporciona una her- ser evaluados regularmente en un cierto plazo respecto a su cali-
ramienta para el propietario de los procesos de negocio que facili- dad y cumplimiento con los requerimientos de control. Este
ta el cumplimiento de esta responsabilidad. El marco empieza dominio trata as, que la direccin supervise el proceso de con-
con una premisa simple y pragmtica: para proporcionar la infor- trol de la organizacin y el aseguramiento independiente propor-
macin que la organizacin necesita para alcanzar sus objetivos, cionado por la auditora interna y externa u obtenidos desde
es necesario que los recursos de TI sean gestionados por un con- fuentes alternativas.
junto de procesos agrupados de forma natural. 31. Supervisar los procesos.
CobiT contina con un conjunto de 34 objetivos de control 32. Evaluar la adecuacin del control interno.
de alto nivel, uno para cada uno de los procesos de TI, agrupados 33. Obtener el aseguramiento independiente.
en cuatro dominios: 34. Proporcionar la auditora independiente.
Planificacin y Organizacin Este dominio cubre estrategias y Esta estructura cubre todos los aspectos de la informacin y de la
tcticas, y se refiere a la identificacin de la forma en que TI tecnologa que la soporta. Por medio del enfoque en esos 34 obje-
puede contribuir de la mejor manera posible al logro de los obje- tivos de control de alto nivel, el propietario de los procesos de
tivos del negocio. negocio puede asegurar que se proporciona un sistema de control
1. Definir un plan estratgico de TI. adecuado para el entorno de TI.
2. Definir la arquitectura de informacin. CobiT consta de:
3. Determinar la direccin tecnolgica. Un resumen ejecutivo, que proporciona una visin gener-
4. Definir la organizacin y las relaciones de TI. al de los temas y premisas fundamentales de CobiT*.
5. Gestionar las inversiones de TI. El marco de CobiT, que describe detalladamente los obje-
6. Comunicar los objetivos y las directrices de la gerencia. tivos de control de TI de alto nivel e identifica los
7. Gestionar los recursos humanos. requerimientos del negocio para la informacin y los
8. Asegurar el cumplimiento con requerimientos externos. recursos de TI afectados primariamente por cada objetivo
9. Evaluar los riesgos. del control.
10. Gestionar los proyectos. Los objetivos de control, las declaraciones de los resulta-
11. Gestionar la calidad. dos deseados o propsitos a ser alcanzados para la imple-
Adquisicin e Implementacin Para realizar la estrategia de mentacin de los objetivos de control especficos
TI, las soluciones de TI necesitan ser identificadas, desarrolladas, detallados*.
47
GTAG Apndice F Objetivos de control de informacin
y tecnologas relacionadas (CobiT) de ITGI 16
Las pautas de auditora, pasos sugeridos para la auditora
que se corresponden con cada uno de los objetivos de
control de TI.
Un conjunto de herramientas de implementacin, que
proporciona las lecciones aprendidas desde las organiza-
ciones que aplicaron exitosamente CobiT en sus entornos
de trabajo y diversas herramientas para ayudar a la direc-
cin a evaluar su entorno de control relacionado con la
informacin y sus recursos de TI.
Las pautas de la gestin, que estn compuestas por modelos
de madurez para ayudar a determinar las etapas y expecta-
tivas de los niveles de control; factores crticos de xito
para identificar las acciones ms importantes para alcanzar
el control sobre los procesos de TI; indicadores claves de
las metas para definir niveles objetivos del rendimiento e
indicadores clave de rendimiento para medir si el control
del proceso de TI logra su objetivo*.
* Diseado por ITGI e ISACA como norma abierta, esta parte
de COBITse puede descargar de http://www.itgi.org y de
http://www.isaca.org.
CobiT, est ahora en su tercera edicin y est disponible en
copia impresa o en formato interactivo (CobiT en lnea), se
acepta cada vez ms internacionalmente como buena pctica
para control de la informacin, TI y riesgos relacionados. Esta
gua permite a la empresa implementar un efectivo gobierno
sobre TI que sea dominante e intrnseco a travs de la empresa.
Copyright 2000 del ITGI y reproducido con el permiso del ITGI. No se concede ningn otro derecho o permiso con respecto a
este trabajo.
48
GTAG Apndice G Ejemplo de mtricas de control de TI 17
Las siguientes descripciones de mtricas se toman del informe mejor objetivo para cada mtrica, ms alto o ms bajo, para que
borrador de los Equipos de mejores prcticas y mtricas, 17 de sean evidentes en s mismos.
noviembre de 2004, del Grupo de Trabajo de Seguridad de la Supervisar los programas de gestin de riesgos y
Informacin Corporativa (CISWG, en ingls). Durante la Fase I cumplimiento relacionados con la seguridad
del CISWG, convocado en noviembre de 2003 por el de la informacin.
Representante Adam Putnam (Florida), el Equipo de mejores Porcentaje de los activos clave de informacin
prcticas examin la informacin disponible de seguridad de la para los que se ha implementado una estrategia global
informacin. Concluy el informe7 de marzo del 2004 que gran para mitigar los riesgos de la seguridad de la
parte de esta gua est expresada en un nivel relativamente alto informacin, segn sea necesario, y mantener esos
de abstraccin y por lo tanto no es inmediatamente til como riesgos dentro de limites aceptables.
gua para ser procesada sin una elaboracin significativa y a Porcentaje de las funciones claves organizativas
menudo costosa. Se cre un listado de una pgina de los para las que se ha implementado una estrategia global
Elementos del programa de seguridad de la informacin, consid- para mitigar los riesgos de la seguridad de la
erado un contenido esencial para la direccin de una entidad en informacin, segn sea necesario, y mantener esos
su conjunto en los temas de seguridad de la informacin de la riesgos dentro de limites aceptables.
empresa, y en el futuro se espera que se desarrollen guas mane- Porcentaje de los requerimientos claves externos por los
jables para su uso en una amplia variedad de organizaciones. cuales la organizacin ha sido calificada como
Los Equipos de mtricas y mejores prcticas de la Fase II del satisfactoria por una auditora objetiva u otros medios.
CISWG, convocados en junio de 2004, fueron designados para Aprobar y adoptar principios amplios del programa de
ampliar el trabajo de la Fase I, refinaron los Elementos del pro- seguridad de la informacin y aprobar la asignacin de los
grama de seguridad de la informacin y desarrollaron mtricas gerentes clave responsables de la seguridad de la informa-
para respaldar cada uno de los elementos. La meta fue desarrollar cin.
un recurso que ayudara a los miembros del consejo, a los gerentes Porcentaje de los principios del programa de seguridad
y al personal tcnico a establecer una estructura global de princi- de la informacin para los cuales las polticas y controles
pios, polticas, procesos, controles y mtricas de rendimiento para aprobados han sido implementados por la direccin.
apoyar a la gente, los procesos y los aspectos de la tecnologa de Porcentaje de las funciones gerenciales clave de la
seguridad de la informacin. seguridad de la informacin para las cuales se
Estas mtricas genricas se pueden utilizar como base para determinan las responsabilidades, las asignaciones y la
determinar informes regulares de los requerimientos para el autoridad, y se identifican las habilidades requeridas.
comit de auditora, aunque no es una solucin del tipo una sola Esforzarse en proteger los intereses de todos los accionistas,
talla para todos. esto depende de la seguridad de la informacin.
Los Elementos del programa de seguridad de la informacin y Porcentaje de las reuniones del consejo y/o de las
las Mtricas de respaldo tienen la Intencin de hacer posible que reuniones del comit designado para quienes la
los consejos de administracin, la direccin y el personal tcnico seguridad de la informacin es parte de la agenda.
puedan supervisar el estado y el progreso, en un cierto plazo, del Porcentaje de los incidentes de seguridad que causaron
programa de seguridad de la informacin de su organizacin. dao, riesgos, o prdidas ms all de los lmites
Cada organizacin debe considerar cuidadosamente qu elemen- establecidos para los activos, funciones o accionistas de
tos y mtricas del programa pueden ser tiles en sus propias cir- la organizacin.
cunstancias. Deben entonces, fijar sus propias prioridades de Daos o prdidas estimadas en valor econmico
implementacin y establecer una poltica, un proceso, y una como resultado de todos los incidentes de seguridad en
estructura apropiada de control. Las organizaciones ms grandes cada uno de los informes de los ltimos cuatro perodos.
y complejas crearn polticas, procesos y controles en cadaele- Revisar las polticas de seguridad de la informacin con-
mento del programa, estos inevitablemente sern ms extensos siderando los socios estratgicos y a otros terceros.
que los que una organizacin ms pequea puede elegir para Porcentaje de las relaciones de socios estratgicos y otros
implementar. terceros, para quienes se han implementado mediante
acuerdos los requisitos de seguridad de la informacin.
17.1 Mtricas para la junta directiva o el consejo Esforzarse en asegurar la continuidad del negocio.
de administracin Porcentaje de unidades organizativas con un plan
Establecer un programa competente de seguridad de la informa- establecido para la continuidad del negocio.
cin requiere que los miembros del consejo presten atencin a Revisar las provisiones para las auditoras internas y exter-
ciertos elementos de programa. Los miembros del consejo pueden nas del programa de seguridad de la informacin.
utilizar las siguientes mtricas como parte de sus responsabili- Porcentaje de auditoras internas y externas requeridas
dades en cuanto a seguridad de la informacin. que hayan sido terminadas y revisadas por el comit.
Los miembros del consejo generalmente deben encontrar el Porcentaje de los hallazgos de auditora que no se
7 http://reform.house.gov/TIPRC/
49
GTAG Apndice G Ejemplo de mtricas de control de TI 17
han resuelto. Nmero de individuos que pueden asignar los privilegios de
Colaborar con la direccin para especificar las mtricas de seguridad a los sistemas y a las aplicaciones, que no estn
seguridad de la informacin que se informarn al consejo. formados ni autorizados como administradores de seguridad.
Porcentaje de usuarios cuyos privilegios de acceso han
17.2 Mtricas para la direccin sido revisados en el perodo informado, se incluyen:
Las siguientes mtricas y elementos del programa han sido pensa- + Empleados con privilegios de alto nivel a los sistemas
dos para ayudar a la direccin a implementar las metas y polticas y a las aplicaciones.
de seguridad de la informacin establecidas por el consejo como + Todos los dems empleados.
parte de un programa efectivo para dicha seguridad: + Contratistas.
Establecer las polticas y controles de gestin de seguridad + Vendedores.
de la informacin y de supervisin del cumplimiento. + Empleados y contratistas que han causado bajas
Porcentaje de los elementos del programa de seguridad Porcentaje de usuarios a quienes se les han verificado las
de la informacin para los cuales las polticas y controles referencias.
aprobados son operativos. Evaluar los riesgos de la informacin, establecer los limites
Porcentaje de responsabilidades asignadas al personal del riesgo y gestionar activamente su mitigacin.
para los controles y polticas de seguridad de la Porcentaje de los activos crticos de informacin y las
informacin, quienes han reconocido las funciones dependientes de la informacin para los cuales
responsabilidades asignadas en relacin con esas se ha realizado y documentado alguna evaluacin de
polticas y controles. riesgos segn lo requieren las polticas.
Porcentaje de las revisiones de cumplimiento de las Porcentaje de las funciones y los activos crticos para los
polticas de seguridad de la informacin que observaron cuales se ha cuantificado el coste del riesgo (prdidas,
infracciones. daos, divulgacin, o problemas de acceso).
Porcentaje de los responsables de unidades de negocio Porcentaje de los riesgos identificados que tienen un
y gerentes de rango superior, quienes han implementado plan definido de mitigacin, contra el cual se informa la
los procedimientos operativos para asegurar el situacin, de acuerdo con la poltica.
cumplimiento con los controles y las polticas de Asegurar la implementacin de los requerimientos de
seguridad de la informacin aprobados. seguridad de la informacin para los socios estratgicos y
Asignar las funciones, responsabilidades y habilidades otros terceros.
requeridas para la seguridad de la informacin y asegurar su Porcentaje de los riesgos conocidos para la seguridad de
cumplimiento basndose en las funciones y los privilegios la informacin, vinculados a las relaciones con terceros.
de acceso a la informacin. Porcentaje de las funciones o activos crticos de
Porcentaje de los nuevos empleados contratados en el informacin, a los cuales el personal de terceros tiene
perodo informado que realizaron con xito su acceso.
capacitacin de concienciacin en seguridad antes de Porcentaje del personal de terceros con privilegios
otorgarles acceso a la red. actualmente de acceso a la informacin que una
Porcentaje de los empleados que han completado su autoridad determinada ha considerado como necesidad
capacitacin de actualizacin peridica en de acceso continuo de acuerdo con las polticas.
concienciacin en seguridad, tal como lo requieren las Porcentaje de sistemas con funciones y activos crticos
polticas. de informacin que estn conectados electrnicamente
Porcentaje de las descripciones de los puestos de trabajo con sistemas de terceros.
que definen, en relacin con la seguridad de la Porcentaje de los incidentes de seguridad que implican
informacin, las funciones, responsabilidades, habili a personal de terceros.
dades, y las certificaciones para: Porcentaje de los acuerdos con terceros que incluyen o
+ Gerentes y administradores de seguridad. demuestran verificacin externa de polticas y de
+ Personal de TI. procedimientos.
+ Personal en general usuario de los sistemas. Porcentaje de las relaciones con terceros que se han
Porcentaje de las revisiones de desempeo de los revisado en cuanto al cumplimiento con requerimientos
puestos de trabajo que evalan las responsabilidades de de seguridad de la informacin.
seguridad de la informacin y de cumplimiento de las Porcentaje de los hallazgos de no cumplimientos, que se
polticas. han corregido desde la ultima revisin.
Porcentaje de las funciones de usuario, sistemas y Identificar y clasificar los activos de informacin.
aplicaciones que cumplen con el principio de separacin Porcentaje de los activos de informacin que han sido
de funciones. revisados y clasificados por el propietario designado de
Nmero de individuos con acceso al software de seguridad acuerdo con el esquema de clasificacin establecido por
que no han sido capacitados ni autorizados como admin- la poltica.
istradores de seguridad. Porcentaje de los activos de informacin con privilegios
50
GTAG Apndice G Ejemplo de mtricas de control de TI 17
de acceso definidos que han sido asignados en base a las
funciones y de acuerdo con la poltica.
Fecha de ltima actualizacin del inventario de activos.
Implementar y probar los planes de continuidad del negocio
Porcentaje de unidades organizativas con un plan de
continuidad del negocio documentado para los cuales se
han asignado responsabilidades especificas.
Porcentaje de los planes de continuidad del negocio que
se han revisado, ejercitado y probado y actualizado de
acuerdo con la poltica.
Aprobar la arquitectura de los sistemas de informacin
durante la adquisicin, el desarrollo, las operaciones y el
mantenimiento
Porcentaje de los riesgos de seguridad de la informacin
relacionados con la arquitectura de sistemas, que han
sido identificados en la evaluacin de riesgos ms
reciente y que se han mitigados adecuadamente.
Porcentaje de los cambios en la arquitectura de sistemas
(adiciones, modificaciones, o eliminaciones) que fueron
revisados en relacin con los impactos de seguridad,
luego, fueron aprobados por la autoridad apropiada y
documenta dos va formularios de peticiones de cambios.
Porcentaje de las funciones y activos crticos de
informacin que residen en los sistemas que no cumplen
con la arquitectura de sistemas aprobada.
Proteger el entorno fsico.
Porcentaje de las funciones y activos organizativos y
crticos de informacin que han sido revisados desde la
perspectiva de riesgos fsicos, como controlar el acceso
fsico y la proteccin fsica de medios de respaldo.
Porcentaje de las funciones y activos organizativos y
crticos de informacin expuestos a riesgos fsicos, para
los que se han implementado acciones de mitigacin de
riesgos.
Porcentaje de activos crticos que se han revisado desde
la perspectiva de riesgos ambientales, como temperatura,
fuego, e inundaciones.
Porcentaje de servidores en lugares con acceso fsico
controlado.
Porcentaje de los requerimientos de ley y regulaciones
aplicables a la seguridad de la informacin, que se
incluyen en los programas y calendarios de auditora
interna y externa.
Porcentaje de las auditoras de seguridad de la
informacin realizadas en cumplimiento de los
programas y calendarios aprobados de auditora interna y
externa.
Porcentaje de las acciones gerenciales en respuesta a los
resultados de los hallazgos y recomendaciones de
auditora, que fueron implementadas segn lo acordado
en relacin con la oportunidad y al grado de
completado.
Colaborar con el personal de seguridad para especificar las
mtricas de seguridad de la informacin que sern infor-
madas a la direccin.
51
GTAG Apndice H Cuestionario del DEA 18
Los directores de auditora interna pueden utilizar este cuestionario para examinar su estructura de control de TI a fin de ase-
gurar que la organizacin ha considerado todos los elementos de control. El cuestionario puede ayudar al director ejecutivo de
auditora interna a entender los elementos y el plan para una cobertura total de auditora interna de las reas de control.
Acciones Preguntas
1. Identificar el entorno de control de TI de la organi- 1. Existen polticas y normas corporativas que describan
zacin, se incluyen: la necesidad de controles de TI?
a. Valores.
b. Filosofa.
c. Estilo de gestin.
d. Conocimiento de TI.
e. Organizacin.
f. Polticas.
g. Normas.
2. Identificar la legislacin relevante y la regulacin que 2. Qu legislacin existe que impacte sobre la necesidad
afectan al control de TI, como de controles de TI?
a. Gobierno. 3. La direccin ha tomado medidas para asegurar el
b. Informacin a emitir. cumplimiento de esta legislacin?
c. Proteccin de datos.
d. Cumplimiento legal
3. Identificar las funciones y responsabilidades sobre los 4. Se han asignado todas las responsabilidades rele-
controles de TI en relacin a lo siguiente: vantes de controles de TI a funciones individuales?
a. Consejo de administracin 5. Es compatible la asignacin de responsabilidades con
i. Comit de Auditora la aplicacin de la separacin de funciones?
ii. Comit de Riesgos
6. Estn documentadas las responsabilidades deTI?
iii. Comit de Gobierno
iv. Comit de Finanzas 7. Se han comunicado las responsabilidades de control
de TI a toda la organizacin?
b. Direccin
i. Presidente 8. Los responsables individuales de cada funcin,
ii. Director Financiero y Contralor entienden claramente sus responsabilidades en cuan-
iii. Director de TI to a controles de TI?
iv. Director de Seguridad 9. Qu evidencia hay de que los titulares de las fun-
v. Director de Seguridad de la Informacin ciones han ejercido sus responsabilidades?
vi. Asesora Jurdica
10. La auditora interna emplea los suficientes especialis-
vii. Director de Riesgos
tas de auditora de TI para centrarse en aspectos del
c. Auditora. control de TI?
i. Interna
ii. Externa
52
GTAG Apndice H Cuestionario del DEA 18
Acciones Preguntas
4. Identificar el proceso de evaluacin de riesgos. Este 11. Cmo se determina la aceptacin de riesgo y la
cubre los siguientes aspectos?: tolerancia al riesgo de la organizacin?
a. Aceptacin del riesgo. 12. La aceptacin y tolerancia al riesgo de la organi-
b. Tolerancia al riesgo. zacin han sido autorizadas en el nivel del conse-
jo?
c. Anlisis de riesgos.
13. La aceptacin y tolerancia al riesgo son concep-
d. Comparacin de riesgos con los controles de TI. tos claramente comprendidos por todos aquellos
que tienen responsabilidad en el control de TI?
14. Existe un proceso formal de anlisis de riesgos
dentro de la organizacin?
15. Todos aquellos con responsabilidades en el con-
trol de TI comprenden el proceso?
16. Se utiliza el proceso de manera consistente en
toda la organizacin?
5. Identifique todos los procesos de supervisin, incluidos 17. Qu procesos existen para supervisar el
los siguientes: cumplimiento de la legislacin relevante, adems
de las polticas y las normas internas?
a. Regulatorios.
18. Hay procesos de supervisin realizados por la
b. Internos a la empresa.
direccin por fuera de las revisiones de auditora
c. Otros, excepto los de auditora interna. interna?
53
GTAG Apndice I Referencias 19
La siguiente lista de material de referencia sobre la seguridad Broad Functional Principles. Detailed Principles are under
de la informacin, ha sido tomada de una lista compilada por development. http://www.issa.org/gaisp/gaisp.html.
el CISWG del Subcomit de Poltica de Tecnologa de la Generally Accepted Principles and Practices (GAPP),
Informacin, Relaciones Intergubernamentales y Censo; NIST SP 800-18. Guide for Developing Security Plans
Comit de Reforma de Gobierno, de la Cmara de for Information Technology Systems, December 1998
Representantes de Estados Unidos. (Marianne Swanson & Barbara Guttman), eight generally
Los documentos se clasifican en tres secciones referentes accepted principles (see OECD) and Common IT Security
a gobierno, direccin y aspectos tcnicos. Practices. http://csrc.nist.gov/publications/nistpubs/
index.html.
19.1 Gobierno
Board Briefing on IT Governance, ITGI ICC Handbook on Information Security Policy for Small
http://www.itgi.org/Template_ITGI.cfm? to Medium Enterprises, International Chamber of
Section=ITGI&CONTENTID=6658&TEMPLATE=/ Commerce (ICC), http://www.iccwbo.org/home/e_business/
ContentManagement/ContentDisplay.cfm. word_documents/SECURITY-final.pdf.
Information Security Governance: Guidance for Boards of IFAC International Guidelines on Information
Directors and Executive Management, ITGI, Technology Management Managing Information
http://www.itgi.org. Technology Planning for Business Impact, International
Federation of Accountants, http://www.ifac.org.
Information Security Management and Assurance, Three
report series from The IIA National Association of Information Security for Executives, Business and Industry
Corporate Directors (NACD), U.S. Critical Infrastructure Advisory Committee to the OECD and ICC,
Assurance Office, et al., http://www.theiia.org/esac/ http://www.iccwbo.org/home/e_business/word_documents/
index.cfm?fuseaction=or&page=rciap. SECURITY-final.pdf.
Information Security Oversight: Essential Board ISO 17799 Information Technology Code of Practice
Practices, NACD, http://www.nacdonline.org/publications/ for Information Security Management, International
pubDetails.asp?pubID=138&user=6158BBEB9D7C4EE0B9 Organization for Standardization (ISO),
E4B98B601E3716. http://www.iso.org/iso/en/CatalogueDetailPage.Catalogue
Detail?CSNUMBER=33441&ICS1=35&ICS2=40&ICS3.
IT Governance Implementation Guide, ISACA,
http://www.isaca.org/Template.cfm?Section=Browse_By_To OECD Guidelines for the Security of Information Systems
pic&Template=/Ecommerce/ProductDisplay.cfm&ProductI and Networks, nine pervasive principles for information
D=503. security upon which several other guides are based, OECD,
http://www.oecd.org/document/42/0,2340,en_2649_33703_
Turnbull Report - Internal Control - Guidance for 15582250_1_1_1_1,00.html.
Directors on the Combined Code, Institute of Chartered
Accountants in England & Wales, http://www.icaew.co.uk/ Standard of Good Practice for Information Security,
index.cfm?AUB=TB2I_6242,MNXI_47896. Information Security Forum, http://www.isfsecuritystan-
dard.com/index_ie.htm.
19.2 Direccin
BS 7799 Parts 1 & 2, Code of Practice for Information Trust Services Criteria (including SysTrust and
Security Management, British Standards Institution, WebTrust), American Institute of Certified Public
http://www.bsi.org.uk. Accountants, http://www.aicpa.org/trustservices.
Common Sense Guide for Senior Managers, Internet 19.3 Aspectos Tcnicos
Security Alliance, www.isalliance.org. Consensus Benchmarks, Center for Internet Security,
http://www.cisecurity.org.
Corporate Information Security Evaluation for CEOs,
TechNet, http://www.technet.org/cybersecurity. DISA Security Technical Implementation Guides,
http://www.csrc.nist.gov/pcig/cig.html.
Generally Accepted Information Security Principles
(GAISP), Information Systems Security Association. ISO 15408 Common Criteria, http://www.csrc.nist.gov/cc/
Currently available: Generally Accepted Systems Security ccv20/ccv2list.htm.
Principles (GASSP) consisting of Pervasive Principles and
54
GTAG Apndice I Referencias 19
19.4 Auditora de TI
Control Objectives for Information and Related
Technologies (CobiT), ISACA, http://www.isaca.org.
55
GTAG Apndice J Glosario 20
Se adjunta un listado de los trminos tcnicos usados en la Controles de TI Aquellos controles que proporcionan
gua con una definicin simple y sencilla. garanta razonable de desempeo seguro, fiable y
resilient del hardware, software, procesos y el personal,
Activos de informacin Los activos de informacin estn as como de la fiabilidad en la informacin de la organi-
basados en el valor de la informacin para la importancia zacin.
y la existencia continua de la organizacin. Se hace una
distincin entre activos de informacin y recursos de infor- COSO Son las siglas del Comit de Organizaciones
macin, porque se considera que estos ltimos general- Patrocinadoras de la Comisin de Treadway. Consulte
mente incluyen los relacionados con recursos humanos y http:// www. coso.org/key.htm.
los recursos humanos no son considerados como propiedad
de la organizacin. CRM Customer resource management, se traduce como
Gestin de recursos de clientes.
Aseguramiento Se refiere al acto de asegurar; una
declaracin que tiende a inspirar plena confianza; algo que CSO Director de Seguridad.
se disea para dar confianza.
Efectividad / Eficacia Realizar un trabajo con o sin condi-
Ataque ciberntico Un acto criminal perpetrado mediante cin de eficiencia. Si la legislacin requiere que se realice
el uso de computadoras y capacidades de telecomunica- algo, es probable que no requiera que se realice de manera
ciones que da como resultado violencia, destruccin y/o eficiente, tal como se evidencia con el cumplimiento de la
problemas en los servicios para crear temor al causar con- Ley Sarbanes-Oxley y las quejas frecuentes sobre este
fusin e incertidumbre dentro de una poblacin dada, con cumplimiento que hace que las empresas gasten grandes
el objetivo de influir en un gobierno o una poblacin para sumas sin valor agregado aparente para la organizacin o
que cumplan con una agenda especial: poltica, social, o para los accionistas.
ideolgica.
Eficiencia Para ser eficiente, un proceso o una actividad
CAE Chief audit executive, se traduce como Director debe ser tambin eficaz. Los estudios del instituto
Ejecutivo de Auditora (DEA). Information Technology Process Institute muestran cmo
las organizaciones mejor consideradas disfrutan de la efi-
CEO Chief executive officer, se traduce como Presidente. ciencia al mantener un conjunto de controles eficaces que
supervisan y resuelven el origen del problema, antes que
CFO Chief financial officer (Controller), se traduce como responder solamente a los sntomas.
Director Financiero (Contralor)
Gestin de riesgos La permanente identificacin,
CIO Chief information officer, se traduce como Director medicin y mitigacin del riesgo a travs de una
de TI. implantacin de medidas demostrables, eficientes en
relacin al coste, y la administracin del control sobre los
CISO Chief information security officer, se traduce como riesgos y amenazas conocidos o conocibles que pueden
Director de Seguridad de la Informacin. afectar negativamente la confidencialidad, integridad o
disponibilidad de la informacin de una organizacin.
CLC Chief legal council, se traduce como Asesora
Jurdica. GLBA U.S. Gramm-Leach-Bliley-Act, Ley Gramm-
Leach-Bliley de EE. UU.
Control general Un control que se aplica generalmente al
entorno de TI o al conjunto mixto de sistemas, redes, Gobierno La combinacin de procesos y estructuras
datos, personas, o procesos (tambin conocido como implantadas por el Consejo para informar, dirigir, gestionar
infraestructura de TI). y supervisar las actividades de la organizacin para el
cumplimiento de sus objetivos.
Controles de aplicacin Un control relacionado con el
funcionamiento especfico de un sistema de aplicacin que Grado de aceptacin de riesgo Definido por COSO como
da soporte a un proceso de negocio especfico. Las aplica- el grado de riesgo, en trminos generales, que una com-
ciones habituales incluyen cuentas a pagar, gestin de paa u otra organizacin, est dispuesta a aceptar en la
inventarios y libro mayor. Las aplicaciones integradas com- consecucin de sus objetivos. La direccin considera el
binan las funciones de muchos procesos de negocio en sis- grado de aceptacin del riesgo de la organizacin,
temas integrados que comparten bases de datos comunes. primero, al evaluar alternativas estratgicas, luego, al
56
GTAG Apndice J Glosario 20
establecer los objetivos en lnea con la estrategia selec- cacin, prdida, uso, tanto intencional como accidental.
cionada y por ltimo, al desarrollar mecanismos para ges-
tionar los riesgos relacionados. Tecnologa de la informacin (TI) Todos los componentes
de hardware y software utilizados para procesar informa-
GTAG Global Technology Audit Guide Gua de cin y proporcionar comunicaciones, los procesos de
Auditora de Tecnologa Global. administracin y mantenimiento de tecnologa y los recur-
sos humanos asociados con el uso de la tecnologa.
HIPAA U.S. Health Information Portability and
Accountability Act, se ha traducido como Ley de Tolerancia al riesgo Definida por COSO como el nivel
Responsabilidad y Portabilidad del Seguro Mdico de EE. aceptable de variacin relativa al logro de objetivos. Al
UU. determinar las tolerancias especficas al riesgo, la direccin
considera la importancia relativa de los objetivos rela-
Infraestructura de TI El entorno global de TI, incluyen- cionados y alinea la tolerancia al riesgo con su grado de
do sistemas, redes, datos, personas y procesos. Las aceptacin de riesgo (o con el riesgo que est dispuesta a
infraestructuras pueden tambin incluir la interaccin de asumir).
negocios e industrias a travs de un soporte mutuo por
medio de compartir recursos y servicios, como Internet,
energa, servicios financieros, empresas de servicios, gob-
ierno y transportes. En la medida en que estas infraestruc-
turas soportan economas nacionales o regionales, defensas
y continuidad de negocio, se conocen como infraestruc-
turas crtica.
57
GTAG Apndice K Sobre el GTAG 21
58
GTAG Apndice L Socios y Equipo Global
del Proyecto GTAG 22
En este proyecto de GTAG, se han unido al IIA, un equipo CMU/SEI Julia Allen, Bob Rosenstein, Carnegie-Mellon
especialmente seleccionado de asociaciones profesionales, University/Software Engineering Institute
instituciones acadmicas y profesionales de auditora y de
tecnologa. El IIA est agradecido por el respaldo propor- ISSA Dave Cullinane, President; Bob Daniels, Exec Vice
cionado por este equipo ya que la gua no hubiera sido posi- President, Information Systems Security Association
ble sin ellos. Para que el IIA pueda proporcionar
orientaciones a los auditores sobre cmo relacionarse con los NACD Peter Gleason, Alex Lajoux, National
clientes de auditora, ha sido esencial obtener el consenso de Association of Corporate Directors
los representantes clave de estos clientes. Para dirigirse a una
audiencia global, la gua debe tener el consenso de un amplio SANS Institute Alan Paller, Director of Research,
grupo representante de los diversos pases donde los audi- Stephen Northcutt, COO
tores realizan su trabajo. Por lo tanto, agradecemos a las per-
sonas y a las organizaciones que han contribuido tanto a esta
gua. 22.3 Equipo de Revisin del Proyecto
Michael R. Dickson, Business Technology Group, LLC Sylvia Boyd, The IIA
Clint Kreitner, President/CEO, CIS, The Center for Alexandra Branisteanu, Information Security Officer,
Internet Security Scripps Health, San Diego, USA
Alex Lajoux, NACD, National Association of Corporate Larry Brown, Options Clearing Corp.
Directors
Stephanie Bryant, University of South Florida
Will Ozier, Vice Chair, the ISSA GAIS Committee CEO
& President OPA Inc., The Integrated Risk Phil Campbell, Specialized IT, LLC, USA
Management Group, USA
John Carlson, BITS, Banking Industry Technology
Mark Salamasick, CIA, University of Texas at Dallas Secretariat
Karyn Waller, AICPA, American Institute of Certified Chris Compton, Intrusion Labs
Public Accountants
Guy Copeland, CSC, Computer Sciences Corp.
CIS Clint Kreitner, Center for Internet Security Bob Dix, U.S. House of Representatives
59
GTAG Apndice L Socios y Equipo Global
del Proyecto GTAG 22
Jerry E. Durant, CIA, President, Certifiable Technologies Paul Moxey, ACCA, Association of Chartered Certified
Ltd., Orlando, Fla., USA Accountants
Emily Frye, Critical Infrastructure Protections Program, Roseane Paligo, CIA, Chief Financial Officer, 1st Choice
George Mason University, School of Law, USA Community Federal Credit Union, USA
Protections Program
Fred Palmer, Palmer Associates
Greg Garcia, ITAA, Information Technology Association of
America Xenia Parker, CIA, CFSA, VP, Enterprise Technology
Group, Marsh Inc.,
Russ Gates, Dupage Consulting LLC
Bernie Plagman, TechPar Group
Lou Giles, Chevron Phillips Chemical Co.
Heriot Prentice, MIIA, FIIA, QiCA, The IIA
Doug Guerrero, EDS
Dick Price, Beacon IT Ltd., BS 7799 Consultancy, USA
Kai Tamara Hare, Nuserve
Michael Quint, Corporate Compliance Officer, EDS
Michael S. Hines, CIA, Purdue University Corporate Audit, USA
Bob Hirth, Protiviti Sridhar Ramamoorti, CIA, CFSA, Ernst & Young LLP,
Chicago, IL, USA
Don Holden, CISSP, Concordant Inc., USA
Amy Ray, Bentley College
Dave Kern, Ethentica
Martin Ross, GSC, Global Security Consortium
Gene Kim, CTO, Tripwire Inc., USA
Chip Schilb, EDS, USA
Jim Kolouch, BearingPoint
Howard Schmidt, eBay
David Kowal, VP, JP Morgan Chase
Mark Silver, Symantec
Paul Kurtz, CSIA, Cyber Security Industry Alliance
George Spafford, President, Spafford Global Consulting,
Cindy LeRouge, Ph.D., Decision Sciences/MIS Department Saint Joseph, IL, USA
John Cook School of Business, St. Louis University, USA Adam Stone, Assurant
Andre Lavigne, CICA, Canadian Institute of Chartered Jay H. Stott, CIA, Fidelity Investments
Accountants
Dan Swanson, CIA, IIA
Debbie Lew, Guidance Software
Jay R. Taylor, CIA, CISA, CFE, General Motors
Brenda Lovell, CIA, CCSA, CGAP, The IIA Corporation
Warren Malmquist, Adolph Coors Co. Bill Tener, University & Community College System of
Nevada
Stacy Mantzaris, CIA, IIA
Archie Thomas
Dennis Miller, Heritage Bank
Fred Tompkins, BearingPoint
Patrick Morrissey, Auditwire
Don Warren, Rutgers University
Bruce Moulton, Symantec
Dominique Vincenti, CIA, The IIA
60
GTAG Apndice L Socios y Equipo Global
del Proyecto GTAG 22
Mark Winn, Intrusec Ariel Peled, President, ISSA Israeli Chapter
P. Shreekanth, India
Amit Yoran
Karen Woo, Selangor, Malaysia
22.4 Institutos internacionales del IIA
22.6 Comit Internacional de Tecnologa
Frank Alvern, CIA CCSA, Nordea Bank, Noruega Avanzada del IIA
Dr. Ulrich Hahn, CIA, Suiza Norman F. Barber, Microsoft Corp., USA
Rossana S. Javier, Makati City, Filipinas David F. Bentley, QiCA, Consultant, England
Christopher McRostie, Australia Michael P. Fabrizius, CIA, Bon Secours Health System
Inc., USA
Furqan Ahmad Saleem, Partner, Avais Hyder Nauman
Rizwani RSM, Pakistan Ramiz Tofigi Ganizade, Azerbaijan Republic Chamber of
Auditors, Azerbaijan
Kyoko Shimizu, CIA, Japn.
Douglas Guerrero, EDS Corp., USA
John Silltow, Security Control and Audit Ltd., Reino
Unido Dr. Ulrich Hahn, CIA, Syngenta International,
Switzerland
Ken Siong, Federacin Internacional de Contadores
David J Hill, IBM Corp., USA
Anton van Wyk, PwC, Sudfrica
Michael S. Hines, CIA, Purdue University, USA
Nick Wolanin, Conferencista Senior Adjunto, graduado uni-
versitario de Australia. Mark J. Hornung, Ernst & Young LLP, USA
22.5 Otros profesionales internacionales David S. Lione, KPMG LLP Southeast Region, USA
Carolee Birchall, Vice President and Senior Risk Officer, Peter B. Millar, ACL Services Ltd., Canada
Bank of Montreal, Canada
Allan M. Newstadt, CIA, World Bank/International
P. J. Corum, Quality Assurance Institute, Middle East and Finance Corp., USA
Africa, United Arab Emirates
Brenda J. S. Putman, CIA, City Utilities of Springfield, USA
61
GTAG Apndice L Socios y Equipo Global
del Proyecto GTAG 22
Michael Feland
Trish Harris
Tim McCollum
62
Controles de tecnologa de la informacin
Esta gua describe cmo se distribuyen los roles de TI y las responsabilidades
en la organizacin, cmo se logra una evaluacin precisa de los controles de
TI y cmo la organizacin puede fomentar la confiabilidad y eficiencia de
TI.
Qu es GTAG?
La Gua de Auditora de Tecnologa Global (GTAG) ha sido preparada por
el Instituto de Auditores Internos y est escrita en un lenguaje de negocios
claro y directo para abordar temas de actualidad relacionados con la gestin,
el control o la seguridad de la tecnologa de la informacin. GTAG es una
coleccin de recursos lista para ser utilizada por los directores ejecutivos de
auditora en la educacin de los miembros del Consejo de Administracin y
del Comit de Auditora, Direccin, propietarios de los procesos y otros en
lo que respecta a riesgos asociados a la tecnologa y prcticas recomendadas.
www.theiia.org