Estndares de Auditora Informtica y de Seguridad

Una auditora se realiza con base a un patrn o conjunto de directrices o buenas

prcticas sugeridas. Existen estndares orientados a servir como base para
auditoras de informtica. Uno de ellos es COBIT (Objetivos de Control de la
Tecnologas de la Informacin), dentro de los objetivos definidos como parmetro,
se encuentra el "Garantizar la Seguridad de los Sistemas". Adicional a este
estndar podemos encontrar el estndar ISO 27002, el cual se conforma como un
cdigo internacional de buenas prcticas de seguridad de la informacin, este
puede constituirse como una directriz de auditora apoyndose de otros
estndares de seguridad de la informacin que definen los requisitos de auditora
y sistemas de gestin de seguridad, como lo es el estndar ISO 27001.

IEDGE Estndares para la Gestin de TI, primera

parte
1.- Estndares para la Gestin de las Tecnologas de la Informacin
Cuando miles de empresas y organizaciones en cientos de pases se encuentran
con los mismos problemas en la gestin de sus los Proyectos Informticos y en
general con la gestin de las Tecnologas de la Informacin, uno se pregunta si
no existirn soluciones ya probada y suficientemente extendida como para que
no tengamos que inventarnos nosotros una solucin desde cero.
La buena noticia es que existen buenas prcticas y estndares para la Gestin
de Proyectos, Gestin de los Servicios y en general para la Gestin de los
Departamentos de TI. La mala noticia es que no hay un solo estndar, hay
prcticamente cientos.

Ilustracin 1: Estndares relacionados con la Gestin de las Tecnologas de la

Informacin
En este grfico se recoge de forma sucinta algunos de los estndares ms
difundidos que tienen relacin con la gestin de TI, desde estndares de calidad
como TQM o 6 Sigma que son aplicados en empresas y departamentos de
informtica como medio de mejora, a sistemas de control empresarial
como SOX en Estados Unidos o BASILEA en Europa que van incorporando cada
da ms controles operativos que afectan a TI; pasando por estndares de gestin
o Gobierno de TI como funcin especfica dentro de las empresas
como VALIT o ISO38500; siguiendo por estndares de Auditora
Informtica como COBIT; guas de Gestin de Servicios de TI como ITIL o
de Madurez en el Desarrollo como CMMI; hasta llegar a marcos de referencia
para la Gestin de Proyectos (no necesariamente informticos)
como PMBOK o PRINCE2, o metodologas orientadas al Desarrollo de
Software como RUP o SCRUM.
Slo dar un vistazo a este tipo de cuadro produce bastante desconcierto, he
incluso un poco de vrtigo. Todos desearamos que fuera ms sencillo, que

hubiera una norma, una gua o un estndar que todos pudiramos seguir y de
esta forma garantizar el xito de nuestros proyectos.
La realidad es que no existe una respuesta sencilla y adems, hay muchas
organizaciones ms o menos interesadas en darnos una respuesta. Debemos
entender que detrs de todo estndar, gua o norma existen una gran cantidad de
certificaciones, cursos y servicios que hacen ganar dinero a bastante gente.
Muchas de estas guas, normas y estndares son tiles, pero tambin esconden
ciertos costes que debemos pagar para poder aprovecharlas.
Para complicarlo un poco ms, algunos de estos estndares y normativas han
producido casos de burocratizacin excesiva de la gestin, cargando de
documentos y controles los procesos, pero sin producir realmente un efecto
realmente significativo sobre el xito de los proyectos.
Vamos a intentar despejar un poco este mare magnum de siglas y veamos
algunos de los estndares y normativas ms extendidas y ms tiles de las que
se utilizan en los diferentes niveles de Gestin de los Sistemas y Tecnologas de
la Informacin, desde el Gobierno de TI hasta la Gestin de Proyectos.
2.- Estndares para el Gobierno de TI
El Gobierno de las Tecnologas de la Informacin o Gobierno de TI es, segn el
IT Governance Institute (ITGI), es el conjunto de herramientas y mtodos que
ayuda a la Alta Gerencia asegurar que la organizacin obtenga un ptimo valor de sus
inversiones de negocio relacionadas a TI, a un costo manejable y bajo un nivel de
riesgo aceptable. Es por lo tanto el gobierno de ms alto nivel de la gestin de las
tecnologas de la informacin, aquel que permite alinear los objetivos de negocio
y los objetivos de la empresa.
Entre los estndares que han surgido en este nivel de Gobierno de TI podemos
destacar VALIT, creado por el ITGI, y que organizar el conjunto total de prcticas
de la direccin de TI en tres reas:

Gobierno del Valor (GV): establece el marco de trabajo general, la direccin

estratgica de TI, las caractersticas deseadas del portafolio de inversiones,
as como las restricciones y limitaciones aplicables para decidir las
inversiones.

Gestin de la Inversin (IM): basndose en los requerimientos del negocio,

se definen los programas de inversin y se realiza una valoracin de los
mismos para determinar si son enviados al proceso de gestin de

portafolios para su evaluacin, evaluando su alineamiento a la objetivos

estratgicos, su nivel de riesgo y la generacin de valor para el negocio.

Gestin del Portfolio (PM): se evala y prioriza los proyectos basndose en

las restricciones de recursos y costos, e incorpora los proyectos
seleccionados al portafolio (cartera) de proyectos activos de la compaa.

Recientemente se ha publicado un estndar ISO sobre el Gobierno de TI,

la ISO/IEC 38500:2008 IT Governance Standard. Esta norma agrupa una gran
cantidad de estndares dispersos y ofrece un marco general de referencia para la
direccin de los Sistemas de Informacin y la Tecnologas de la Informacin en las
empresas y organizaciones, que est teniendo una gran acogida en el mercado.

Ilustracin 2: Esquema de la ISO/IEC 38500:2008 (fuente AENOR)

Para ms informacin sobre VALIT pueden consultar
www.itgi.org/valit/index.html
Para ms informacin sobre ISO/IEC 38500:2008 pueden
consultar http://www.38500.org/ y http://www.iso.org/iso/catalogue_detail?
csnumber=51639

3.- Estndar para la Auditora de TI

El estndar ms ampliamente difundido y utilizado para la Auditora de
TI es COBIT, creado por la ISACA. Est gua va mucho ms all de la auditora, y de
hecho es utilizada por muchas organizaciones como una gua de buenas
prcticas en la Gestin de los Sistemas y las Tecnologas de la Informacin.
La gua de COBIT es realmente completa, adems de ser muy madura (ya se ha
publicado su versin 5). Cubre prcticamente todos los aspectos que se deben
tener en cuenta para una correcta gestin de los Sistemas y Tecnologas de la
Informacin en una empresa u organizacin.

Ilustracin 3: El Cubo de COBIT (fuente ISACA)

Para ms informacin sobre COBIT pueden consultar http://www.isaca.org/COBIT
4.- Estndar para la gestin de los servicios de IT
Si vamos descendiendo dentro de las actividades de gestin de los
departamentos de TI, nos encontramos que prcticamente la totalidad de sus
procesos pueden ser descritos como servicios que prestan estos departamentos
al conjunto de la empresa. Siguiendo esta orientacin a servicios fue

creado ITIL (Information Technology and Infraestructure Library) por la Central

Computer and Telecommunications Agency (CCTA) del Gobierno Britnico.
Este es un estndar ampliamente reconocido para la gestin de los servicios de
TI, orientado a conseguir un alto nivel de disponibilidad de dichos servicios y un
alto nivel de satisfaccin de clientes y usuarios de estos servicios.
Los procesos ITIL estn alineados con el estndar de calidad ISO 9000 y se
encuentran vinculados con el Modelo de Excelencia de la EFQM (European
Foundation for Quality Management), adems de haber sido adoptados por el
estndar ISO 20000.
Les recomendamos que lean el post IEDGE Fundamentos de la Gestin TI
en http://www.iedge.eu/tecnologia-sistemas-informacion/erp-crm-scm/carlosmelendez-fundamentos-de-la-gestion-ti/ donde se hace una descripcin de ITIL.
Para ms informacin sobre ITIL tambin pueden consultar http://www.itilofficialsite.com/
En el siguiente post continuaremos esta descripcin de los principales estndares
para la Gestin de TI, en concreto veremos CMMI como modelo de madurez en
el desarrollo de software y PMBOK como gua para la gestin de proyectos.