AUDITORA INFORMTICA Los activos de los sistemas de informacin
Segn la Real Academia Espaola: Conjunto de todos los bienes y derechos con valor monetario que son propiedad de una empresa, institucin o individuo, y que se reflejan en su contabilidad. Esta definicin est muy orientada al entorno financiero.
Segn International Standard Organization (ISO): Algo que tiene valor para la organizacin. ISO/IEC 13335-1:2004.
Por tanto, un activo, en su concepcin ms amplia, puede ser un fichero informtico, un dispositivo electrnico, pero tambin lo son las personas, las ubicaciones, los servicios de informacin, la documentacin en papel, es decir, lo que tiene valor para la organizacin.
Un activo de Sistemas de Informacin (SI) es todo aquello que una entidad considera valioso por contener, procesar o generar informacin necesaria para el negocio de la misma.
Entendiendo el valor como la propiedad de los objetos que representa su nivel de importancia5 es la propia organizacin quien clasifica el valor de sus activos de SI. En la prctica organizativa no es tarea fcil (y de ello depende en buena medida el correcto gobierno) determinar el valor de los activos de SI, de manera que una sobrevaloracin conduce a una menor eficiencia y un infravaloracin puede provocar riesgos y conducir a una menor eficacia en los logros de los objetivos del negocio.
Por tanto, la determinacin del valor de los activos de SI, sin ser una tarea sencilla, es un cometido primordial para el aseguramiento de la gobernanza TIC. ACTIVOS DE SISTEMAS DE INFORMACIN Humanware. Son las personas. Es el activo ms importante en una empresa y seguramente uno de los ms complicados de gestionar. Es el msculo organizativo y no se puede comprar. Su actitud, competencia y compromiso, que son claves en la consecucin de los objetivos del negocio, requieren de habilidades de liderazgo dependientes a cada organizacin.
Datos (informacin). La informacin de una empresa es fundamental para el negocio. La informacin propia no se puede comprar sino que es generada, almacenada y procesada por cada organizacin para el sustento de la toma de decisiones y la adecuada gobernanza.
Software. Comprende las aplicaciones que utiliza cada organizacin. Estas aplicaciones pueden haber sido desarrolladas por la propia organizacin para ajustarlas a su negocio (aplicacin de seguimiento de vendedores, de gestin de proyectos, etc.), as como las compradas (sistemas operativos, paquetes integrados de contabilidad).
Hardware y telecomunicaciones. Comprende las mquinas, dispositivos y telecomunicaciones de las que dispone la organizacin. PROPIEDAD DE LOS ACTIVOS Es importante destacar que algunos de estos activos (salvo los datos) no tienen por qu ser propiedad de la organizacin, es decir:
Un recurso humano valioso para la organizacin puede estar subcontratado y desempear sus funciones en las oficinas de la organizacin o fuera de ellas, o en la mayor parte de los casos en ambas.
Una aplicacin puede estar siendo usado dentro de la modalidad de servicios en la nube (cloud computing), en la que la que la organizacin paga por usar una determinada aplicacin de la que no es propietaria (s de los datos que maneja).
Un elemento hardware o de comunicaciones puede estar alquilado por parte de la organizacin o que su uso se base en un modelo en nube (pago por uso) de manera que la organizacin consume recursos de infraestructura hardware de la que no es propietaria.
La organizacin siempre tiene que ser la propietaria de los datos, ya que los datos son el ADN que conforma la organizacin y perderlos puede comprometer seriamente los objetivos del negocio.
OBLIGACION DE SI Todo Sistema de Informacin utilizado por la organizacin (en rgimen de propiedad, subcontratacin o pago por uso) debe:
Salvaguardar la propiedad de la informacin. Los activos de SI aseguran que la propiedad de los datos son siempre de la organizacin.
Mantener la integridad de los datos (informacin). Los activos de SI deben garantizar la integridad de la informacin, es decir que la informacin no haya sido alterada por terceros (fsicos o humanos).
Asegurar la confidencialidad de la informacin. La informacin solo es accesible y entendible por quien tiene derechos.
Garantizar la disponibilidad de la informacin. La organizacin puede disponer de la informacin en el momento que la precisa.
Llevar a cabo los fines de la organizacin y utilizar eficientemente los recursos.
Este ltimo punto indica que los Sistemas de Informacin han de ser eficaces (cumplir con los objetivos de la organizacin) y eficientes (el menor uso de recursos posibles para lograr su cometido).
ELEMENTOS DE UN SISTEMA DE INFORMACIN Todo sistema de informacin eficaz y eficiente se basan en: PLANIFICACIN Un Sistema de Informacin no es un elemento aislado sino que convive, en colaboracin, con otros Sistemas de Informacin con los que interacta en la consecucin de los objetivos de negocio.
Las personas interrelacionan y trabajan con otras personas y departamentos, de igual modo, los datos se estructuran y agregan otros datos, las aplicaciones interactan entre s y los elementos hardware son parte de una infraestructura TIC interrelacionada sobre la que se ejecutan los programas.
Asumiendo el punto anterior como cierto, el diseo, ejecucin o adquisicin de un sistema de informacin no debe ser una decisin aislada, sino formar parte de un plan. Es decir, todo sistema de informacin, si se desea que sea eficaz y eficiente debe estar adecuadamente planificado. CONTROLES Un Sistema de Informacin eficaz y eficiente tiene que estar controlado, es decir, tienen que existir mecanismos para medir y asegurar que el activo de informacin lleva a cabo su cometido de una forma eficaz y eficiente. PROCEDIMIENTOS El uso de los Sistemas de Informacin por parte de la organizacin debe estar descrito para asegurar su efectividad y eficacia y basarse en un marco de procesos y procedimientos definido, por la propia organizacin, como sustento necesario para la gestin, posibilitadora del adecuado gobierno. ESTNDARES El marco de gestin debe basarse en los estndares internacionales reconocidos para asegurar la interoperabilidad de la organizacin con otras organizaciones y el libre mercado. SISTEMAS DE SEGURIDAD Todo Sistema de Informacin organizativo debe desenvolverse en el contexto de un marco de gestin de seguridad conducente a asegurar la integridad, confidencialidad y disponibilidad de la informacin generada, tratada o accedida por dicho Sistema de Informacin. La ausencia de alguno de los elementos anteriores como base de un sistema de informacin, especialmente en un entorno informtico, puede dar lugar a los siguientes riesgos:
Caos Desorden Fraude Datos errneos Discontinuidad de las actividades Perdidas de tipo econmico, de imagen, etc. Altos costes
LAS TIC COMO APOYO AL PLAN ESTRATEGICO DE LAS EMPRESAS Hoy en da, cualquier organizacin, independientemente de su tamao o sector de actividad, desde la pyme hasta la gran multinacional, hace uso de Sistemas de Informacin para el desarrollo de su negocio
En la medida en que la organizacin tenga un plan estratgico ste debe dar respuesta a las necesidades del negocio y ser coherente con sus objetivos.
A medida que surgen nuevas oportunidades de negocio y las organizaciones evolucionan para adaptarse al reto evolutivo del mercado o de la sociedad, tambin surgen nuevas necesidades de tecnologa por parte de la organizacin. Los avances tecnolgicos posibilitan a la organizacin una serie de capacidades (posibilidad de hacer cosas) que antes la organizacin o no haca o efectuaba de forma menos eficiente.
La tecnologa est al servicio del negocio y sus avances han de ser entendidos y digeridos por la organizacin a travs de su plan TIC para extraer de ellos todo su potencial y contribucin al negocio, pero sin condicionar el negocio o hacerlo dependiente de la tecnologa . GOBIERNO CORPORATIVO Y GOBIERNO DE TI El gobierno corporativo se define como un comportamiento empresarial tico por parte de la direccin y la gerencia para la creacin y entrega de los beneficios para todas las partes interesadas .
El Gobierno de TI, es una parte integral del gobierno corporativo que consiste en liderar y definir las estructuras y procesos organizativos que aseguran que las Tecnologas de la Informacin y Comunicaciones (TIC) de la empresa soportan y difunden la estrategia y los objetivos de la organizacin. La responsabilidad es del Comit de Direccin y Gerencia. De ambos conceptos podemos extraer:
El Gobierno de TI es el alineamiento estratgico de las TI con la organizacin
El plan informtico (plan TIC) tiene que corresponder con el plan estratgico de la empresa
OBLIGACIONES DEL GOBIERNO TIC Con la direccin del gobierno TIC, que toda organizacin debe:
OPTIMIZAR, la cantidad de los Sistemas de Informacin. ASEGURAR, una rentabilidad de los recursos informticos DIMENSIONAR, adecuadamente los recursos informticos. ASEGURAR, la exactitud e integridad de los datos. EVITAR, los riesgos de fraude o de prdida de informacin. EVALUAR, la importancia de los datos y la dependencia del sistema informtico. ANALIZAR, los riesgos y vulnerabilidades.