AUDITORIA INFORMTICA

INTRODUCCIN A LOS SI Y EL ROL DE LA

AUDITORA INFORMTICA
Los activos de los sistemas de informacin

Segn la Real Academia Espaola: Conjunto de
todos los bienes y derechos con valor monetario que
son propiedad de una empresa, institucin o
individuo, y que se reflejan en su contabilidad. Esta
definicin est muy orientada al entorno financiero.

Segn International Standard Organization (ISO):
Algo que tiene valor para la organizacin.
ISO/IEC 13335-1:2004.

Por tanto, un activo, en su concepcin ms amplia, puede
ser un fichero informtico, un dispositivo electrnico, pero
tambin lo son las personas, las ubicaciones, los
servicios de informacin, la documentacin en papel, es
decir, lo que tiene valor para la organizacin.

Un activo de Sistemas de Informacin (SI) es todo
aquello que una entidad considera valioso por contener,
procesar o generar informacin necesaria para el negocio
de la misma.

Entendiendo el valor como la propiedad de los objetos
que representa su nivel de importancia5 es la propia
organizacin quien clasifica el valor de sus activos de SI.
En la prctica organizativa no es tarea fcil (y de ello
depende en buena medida el correcto gobierno)
determinar el valor de los activos de SI, de manera
que una sobrevaloracin conduce a una menor
eficiencia y un infravaloracin puede provocar
riesgos y conducir a una menor eficacia en los logros
de los objetivos del negocio.

Por tanto, la determinacin del valor de los activos de
SI, sin ser una tarea sencilla, es un cometido
primordial para el aseguramiento de la gobernanza
TIC.
ACTIVOS DE SISTEMAS DE INFORMACIN
Humanware. Son las personas. Es el activo ms
importante en una empresa y seguramente uno de los ms
complicados de gestionar. Es el msculo organizativo y no
se puede comprar. Su actitud, competencia y compromiso,
que son claves en la consecucin de los objetivos del
negocio, requieren de habilidades de liderazgo
dependientes a cada organizacin.

Datos (informacin). La informacin de una empresa es
fundamental para el negocio. La informacin propia no se
puede comprar sino que es generada, almacenada y
procesada por cada organizacin para el sustento de la
toma de decisiones y la adecuada gobernanza.

Software. Comprende las aplicaciones que utiliza
cada organizacin. Estas aplicaciones pueden haber
sido desarrolladas por la propia organizacin para
ajustarlas a su negocio (aplicacin de seguimiento de
vendedores, de gestin de proyectos, etc.), as como
las compradas (sistemas operativos, paquetes
integrados de contabilidad).

Hardware y telecomunicaciones. Comprende las
mquinas, dispositivos y telecomunicaciones de las
que dispone la organizacin.
PROPIEDAD DE LOS ACTIVOS
Es importante destacar que algunos de estos activos
(salvo los datos) no tienen por qu ser propiedad de la
organizacin, es decir:

Un recurso humano valioso para la organizacin
puede estar subcontratado y desempear sus
funciones en las oficinas de la organizacin o fuera de
ellas, o en la mayor parte de los casos en ambas.

Una aplicacin puede estar siendo usado dentro de la
modalidad de servicios en la nube (cloud computing),
en la que la que la organizacin paga por usar una
determinada aplicacin de la que no es propietaria (s
de los datos que maneja).


Un elemento hardware o de comunicaciones puede
estar alquilado por parte de la organizacin o que su uso
se base en un modelo en nube (pago por uso) de
manera que la organizacin consume recursos de
infraestructura hardware de la que no es propietaria.

La organizacin siempre tiene que ser la propietaria de
los datos, ya que los datos son el ADN que conforma la
organizacin y perderlos puede comprometer seriamente
los objetivos del negocio.

OBLIGACION DE SI
Todo Sistema de Informacin utilizado por la organizacin
(en rgimen de propiedad, subcontratacin o pago por uso)
debe:

Salvaguardar la propiedad de la informacin. Los activos
de SI aseguran que la propiedad de los datos son siempre de
la organizacin.

Mantener la integridad de los datos (informacin). Los
activos de SI deben garantizar la integridad de la informacin,
es decir que la informacin no haya sido alterada por terceros
(fsicos o humanos).

Asegurar la confidencialidad de la informacin. La
informacin solo es accesible y entendible por quien tiene
derechos.



Garantizar la disponibilidad de la informacin. La
organizacin puede disponer de la informacin en el
momento que la precisa.

Llevar a cabo los fines de la organizacin y utilizar
eficientemente los recursos.

Este ltimo punto indica que los Sistemas de Informacin han
de ser eficaces (cumplir con los objetivos de la organizacin)
y eficientes (el menor uso de recursos posibles para lograr su
cometido).

ELEMENTOS DE UN SISTEMA DE INFORMACIN
Todo sistema de informacin eficaz y eficiente
se basan en:
PLANIFICACIN
Un Sistema de Informacin no es un elemento aislado sino que
convive, en colaboracin, con otros Sistemas de Informacin con
los que interacta en la consecucin de los objetivos de negocio.

Las personas interrelacionan y trabajan con otras personas y
departamentos, de igual modo, los datos se estructuran y agregan
otros datos, las aplicaciones interactan entre s y los elementos
hardware son parte de una infraestructura TIC interrelacionada
sobre la que se ejecutan los programas.

Asumiendo el punto anterior como cierto, el diseo, ejecucin o
adquisicin de un sistema de informacin no debe ser una
decisin aislada, sino formar parte de un plan. Es decir, todo
sistema de informacin, si se desea que sea eficaz y eficiente debe
estar adecuadamente planificado.
CONTROLES
Un Sistema de Informacin eficaz y eficiente tiene
que estar controlado, es decir, tienen que existir
mecanismos para medir y asegurar que el activo
de informacin lleva a cabo su cometido de una
forma eficaz y eficiente.
PROCEDIMIENTOS
El uso de los Sistemas de Informacin por
parte de la organizacin debe estar descrito
para asegurar su efectividad y eficacia y
basarse en un marco de procesos y
procedimientos definido, por la propia
organizacin, como sustento necesario para la
gestin, posibilitadora del adecuado gobierno.
ESTNDARES
El marco de gestin debe basarse en los
estndares internacionales reconocidos para
asegurar la interoperabilidad de la
organizacin con otras organizaciones y el
libre mercado.
SISTEMAS DE SEGURIDAD
Todo Sistema de Informacin organizativo
debe desenvolverse en el contexto de un
marco de gestin de seguridad conducente a
asegurar la integridad, confidencialidad y
disponibilidad de la informacin generada,
tratada o accedida por dicho Sistema de
Informacin.
La ausencia de alguno de los elementos anteriores
como base de un sistema de informacin,
especialmente en un entorno informtico, puede dar
lugar a los siguientes riesgos:

Caos
Desorden
Fraude
Datos errneos
Discontinuidad de las actividades
Perdidas de tipo econmico, de imagen, etc.
Altos costes

LAS TIC COMO APOYO AL PLAN ESTRATEGICO
DE LAS EMPRESAS
Hoy en da, cualquier organizacin, independientemente de su
tamao o sector de actividad, desde la pyme hasta la gran
multinacional, hace uso de Sistemas de Informacin para el
desarrollo de su negocio

En la medida en que la organizacin tenga un plan estratgico
ste debe dar respuesta a las necesidades del negocio y ser
coherente con sus objetivos.

A medida que surgen nuevas oportunidades de negocio y las
organizaciones evolucionan para adaptarse al reto evolutivo del
mercado o de la sociedad, tambin surgen nuevas necesidades
de tecnologa por parte de la organizacin.
Los avances tecnolgicos posibilitan a la
organizacin una serie de capacidades
(posibilidad de hacer cosas) que antes la
organizacin o no haca o efectuaba de forma
menos eficiente.

La tecnologa est al servicio del negocio y sus
avances han de ser entendidos y digeridos por la
organizacin a travs de su plan TIC para extraer
de ellos todo su potencial y contribucin al
negocio, pero sin condicionar el negocio o hacerlo
dependiente de la tecnologa .
GOBIERNO CORPORATIVO Y GOBIERNO DE TI
El gobierno corporativo se define como un
comportamiento empresarial tico por parte de la
direccin y la gerencia para la creacin y entrega
de los beneficios para todas las partes interesadas .

El Gobierno de TI, es una parte integral del gobierno
corporativo que consiste en liderar y definir las
estructuras y procesos organizativos que aseguran
que las Tecnologas de la Informacin y
Comunicaciones (TIC) de la empresa soportan y
difunden la estrategia y los objetivos de la
organizacin. La responsabilidad es del Comit de
Direccin y Gerencia.
De ambos conceptos podemos extraer:

El Gobierno de TI es el alineamiento estratgico de
las TI con la organizacin

El plan informtico (plan TIC) tiene que
corresponder con el plan estratgico de la empresa

OBLIGACIONES DEL GOBIERNO TIC
Con la direccin del gobierno TIC, que toda organizacin
debe:

OPTIMIZAR, la cantidad de los Sistemas de Informacin.
ASEGURAR, una rentabilidad de los recursos
informticos
DIMENSIONAR, adecuadamente los recursos
informticos.
ASEGURAR, la exactitud e integridad de los datos.
EVITAR, los riesgos de fraude o de prdida de
informacin.
EVALUAR, la importancia de los datos y la dependencia
del sistema informtico.
ANALIZAR, los riesgos y vulnerabilidades.

DOMINIOS DEL GOBIERNO TI