gtag-1

Riesgo y Controles de Tecnología de la Información

2 ª Edición

aaaMMMIIIPPPPPP --- GGGuuuíííaaasss pppaaarrraaa lllaaa PPPrrráááccctttiiicccaaa

120366 PRO-GTAG_1_COVER.indd 1 28/03/12 14:18

GUÍA DE AUDITORÍA DE TECNOLOGÍA GLOBAL

Guía de Auditoría de Tecnología Global (GTAG ®) 1Riesgo y Controles de

Tecnología de la Información

2 ª Edición

Marzo 2012

120366 PRO-GTAG_1_TEXT.indd 1 28/03/12 14:17

TRADUCIDO SOLO PARA FINES DOCENTES. PROHIBIDA SU COMERCIALIZACIÓN

1

GTAG - Tabla de contenidos

rESumEn EJEcutivo ................................................................................................................................... 2

1. introducciÓn......................................................................................................................................... 3

2. introducciÓn a riESgoS y controlES dEl nEgocio rElacionadoS con ti . ............... 5

3. rESponSaBilidadES dE laS partES intErESadaS intErnaS y ti . ........................................ 8

4. analizando riESgoS. .......................................................................................................................... 10

5. Evaluando ti - una viSiÓn gEnEral . ......................................................................................... 13

6. comprEndiEndo la importancia dE loS controlES dE ti ................................................ 16

7. compEtEnciaS y haBilidadES dE auditorÍa ti........................................................................ 22

8. uSo dE marco dE control................................................................................................................ 23

9. concluSiÓn............................................................................................................................................. 25

10. autorES y rEviSorES ........................................................................................................................ 26

11. apÉndicE: liSta dE vErificacion dEl marco dE control dE ti . ................................... 27



22

GTAG - Resumen Ejecutivo

Resumen Ejecutivo

Esta GTAG ayuda a los directores ejecutivos de auditoría (CAE) y a los auditores internos a mantener el ritmo con el mundo siempre cambiante y complejo de la TI al proporcionar recursosescritos para ejecutivos de negocios - no para ejecutivos deTI.Tanto la administración como el Consejo tienen laexpectativa de que la actividad de auditoría interna propor-cione seguridad en torno a todos los riesgos importantes, in-cluyendo los introducidos o habilitados por la aplicación de la TI. La serie GTAG ayuda a los auditores internos y CAEsa ampliar conocimientos sobre temas de riesgo, control ygobernabilidad alrededor de la tecnología. El objetivo de estaGTAG es ayudar a que los auditores internos se sientan máscómodos con los controles generales de TI para que puedanhablar con su Consejo e intercambiar ideas de riesgo ycontrol con el director ejecutivo de informacion (CIO) y lagerencia de TI. Esta GTAG describe cómo los miembros delos órganos de gobierno, ejecutivos, profesionales de TI y losauditores internos enfrentan temas importantes sobre riesgosy control relacionados con TI, así como tambien presentamarcos pertinentes para la evaluación de riesgos y controles de TI. Por otra parte, establece el escenario para otras GTAGsque cubren con mayor detalle los temas específicos de TI, así como los roles y responsabilidades relacionados con el nego-cio.

Esta guía es la segunda edición de la primera entrega de laserie GTAG - GTAG 1: Controles de Tecnología de la In-formación - que fue publicada en marzo de 2005. Su objetivo era, y es, ofrecer una visión general del tema de los riesgos y controles relacionados con TI.



3

GTAG - Introducción

1. IntroducciónEl propósito de esta GTAG es explicar los riesgos y controles en unformato que permita a los CAE y a los auditores internos entender y comunicar la necesidad de mejores controles de TI. Está orga-nizada para que el lector pueda moverse a través del marco de trabajo para la evaluación de los controles de TI y para abordartemas específicos basados� �en las necesidades. Esta GTAG ofrece una visión general de los componentes clave de la evaluación decontrol de TI con énfasis en las funciones y responsabilidades de los componentes constituyentes de la organización que pueden conducir la gobernabilidad de los recursos de TI. Algunos lectores ya estarán familiarizados con algunos aspectos de esta GTAG, pero algunos segmentos ofrecerán nuevas perspectivas sobre có-mo abordar los riesgos y controles de TI. Uno de los objetivos de esta GTAG, y otros de la serie, es que los componentes de eval-ua-ción del control se pueden utilizar para educar a otros acerca de lo que son los riesgos y controles de TI, y por qué la gerenciay auditoría interna deben garantizar la atención adecuada a losriesgos y controles fundamentales de TI para permitir y mante-ner un sistema eficaz de control del entorno de TI.Aunque la tecnología ofrece oportunidades para el crecimiento y el desarrollo, también representa amenazas, como la pertur-bación, el engaño, el robo y el fraude. La investigación demues-tra que los atacantes externos amenazan a las organizaciones, sin embargo, gente interna de confianza son una amenaza mucho mayor. Afortunadamente, la tecnología también puede propor-cionar protección contra las amenazas, como esta guía va a demostrar. Los ejecutivos deben conocer las preguntas correctas y lo que significan las respuestas. Por ejemplo:

• ¿Por qué debería entender los riesgos y controles de TI?Dos palabras: garantía y fiabilidad. Los ejecutivos de-sempeñan un papel clave para asegurar la fiabilidad de la información. El aseguramiento proviene principalmente de un conjunto interdependiente de controles del nego-cio, así como la evidencia de que los controles son con-tinuos y suficientes. La gerencia debe evaluar la eviden-cia proporcionada por los controles y auditorías, así co-mo la conclusión de que sí proporcionan una seguridadrazonable.

• ¿Qué hay que proteger? La confianza, ya que garantiza losnegocios y la eficiencia. Los controles proporcionan labase para la confianza, aunque a menudo no se ven. Latecnología proporciona la base para muchos - quizás lamayoría - de los controles del negocio. La fiabilidad de la información financiera y los procesos - ahora obligatorios para muchas organizaciones - tratan sobre la confianza.

• ¿Dónde se aplican los controles de TI? En todas partes. TI incluye componentes de tecnología, procesos, personas, organización y la arquitectura, así como la propia infor-mación. Muchos controles de TI son de carácter técni-co, y la TI suministra herramientas para los controles de muchos negocios.

• ¿Quién es responsable? Todos. Sin embargo, la propiedad y las responsabilidades de control deben ser definidas y difundidaspor la gerencia. De lo contrario, nadie es responsable, y losresultados podrían ser severos.

• ¿Cuándo se evaluarían los riesgos y controles de TI? Siempre.TI es un ambiente que cambia rápidamente, promoviendo el proceso y el cambio organizacional. Surgen nuevos riesgos a un ritmo veloz. Los controles deben presentar evidencia continua de su eficacia, y la evidencia debe ser evaluadaconstantemente.

• ¿Qué tanto control es suficiente? La gerencia debe decidir sobre la base del apetito por el riesgo, la tolerancia y la normativa obligatoria. Los controles no son el objetivo, éstos existenpara ayudar a cumplir los objetivos de negocio. Los controles son un precio por hacer negocios y pueden ser costosos, pero ni cercanamente tan caro como las posibles consecuencias de la insuficiencia de controles.

Los controles de TI son esenciales para proteger a los activos,clientes, equipos e información importante, demostrando uncomportamiento seguro, eficiente y ético; preservando la marca,la reputación y la confianza. En el actual mercado global y entornoregulatorio, estos detalles son muy fáciles de perder. Un CAEpuede utilizar esta guía como una base para evaluar el marco deuna organización y las prácticas de auditoría interna de riesgosy control de TI, cumplimiento y seguridad. También se puedeutilizar para responder a los desafíos del cambio constante,aumentando la complejidad, la rápida evolución de las amenazas,y la necesidad de mejorar la eficiencia.

Los controles de TI no existen en aislamiento. Forman una cadenainterdependiente de protección, pero también pueden estarcomprometidos debido a los enlaces débiles. Los controles de TI están sujetos a error y falta de vigilancia, variando de simples a muy técnicos, y existen en un entorno dinámico. Los controles de TI tienen doselementos importantes: la automatización de los controles de negocios (que apoyan la gestión de empresas y el gobierno) yel control delentorno de TI y de operaciones (que soportan las aplicaciones de TI e infraestructuras). El CAE tieneque considerar y evaluar ambos elementos. El CAE puede ver los controles del negocio automatizados,donde los controles y las habilidades de auditoría de TI trabajanjuntos en una capacidad de auditoría integrada. Si el CAE lo de-sea, puede separar los controles generales de computación (CGC) o los controles de TI, en general, sobre la base de las habilidades técnicas y competencias necesarias para evaluar las solicitudes de carácter más técnico, la infraestructura y operaciones. Por ejem-plo, una aplicación para la planificación de recursos empresariales (Enterprise Resource Planning - ERP) requiere más conocimientos técnicos para comprender y evaluar los controles sobre las estructuras de base de datos de ERP, el acceso del usuario, la configuracióndel sistema y los informes financieros. El CAE encontrará que la evaluación de la infraestructura, como redes, routers, cortafuegos ydispositivos inalámbricos y móviles requieren conocimientos espe-cializados y experiencia. El papel del auditor interno en los con-troles de TI comienza con la comprensión conceptual, y



44

GTAG - Introducción

culmina con el suministro de los resultados y de lasevaluaciones de riesgo y de control. La auditoría internaconsiste en una interacción significativa con las personasque ocupan puestos de responsabilidad por los controlesy requiere el aprendizaje continuo y la reevaluación,a medida que emergen nuevas tecnologías y que cambianlas oportunidades, los usos, las dependencias, estrategias,riesgos y necesidades de la organización.

Los controles de TI ofrecen garantía relacionada a la fiabili-dad de la información y los servicios de información. Loscontroles de TI ayudan a mitigar los riesgos asociados con eluso de tecnología en una organización. Van desde las políti-cas corporativas hasta la implementación física dentro de lasinsstrucciones codificadas; desde la protección del acceso físicoa través de la capacidad de rastrear acciones y transaccionesde las personas responsables; y del análisis automático de las modificaciones a la razonabilidad de los grandes cuerpos de datos.

Los siguientes son ejemplos de los conceptos claves de con-trol:

• El aseguramiento es proporcionado por los controles de TI dentro del sistema de controles internos. Este debe ser continuo y proporcionar una pista fiable de pruebas.

• El aseguramiento del auditor interno es una evaluaciónindependiente y objetiva de que los controles relacionados con la TI están funcionando como deben. Esta seguri-dad se basa en la comprensión, exámen y evaluaciónde los controles clave relacionados con los riesgos que se manejan y la realización de suficientes pruebas paraasegurar que los controles están diseñados de manera adecuada y funcionando de forma efectiva y continua.

Existen varios marcos para la categorización de los controlesde TI y sus objetivos. Esta guía recomienda que cadaorganización utilice los componentes aplicables de losmarcos existentes para clasificar y evaluar los riesgos ycontroles de TI.



gtag-1

Documents