Teseo y la Auditoría de Sistemas (por Manolo Palao)

Los sistemas de información (incluso, los no automatizados) son  -lo han sido siempre-  cruciales como apoyo a los procesos de toma de decisiones. En esta, ya tercera, entrega de la serie «Texticulillos», ‘Gobernanza de TI‘ recupera las palabras de Manolo Palao relativas a los desafortunados desenlaces a los que puede llevar una mala elección de tales sistemas.

Publicado originalmente por la Asociación de Auditores y Auditoría y Control de los Sistemas y Tecnologías de la Información y las Comunicaciones (ASIA)  -actual Capítulo de Madrid de ISACA-,  «Teseo y la Auditoría de Sistemas» cuenta cómo el hecho de no disponer de un adecuado marco tecnológico (aunque se trate de «tecnología náutica») para la toma de decisiones convenientemente informadas  -base de un Buen Gobierno-  puede acarrear dramáticas consecuencias.

 

Texticulillo nº 3: Teseo y la Auditoría de Sistemas (1)(2)

Un error en el uso de un sistema de información pobremente diseñado motivó el suicidio del rey de Atenas, Egeo, quien se arrojó al mar al que, desde entonces, dio nombre.

Teseo, hijo de Egeo, había partido de Atenas para intentar liberarla del ‘impuesto revolucionario’ al que la ciudad era sometida por el feroz Minotauro, desde su residencia en el Laberinto de Creta. Éste exigía la entrega, cada nueve años, de siete jóvenes y siete doncellas vírgenes.

Teseo y Egeo habían convenido que si el primero tenía éxito, al volver, izaría en su barco una vela blanca, en lugar de la negra con que había partido. Este código permitiría a Egeo tener información precoz sobre el resultado de la misión.

Teseo mató al Minotauro y logró salir del Laberinto gracias al ovillo de hilo que le había entregado su enamorada Ariadna.

De vuelta hacia Atenas, llevando a Ariadna consigo, el ingrato la abandonó en la isla de Naxos. Los dioses, en castigo, le hicieron olvidar cambiar la vela.

Un Auditor de Sistemas de Información y Tecnologías de la Información y las Comunicaciones (ASITIC) que hubiera sido consultado  –cosa imposible en aquellos tiempos, pues la profesión tiene sólo unos 30 años de existencia—  hubiera desaconsejado a Egeo y Teseo la adopción de un código tan frágil; salvando, quizá, así, la vida de Egeo, quien, de tal modo, podría salir en futuros episodios.

La actual difusión de los sistemas de información y la importancia de las decisiones  -aunque, en general,  no lleguen al suicidio-  adoptadas con su ayuda, hace esencial que se pueda disponer de opiniones competentes e independientes sobre la idoneidad de los sistemas.

Un ASITIC podría haber recomendado un código redundante o un protocolo con confirmación de los mensajes. (Claro que si los dioses se empeñan …).

El mismo ASITIC felicitaría a Ariadna por su brillante solución, basada en la “trazabilidad” de las “transacciones” de Teseo al deambular por el dédalo: la continuidad del hilo permitía desandar cada tramo de pasillo y volver a la entrada (3).

La trazabilidad en los modernos sistemas de información es una preocupación importante de los ASITIC. No sólo a efectos de ‘deshacer’ transacciones erróneas, sino a efectos de asociar a cada transacción toda la información pertinente: quién la ejecutó, a qué hora, desde qué terminal, quién la autorizó, a qué hora, etc.

Mucha de esa y análoga información no es realmente necesaria para el funcionamiento ordinario de la empresa (hacer las transacciones), por lo que podría considerarse un sobrecoste (que muchas empresas deciden  ahorrase).

Pero no es un sobrecoste, sino el coste de la calidad y el control exigibles, que puede ahorrar muchos disgustos y hasta tentaciones de suicidio.

 

Artículos relacionados

1. Juvenal y la Auditoría de Sistemas (por Manolo Palao)
2. Arquímedes y la Auditoría de Sistemas (por Manolo Palao)
3. Gobernanza de TI en una línea
4. Confianza en, y valor de, los sistemas de información

 

(1) Copyright 2002-2010, Manolo Palao, CGEIT, CISM, CISA, CobiT Foundation Certificate, Accredited CobiT Trainer.

(2) Publicado inicialmente el 27 de diciembre de 2002.

(3) Si el problema hubiese sido el de encontrar una salida (o todas las salidas), además de la entrada, el hilo no hubiera bastado y se habría requerido, también, una tiza, o un bote de pintura, o cualquier otro ‘marcador’ que permitiera señalar los caminos explorados en cualquier encrucijada, al hacer backtracking (desandar lo andado) desde el camino sin salida, hasta su encrucijada de partida.
Ese instrumental habría permitido a Teseo y Ariadna hacer un ‘parseo’ [del inglés, parsing = análisis sintáctico] simplificado a una ‘técnica de búsqueda’ “primero en profundidad”. La técnica “primero a lo ancho”, que tiene la ventaja de que la primera salida que encuentra es la más corta, no es aplicable  –con ese instrumental-  a un laberinto en el mundo arquitectónico, porque exige hacer copias físicas, o mediante planos, de todas las soluciones parciales exploradas.
Véase «PARSING TECHNIQUES. A Practical Guide«, de DICK GRUNE y CERIEL JACOBS, Department of Mathematics and Computer Science, Vrije Universiteit, Amsterdam, The Netherlands.
Impresión de los autores. Vrije Universiteit, Amsterdam, The Netherlands.
Edición inicial publicada en 1990 por ELLIS HORWOOD LIMITED, Market Cross House, Cooper Street, Chichester, West Sussex, PO19 1EB, England.
ISBN 0-13-651431-6.
(c) 1990-94, Ellis Horwood Limited.
(c) 1995, Dick Grune & Ceriel J. Jacobs.
Correcciones menores, septiembre 1997, septiembre 1998, p. 75-77.

 

Juvenal y la Auditoría de Sistemas (por Manolo Palao)

Acaban de cumplirse dos años (el pasado jueves, día 13) de la celebración, en la Universidad Carlos III de Madrid (UC3M),  del «III Congreso Interacadémico» de itSMF España. Faltaban, tan sólo, unos días para la publicación de la norma ISO/IEC 38500:2008. Corporate governance of information technology  -hasta aquel momento numerada como 29382-,  y quien les escribe tuvo ocasión de presentarla, en primicia, como respuesta a la invitación recibida de la propia UC3M (Prof. Dr. D. Antonio de Amescua Seco y Prof. D. Antonio Folgueras Marcos).

Durante el transcurso de la presentación se hizo un especial hincapié en los errores que se estaban  -aún se están-  cometiendo en la difusión al mercado del mensaje de Gobierno Corporativo de TI; y se insistió en quiénes habrían de ser los verdaderos actores (gobernadores) en las tareas de dirección y control sobre el uso de las Tecnologías de la Información y las Comunicaciones, dentro de las organizaciones.

A la exposición siguió un turno de preguntas por parte de los asistentes. La última de ellas fue «¿Quién gobierna a los ‘gobernadores’?«. Precisamente, con la versión original de esa misma pregunta  -«¿Quién guardará a los guardianes?«-  comienza el «texticulillo» de Manolo Palao que ‘Gobernanza de TI‘ les ofrece hoy, en clara referencia al poeta clásico Decimus Iunius Iuuenalis.

”Juvenal y la Auditoría de Sistemas“ es el segundo ‘texticulillo’ de la serie que,  la entonces Asociación de Auditores y Auditoría y Control de los Sistemas y Tecnologías de la Información y las Comunicaciones (ASIA)  -actual Capítulo de Madrid de ISACA–  comenzó a publicar en noviembre de 2002. Como se probó en el Salón de Grados de la UC3M la incógnita planteada por Juvenal en su «Sátira» VI, hace dos mil años, sigue plenamente en vigor.

 

Texticulillo nº 2: Juvenal y la Auditoría de Sistemas (1)(2)

El interrogante, hace veintidos siglos, de Juvenal “¿Quién guardará a los propios guardianes?” (Sátiras VI, 345), si bien pendiente aún de una respuesta general, ha guiado desde entonces algunas reflexiones y acciones de ciertos políticos, constitucionalistas y expertos en organización, entre otros.

Lo lacerante de esas seis palabras supone una bofetada en pleno rostro de quienquiera que lleve unos pocos días ‘fuera del cascarón’.

No sorprende, por tanto, que se haya convertido en el motto de multitud  –basta una consulta en Internet-  de organizaciones: protectoras de derechos humanos, políticas, religiosas y auditoras. Cabe al Prof. Miguel Ángel Ramos el mérito (entre otros muchos) de haber evocado entre nosotros, hace más de un lustro, la cuestión de Juvenal.

Las noticias  -internacionales y nacionales-  de estos últimos meses (Enron, Gescartera, Andersen, CNMV, WorldCom, Bush y Harken Energy Corporation, Cheney y Halliburton, Ménem, la Iglesia Católica en EEUU) prueban que la cuestión sigue candente. Y las noticias, claro, son sólo la punta del iceberg.

El principio de los ‘controles y equilibrios’ (‘checks and balances‘), apuntado por la Ilustración, que inspiró la Constitución de los EEUU  -aunque no quedara plasmado, como tal, en ella (3)—,  parece la única terapia parcial preventiva/detectiva/correctiva disponible en el gran ámbito político.

En el plano ‘micropolítico’ (organización de empresas), el precursor Henri Fayol (1841-1925) ya propuso, entre otros principios, el de ‘división de funciones’ y el de la dualidad ‘autoridad–responsabilidad’. Fayol distinguía, al menos, cuatro equilibrios dinámicos, resultantes de procesos debidos a tareas de directivos o trabajadores.

Los ulteriores maestros en la materia (Mintzberg, Morgan, Volberda, Gazendam) han prestado importante atención al equilibrio/equilibrios en las organizaciones.

En las empresas, los controles y equilibrios reposan en lo que se ha dado en llamar ‘control interno’ (CI): el conjunto de políticas, normas, estructuras, recursos y procedimientos (organizativos, técnicos, automáticos y  manuales; ordinarios o de emergencia) que permite confiar en que las cosas sucederán normal y razonablemente como desean todos quienes tienen derecho a disponerlo.

Así, de un buen CI debe esperarse que los Sistemas de Información y las Tecnologías de la Información y las Comunicaciones (SITIC) de una empresa, u organismo, estén eficaz y eficientemente alineados con los objetivos estratégicos y de negocio de la organización; que su disponibilidad, tiempo de respuesta, integridad, calidad, amigabilidad y exactitud sean los adecuados.

Un buen CI debe asegurar, asimismo, que los nuevos proyectos se seleccionan y gestionan adecuadamente, que los sistemas están adecuadamente documentados y mantenidos, que su techo de capacidad y su eficiencia se planifican, monitorizan y gestionan, que el personal tiene la adecuada formación y segregación de funciones, que se hace una gestión de incidencias, que existen planes de continuidad del negocio y recuperación de desastres.

Un sistema de CI es un todo complejo, interrelacionado y evolutivo. No es algo fácil de diseñar, gestionar y vigilar.

La responsabilidad primaria por el CI es de la Dirección. Obviamente, si una empresa no funciona como debiera, la responsabilidad es de la Dirección.

La Auditoría de los Sistemas de Información y de las Tecnologías de la Información y las Comunicaciones (ASITIC) es el nombre actual de una actividad profesional que se inició hace treinta años bajo la denominación sajona EDP Auditor (Electronic Data Processing Auditor/Auditor del Tratamiento Electrónico de Datos).

La ASITIC, como un servicio interno o externo, apoya a las organizaciones, a los gestores y a los responsables y profesionales de los SITIC, evaluando objetiva e independientemente, el control interno (los controles y equilibrios), y recomendando medidas de mejora.

Los profesionales de la ASITIC tienen formación especializada, y muchos  tienen experiencia acreditada en el diseño y evaluación de controles generales y específicos.

Dicho ejercicio profesional no está regulado legalmente en ningún país.

Existen, sin embargo, certificaciones (como CISA, Certified Information Systems Auditor/Auditor de Sistemas de Información Certificado) administradas por asociaciones profesionales (en el caso de CISA, por ISACA, Information Systems Audit and Control Association/Asociación para el Control y la Auditoría de los Sistemas de Información) que garantizan que el profesional certificado ha tenido, y conserva, formación y experiencia recientes y actualizadas en ASITIC, a un nivel de excelencia reconocida.

Los auditores de cuentas fueron los primeros clientes (interna o externamente) de la ASITIC: el poder confiar en los sistemas de información de las empresas que auditaban les permitía basar su trabajo en la información procedente de tales sistemas, evitándoles pruebas mucho más directas, detalladas y costosas.

En un mundo en dependencia creciente de los Sistemas de Información, la ASITIC, competente e independiente, presta muchos más servicios que los mera y directamente orientados a facilitar la actividad de los auditores de cuentas. Ayuda a directivos y técnicos a asegurar que los Sistemas de Información están eficaz y eficientemente al servicio de las necesidades estratégicas de la empresa.

La cadena de garantías ‘buenas políticas–buena gestión–auditoría–ASITIC’ se cierra en este tema con el broche CISA. Hay los ‘checks and balances’ necesarios y suficientes.

Naturalmente, si el caso es de ‘chorizos’, los profesionales que deben intervenir son otros (inspectores alimentarios, en el sentido estricto de aquella palabra; inspectores de hacienda, policía y otros, en el sentido usado aquí).

Para cerrar, una afirmación de Juvenal: “Resulta difícil no ser satírico” (Sátiras I, l.30).

 

Artículos relacionados

1. Arquímedes y la Auditoría de Sistemas (por Manolo Palao)
2. ISO/IEC 38500:2008. Un “salvavidas” en la difusión del concepto de “Gobierno Corporativo de las TIC”
3. Confianza en, y valor de, los sistemas de información

 

(1) Copyright 2002-2010, Manolo Palao, CGEIT, CISM, CISA, CobiT Foundation Certificate, Accredited CobiT Trainer.

(2) Publicado inicialmente el 10 de noviembre de 2002.

(3) http://gi.grolier.com/presidents/ea/side/const.html

 

Arquímedes y la Auditoría de Sistemas (por Manolo Palao)

‘Gobernanza de TI‘ se complace en presentarles una nueva sección. La ocasión  -celebración internacional del ‘Día del Trabajo‘-  se hace particularmente propicia para comenzar a disfrutar, desde estas páginas, del saber hacer y la fina ironía de un infatigable trabajador, que ha dedicado a las TI la práctica totalidad de su carrera profesional. Durante las últimas cinco décadas ha desempeñando las más diversas funciones dentro de lo que hoy se denominarían dimensiones del Gobierno Corporativo de las TIC: director, auditor, consultor, formador, divulgador,… Se trata del amigo y maestro Manolo Palao, quien ha tenido a bien compartir y mostrar aquí  -disculpen Uds. la expresión-  «sus texticulillos«.

Durante los años 2002 a 2004, y bajo ese título genérico de «Texticulillos«,  la entonces Asociación de Auditores y Auditoría y Control de los Sistemas y Tecnologías de la Información y las Comunicaciones (ASIA)  -actual Capítulo de Madrid de ISACA–  publicó la mayor parte de los artículos de la serie.

Tras un parón de casi cinco años, los «Texticulillos» volvían a ver la luz, tímidamente, a finales de 2008. En esta segunda época la audiencia destinataria de los artículos quedó circunscrita, prácticamente en exclusiva, al claustro de profesores y a los alumnos del MaGTIC, el Máster en Buen Gobierno de las TIC de la Universidad de Deusto.

‘Gobernanza de TI‘ recupera, ahora, de la mano de su autor original, todo este material, cuya extensión y particularidad han hecho que, aún tratándose de una firma invitada de esta bitácora, haya resultado merecedor de una categoría específica. Consecuentemente, la nueva sección «Texticulillos« irá recogiendo, con carácter periódico, los artículos de las épocas primera y segunda; e irá combinándolos con otros inéditos que puedan ir apareciendo en el futuro.

Finalmente y dada la fecha en que fueron escritos, cabe apuntar que, si bien algunos de los textos pudieran presentar ciertos anacronismos derivados de referencias directas a la actualidad de aquellos momentos, no es menos verdad que el acierto del autor en relación a la selección y aguda exposición de los temas escogidos, hacen que estos mantengan su más absoluta vigencia. En ese mismo sentido, los artículos de la primera época recogen una clara referencia a la Auditoría de Sistemas. A partir de 2008, como ocurriera con la tendencia general del mercado, el foco pasa a iluminar el Buen Gobierno [de TI].

¡Disfrute, ya, del primero de ellos!

 

Texticulillo nº 1: Arquímedes y la Auditoría de Sistemas (1)(2)

Muchos recuerdan a Arquímedes por principio: una comprensión, incluso somera, del «Principio de Arquímedes» era necesaria para aprobar la Física del bachillerato.

Los más empollones, o cultos, quizá recuerdan la anécdota  -probablemente falsa-  que Vitrubio le atribuye (3), según la cual su famoso ‘¡Eureka!‘  -que gritaba sin cesar cuando corría desnudo por las calles de Siracusa, desde las termas, hacia su casa-  se debió a que había resuelto, durante el baño, el problema que el rey Hiero II le había planteado relativo a comprobar la pureza en oro de su nueva diadema.

El Rey sospechaba que su orfebre había sustituido, fraudulentamente, por plata, parte del oro recibido para confeccionar la diadema. Arquímedes, según la leyenda, ideó unas pruebas sustantivas (sumergiendo en agua la corona y comparando el volumen de agua desplazado, con el que, igualmente, desplazaba un bloque de oro equivalente al original). Arquímedes actuó como auditor en su faceta de tasador.

La Auditoría de Sistemas de Información y Tecnologías de la Información y las Comunicaciones (ASITIC) es el nombre actual de una actividad profesional que  -aparte de esos precedentes remotos-  se inició hace treinta años bajo la denominación sajona EDP Auditor (Electronic Data Processing Auditor/Auditor del Tratamiento Electrónico de Datos).

La ASITIC, como un servicio interno o externo, apoya a las organizaciones, a los gestores y a los responsables y profesionales de los SITIC, evaluando objetiva, e independientemente, el grado de confianza que se puede depositar en los SITIC, y recomendando medidas de mejora.

Ese grado de confianza reposa, entre otras cosas, esencialmente en el ‘control interno’ (CI): el conjunto de políticas, normas, estructuras, recursos y procedimientos (organizativos, técnicos, automáticos y  manuales; ordinarios o de emergencia) que permite confiar en que las cosas, en la empresa,  suceden normal y razonablemente como desean todos quienes tienen derecho a determinarlo.

Así, de un buen CI debe esperarse que los SITIC de una empresa, u organismo, estén eficaz y eficientemente alineados con los objetivos estratégicos y de negocio de la organización; que su disponibilidad, tiempo de respuesta, integridad, calidad, amigabilidad y exactitud sean los adecuados.

Un buen CI debe asegurar también que los nuevos proyectos se seleccionan y gestionan adecuadamente, que los sistemas están adecuadamente documentados y mantenidos, que su techo de capacidad y su eficiencia se planifican, monitorizan y gestionan, que el personal tiene la adecuada formación y segregación de funciones, que se hace una gestión de incidencias, que existen planes de continuidad del negocio y recuperación de desastres.

Un sistema de CI es un todo complejo, interrelacionado y evolutivo. No es algo fácil de diseñar, gestionar y vigilar.

Al igual que no todo cuerpo o artefacto flota en el agua, sino que su boyancia depende de su densidad, forma, estanqueidad, etc., no todo sistema de CI está en condiciones de mantener a flote los objetivos y operaciones de la organización correspondiente.

Según el «Principio de Arquímedes«, el peso del agua desplazada por la parte sumergida de la embarcación  -la ‘obra viva’, en términos náuticos-  es igual, dinámicamente,  al peso de la obra que está en seco  -‘obra muerta’-.  Cuanto mayor sea este último  -cuanto mayor sea el volumen, importancia, complejidad y competitividad de las estructuras y operaciones de una empresa u organismo-,  mayor y mejor habrá de ser la infraestructura sumergida  -el control interno-.

El ASITIC es un profesional con formación especializada en el diseño y evaluación de infraestructuras de control interno, eficaces y eficientes.

Un empresario no puede sorprenderse si se va a pique por pretender navegar en una almadía de troncos o en un buque con vías de agua.

 

Artículos relacionados

1. Confianza en, y valor de, los sistemas de información
2. Estar encima (por Mark Toomey)
3. Gobernanza de TI: La Dirección de Orquesta de los Sistemas de Información (por Rui Borges)

 

(1) Copyright 2002-2010, Manolo Palao, CGEIT, CISM, CISA, CobiT Foundation Certificate, Accredited CobiT Trainer.

(2) Publicado inicialmente el 9 de noviembre de 2002.

(3) http://www.mcs.drexel.edu/~crorres/Archimedes/Crown/CrownIntro.html