Nuevo encuentro de Gobernanza de TI con Manolo Palao, su sana ironía y su buen humor (particularmente presentes en el Texticulillo™ de hoy). ¡Están Uds., tan sólo, a unas lineas de comprobarlo!

Fiel a su compromiso con los objetivos de esta bitácora, Manolo desarrolla su análisis, un vez más, en torno a uno de los principios generales del Buen Gobierno Corporativo de las Tecnologías de la Información: la conformidad.

El mundo de la regulación resulta prolífico. Sirva, como ejemplo, el caso de España: aquí, el número de reglamentaciones que pretenden guiar  -las más de las veces, limitar-  las actividades de ciudadanos y organizaciones se cifra, según los expertos, en miles, decenas de miles  -hay quien eleva ese número por encima del centenar (de miles)-.

Esa miríada de normas es un claro reflejo de la aparente “alegría” con que el regulador de turno ejerce su función. Otra prueba de tal “alegría” puede encontrarse en la existencia de no poca reglamentación ambigua, sujeta a interpretación, y, por tanto, de dudoso, cuando no difícil, cumplimiento. A ello se refiere Palao en su exposición.

Como apuntara, en relación al relevante papel de la conducta humana en el Gobierno Corporativo de TI, el destacado académico e investigador del MIT, Peter Weill, “de poco sirve definir sistemas de gobernanza formales, si no se siguen“. Cabría, con toda humildad, parafrasearle diciendo “de poco sirve definir [complejas] reglamentaciones, si no se pueden seguir“.

 

Texticulillo™ nº 13: Perfiles y Auditoría de Sistemas (1)(2)

Un día de estos me tengo que pasar por el centro de salud a que me hagan una analítica porque debo tener la perplejidad muy baja de densidad. Tan baja, que me sumo en ella sin poder salir a flote; y, si consigo seguir respirando, es gracias a lo largo que tengo el snorkel.

Una de las inmersiones más profundas que he hecho en mi perplejidad  -y en esa fosa abisal continúo-  fue la primera vez que leí el punto 4 del Artículo 4 del Real Decreto 994/1999, de 11 de junio, por el que se aprueba el Reglamento de medidas de seguridad [RMS, en breve] de los ficheros automatizados que contengan datos de carácter personal de la LORTAD (3), que reza:

[…] 4. Cuando los ficheros contengan un conjunto de datos de carácter personal suficientes que permitan obtener una evaluación de la personalidad del individuo deberán garantizar las medidas de nivel medio establecidas en los artículos 17, 18, 19 y 20”.

RMS que la vigente Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal mantiene en vigor (4), en virtud de su Disposición transitoria tercera.

Y yo me pregunto ¿qué es “un conjunto de datos de carácter personal suficientes que permitan obtener una evaluación de la personalidad del individuo“? 

Y como no me doy respuesta, me sumo unas brazas más en mi perplejidad  -¡y estiro el snorkel!-.

Quizás el legislador podría haberlo aclarado, o aclararlo, pero  -ya se sabe-  su densidad de perplejidad es inferior a la de la madera de pino oregón  (0,50 Kg./litro); o sea, que flotar le resulta chupao.

Creo firmemente que, para opinar sobre  la “evaluación de la personalidad“, habría que convocar  -y desde aquí, con mi limitado oxígeno, lo hago-  a los psicólogos, psiquiatras, psicoanalistas  -incluso lacanianos-  y evaluadores de aura  -sin pretender ofender a nadie con una lista tan heterogénea-.

Entretanto, los expertos en CRM (Gestión de Relaciones con Clientes), terminales de punto de venta, minería de datos, cookies y e-commerce van obteniendo,  archivando, actualizando y gestionando cientos de millones de “perfiles” de usuarios.

Lo del perfil tampoco me gusta mucho: ¡salgo mejor de frente!; y, además, siempre me recuerda la pareja de fotos, con las cotas de estatura al fondo, y un cartel con un número en el pecho, que la tele y el cine nos han mostrado reiteradamente. ¡Esperemos que pronto lo hagan con todos los que se lo merecen!

El perfil es una “evaluación pragmática” del comportamiento histórico de un individuo. (Suficiente para los intereses de quien lo elabora, y sin llegar, con mucho, a una “evaluación de la personalidad”).

El uso generalizado del perfil debería disminuir el spam (e-mails intrusivos)  -por aquello de aumentar la focalización (segmentación)-;  pero eso requiere lograr perfiles adecuados, si no excelentes. No es mi caso, ya que sigo recibiendo e-mails que dicen: “Manuel: Consiga, en quince días,  unos pechos más grandes y firmes”. Alternados con otros que me ofrecen un alargamiento del 25% del … snorkel. Está claro que no sólo es un problema de perfil, sino de frente. O de opción.

La empresa finesa Davisor ha publicado, no hace mucho, unos documentos interesantes sobre perfiles.

Hoy hay tecnología disponible para ocultar el perfil, pero es todavía engorrosa para el gran público. La otra alternativa es vestir de burka. Bajo la burka tod@s seríamos iguales, sin perfil  -pero se liga menos, o con menos ilusión-.

Los ASITIC (5) tienen la formación, experiencia y sensibilidad para tratar seriamente estos temas. Plantéese sentar uno a su mesa (antes de Semana Santa).

Hay también, a lo que parece, una movida que  -por intereses espurios-  defiende que cualquiera, mayor de edad, con una cierta titulación  -mínimo carné de conducir-,  puede realizar una ASITIC (haciéndose acompañar, si fuera  -a su juicio-  necesario, de un experto, bajo burka). No se fíe Ud. y, en este caso, si lo sienta a su mesa, asegúrese de no ser Ud. quien prueba el primer bocado.

 

Artículos relacionados

  1. Continuidad del Negocio y Auditoría de Sistemas (por Manolo Palao)
  2. DC y Auditoría de Sistemas (por Manolo Palao)
  3. San Agustín y la Auditoría de Sistemas (por Manolo Palao)
  4. El Burro Flautista y la Auditoría de Sistemas (por Manolo Palao)
  5. Riesgo y Auditoría de Sistemas (por Manolo Palao)
  6. Fraude y Auditoría de Sistemas (por Manolo Palao)
  7. Evidencia y Auditoría de Sistemas (por Manolo Palao)
  8. Competencia y Auditoría de Sistemas (por Manolo Palao)
  9. Independencia y Auditoría de Sistemas (por Manolo Palao)
  10. Teseo y la Auditoría de Sistemas (por Manolo Palao)
  11. Juvenal y la Auditoría de Sistemas (por Manolo Palao)
  12. Arquímedes y la Auditoría de Sistemas (por Manolo Palao)
  13. Promoviendo el Buen Gobierno Empresarial [… ¿de las TI?]

 

(1) Copyright 2002-2010, Manolo Palao, CGEIT, CISM, CISA, CobiT Foundation Certificate, Accredited CobiT Trainer.

(2) Publicado inicialmente en el invierno de 2002 a 2003 por la Asociación de Auditores y Auditoría y Control de los Sistemas y Tecnologías de la Información y las Comunicaciones (ASIA)  -hoy, Capítulo 183 de ISACA-.

(3) En la legislación española, Ley Orgánica 5/1992, de 29 de octubre, de Regulación del Tratamiento Automatizado de los Datos de Carácter Personal que mantuvo su vigencia hasta el 14 de enero de 2000, tras su derogación por la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.

(4) El autor hace referencia a la coyuntura legal existente en el año 2002. La circunstancia mencionada en el texto cambia tras la publicación del Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal, que deroga el anterior RMS.

(5) Auditoría/Auditor de Sistemas de Información y Tecnologías de la Información y las Comunicaciones.

Cualquiera que afirme que el principal objetivo de un empresa privada  -frente a la pretendida, a priori, finalidad social de las empresas públicas-  es el excesivamente simplista “¡ganar dinero!“, estará incurriendo en un grave error. Por encima de cualquier otra consideración, la principal meta de toda compañía privada es   -desde una perspectiva de Buen Gobierno Corporativo, habrá de ser-  garantizar su perdurabilidad, la permanencia y continuidad de su actividad, en el tiempo. Sólo de ese modo tendrá sentido plantearse otros objetivos. [Presumiblemente, el más importante  -pero en segundo lugar-,  el referido más arriba].

La obviedad del anterior razonamiento es evidente, por simple: la inexistencia, la desaparición, de la empresa invalidará automaticamente cualquier otra pretensión de rentabilidad y beneficio  -por ejemplo, para los que hasta ese momento hayan sido sus propietarios o accionistas-.  ¡Sencillamente, ya no aplicará!

El cortoplacismo que, en gran medida, rige, hoy, la vida corporativa  -lamentablemente, no es la única que rige-  es uno de los principales inhibidores de la continuidad de los negocios. El caso ENRON, por lo muy documentado y divulgado  -véase “ENRON. Los tipos que estafaron a América“-,  resulta uno de los más paradigmáticos. En él  -y en el propio documental-  queda ampliamente reflejada la incompatibilidad entre la meta de “ganar dinero”, planteada como meta prioritaria, y la de mantenerse en el mercado. ¡Pregúntenles, si no, a los accionistas de la compañia! Eso, por no hablar de sus empleados y, por tanto, futuros jubilados, destinatarios últimos de sus fondos de pensiones.

El tema, ampliamente discutido en los foros profesionales sobre Buen Gobierno Corporativo, se materializa en la “contaminación”  -desde la perspectiva del conflicto de intereses-  que muestran los consejos de administración, cuando en ellos participan miembros de los propios equipos directivos de las compañías. Estos consejeros ejecutivos, particularmente, cuando haya suculentas primas por resultados sobre la mesa, deberán equilibrar dos fuerzas contrapuestas: a) de un lado, su particular interés por alcanzar un rápido crecimiento, garantizándose, con ello, su gratificación personal; b) y, de otro, el de sus representados en el Consejo, esto es, la Junta de Accionistas  -y, por extensión, el de toda la propiedad-,  quienes, presumiblemente, querrán ver el beneficio mantenido en el tiempo y no sólo en un momento puntual. ¡Ni Lay, ni Skilling alcanzaron dicho equilibrio!

Al hilo de esta necesidad de garantizar una larga vida a los negocios, como premisa de otros éxitos empresariales, Manolo Palao acerca a Gobernanza de TI este nuevo Texticulillo™ en el que expone el papel que, en este asunto,  juegan las Tecnologías de la Información y las Comunicaciones.

 

Texticulillo™ nº 12: Continuidad del Negocio y Auditoría de Sistemas (1)(2)

En otro artículo de esta serie, he descrito la revolución que, para la ASITIC (3), supuso la publicación, en 1996, de CobiT, por el Instituto para la Gobernanza de los SITIC, a su vez, parte de ISACA (4).

CobiT es un instrumento para la gobernanza de los SITIC, puesto a disposición de directivos y auditores, para facilitar el buen gobierno y el control de los sistemas de que aquellos se ocupan.

La revolución que CobiT supuso fue la de plantear la gestión de la totalidad de los SITIC al servicio de la empresa (u organismo).

Y uno de los objetivos primordiales de toda empresa es la continuidad de sus operaciones; al menos, las vitales.

El enfoque hacia la Gestión de la Continuidad del Negocio ha ido evolucionando con el tiempo, adoptando en los últimos años formas más estratégicas e integradas.

Comenzó hablándose de Recuperación ante Desastres, después se habló de Reanudación de la Operativa del Negocio y, sólo posteriormente, se ha tratado la Continuidad del Negocio (5). Yo me atreví, hace unos años, a pronosticar que ese planteamiento evolucionaría hacia el de la Continuidad de la Cadena Logística.

A toda empresa le interesa sobrevivir, con costes controlados, a una alteración o interrupción de sus operaciones.

Los atentados del 11-S, y sus consecuencias, han aumentado la concienciación por estos temas. Los accidentes también acarrean, en ocasiones, graves consecuencias.

Cuando escribo estas líneas la prensa dice que “La compañía Iberia logró ayer por la mañana, tras 21 horas de caos absoluto, resolver la avería que le ha obligado a cancelar 48 vuelos y provocó retrasos en otros 970” (6).

Convencionalmente, podemos clasificar las perturbaciones a la buena marcha de la empresa como incidencias, siniestros y catástrofes.

Las incidencias son disfunciones menores  -en ocasiones usuales-  que el sistema productivo absorbe (y, a veces, corrige automáticamente). Ejemplos de ellas pueden ser las averías locales, las interrupciones breves, los errores corregibles con un esfuerzo limitado.

Los siniestros son perturbaciones mayores que pueden causar interrupciones de horas o días y conllevar costes  -de prevención, de detección y/o de corrección-  significativos.

Las catástrofes son siniestros mayores que pueden suponer una larga interrupción de las operaciones y llevar al cierre definitivo de la empresa. Según un estudio de la Universidad de Tejas (7), relativo a fábricas, “tras una catástrofe, un 43% nunca reabre, un 51% sobrevive, pero está fuera del mercado en 2 años y sólo el 6% logra sobrevivir a largo plazo“.

Incidencias, siniestros y catástrofes pueden ser directos o indirectos  -a través de los SITIC, que es lo que aquí nos concierne; o por otros servicios (el eléctrico, por ejemplo)-.  Un fuego en la fábrica sería un siniestro directo; una inundación en el centro de cálculo lo sería indirecto para la empresa entera, con la concepción de la informática al servicio de la empresa antes expuesta. Muchas empresas tienen una alta y creciente dependencia de sus SITIC, lo que desdibuja esa distinción entre directo e indirecto.

La empresa debe partir de una clasificación de sus SITIC. Una clasificación usual permite hablar de sistemas críticos  -no pueden ser reemplazados por métodos manuales; el coste de la interrupción es muy alto-,  vitales  -durante un período breve pueden ser ejecutados a mano-,  sensibles  -pueden realizarse manualmente durante períodos largos, a costes razonables-  y no críticos  -pueden interrumpirse durante plazos largos, a coste bajo-.

Un estudio de la Universidad de Minesota (8) citado por el Prof. Dr. Jorge Ramió Aguirre (9) del Departamento de Lenguajes, Proyectos y Sistemas Informáticos de la UPM indica “períodos críticos de recuperación”  -para no poner en peligro su supervivencia-  de los sistemas de información: inferiores a los siete días (con carácter general, en todos los sectores), e inferiores a los dos días (en el sector financiero).

Para los distintos sistemas  -y según su criticidad en el tiempo-  hay que tener previstas medidas, que deben estar recogidas en un Plan integrado de Continuidad del Negocio, debidamente actualizado, difundido  -Kodak, por ejemplo, lo hace por su intranet-  y probado.

Entre las medidas preventivas figuran el tener copias actualizadas de programas y datos en un almacén remoto, disponer de líneas de comunicaciones redundantes y tener probado un centro de cálculo alternativo, también, remoto. Esto último admite diversas variantes  -de distinto coste y eficacia-,  desde un acuerdo de reciprocidad de ayuda con otra empresa, a tener centros de cálculo redundantes, con una instalación más o menos básica, o con una completa.

Los ASITIC tienen formación y experiencia especializadas para ayudar a establecer dichos planes y para comprobar la idoneidad de su gestión.

CobiT contiene excelentes recomendaciones para Directivos y Auditores de SITIC en relación con la Continuidad del Negocio.

El portal Contingency Planning (10)  -lamentablemente sólo en inglés-  reúne una variedad de informaciones y servicios relacionados con la continuidad del negocio. Nadie interesado en este tema debería dejar de registrarse y estudiarlo.

En su sección dedicada a “Defensas ante Interrupciones” (del inglés, “Disruption Defenses“) (11), trata los diversos riesgos con un amigable formato de ficha técnica, con los siguientes apartados: “Causa y Efecto“; “Dónde y Cuándo“; “Medidas Mitigadoras“; “Tras el Siniestro“; “Consejo del Experto” y “Un Caso Real“.

No me resisto  -por si alguien cree que ya tiene su plan de continuidad bastante completito–  a ofrecer la lista de los riesgos cubiertos en esas fichas:

Accesos no Autorizados; Adicciones en el Puesto de Trabajo; Apagones; Ataques con Virus [biológicos]; Ataques de Denegación de Servicio; Clima Invernal; Conflictos Laborales; Crimen de Cuello Blanco; Disfunciones en Entregas; Emergencias Médicas; Espionaje; Factor Humano; Falta de Mano de Obra; Falta de Registros; Fallos de Ordenador; Fallos de Energía; Fuego; Fusiones y Adquisiciones; Piratas Informáticos; Huracanes; Instalaciones con Varias Empresas Usuarias; Interrupciones de Transporte; Inundaciones; Moral de los Empleados; Planificación de Sucesiones; Problemas Legales; Publicidad Negativa; Reubicación del Negocio; Riesgos Biológicos; Riesgos Medioambientales; Síndrome del Edificio Enfermo; Temas relacionados con la Plantilla; Terremotos; Tormentas Invernales; Tormentas de Nieve; Tormentas Eléctricas; Tornados; Tumultos; Violencia en el Puesto de Trabajo; Virus de Ordenador.

 

Artículos relacionados

  1. DC y Auditoría de Sistemas (por Manolo Palao)
  2. San Agustín y la Auditoría de Sistemas (por Manolo Palao)
  3. El Burro Flautista y la Auditoría de Sistemas (por Manolo Palao)
  4. Riesgo y Auditoría de Sistemas (por Manolo Palao)
  5. Fraude y Auditoría de Sistemas (por Manolo Palao)
  6. Evidencia y Auditoría de Sistemas (por Manolo Palao)
  7. Competencia y Auditoría de Sistemas (por Manolo Palao)
  8. Independencia y Auditoría de Sistemas (por Manolo Palao)
  9. Teseo y la Auditoría de Sistemas (por Manolo Palao)
  10. Juvenal y la Auditoría de Sistemas (por Manolo Palao)
  11. Arquímedes y la Auditoría de Sistemas (por Manolo Palao)
  12. Promoviendo el Buen Gobierno Empresarial [… ¿de las TI?]

 

(1) Copyright 2002-2010, Manolo Palao, CGEIT, CISM, CISA, CobiT Foundation Certificate, Accredited CobiT Trainer.

(2) Publicado inicialmente en el invierno de 2002 a 2003 por la Asociación de Auditores y Auditoría y Control de los Sistemas y Tecnologías de la Información y las Comunicaciones (ASIA)  -hoy, Capítulo 183 de ISACA-.

(3) Auditoría/Auditor de Sistemas de Información y Tecnologías de la Información y las Comunicaciones.

(4) Antigua Asociación para el Control y la Auditoría de los Sistemas de Información (del inglés, Information Systems Audit and Control Association) con una audiencia objetivo que se extiende, en la actualidad, a todo profesional con intereses en torno a  las Tecnologías de la Información.

(5) El término de moda, hoy, es, sin duda, ‘resilience‘ -la ‘resiliencia‘ como, con toda probabilidad, diría Palao-,  la elasticidad de que deberían estar dotadas las organizaciones a fin de ser capaces de resistir ante adversidades importantes que afecten a sus sistemas de información y de recuperar su “forma” original, su operativa previa al impacto. Piense en el comportamiento de los modernos edificios japoneses tras recibir el envite de un terremoto.

(6) Fuente: Diario “El País“. Verónica Martín/Carlos E. Cué. Madrid, 9 de noviembre de 2002. URL: http://www.elpais.com/articulo/espana/Iberia/repara/averia/despues/21/horas/caos/48/vuelos/cancelados/elpepiesp/20021109elpepinac_4/Tes.

(7) El tiempo transcurrido desde la publicación inicial de este Texticulillo™ ha hecho imposible recuperar la referencia original. No obstante, documentos posteriores, más recientes, apuntan al Emergency Management Forum americano como fuente de la cita.

 (8) Como en (7), la referencia al documento original se ha perdido.

(9) Véase (8).

(10) El autor hace referencia, en este punto, al antiguo portal de Internet “Contingency Planning” localizado a finales de 2002 en la URL http://www.contingencyplanning.com. Hoy día, la misma remite a la dirección-e http://contingencyplanning.com que alberga la sede web de la conferencia y exposición “Contingency Planning & Management“.

(11) Véase (10).

Gobernanza de TI les acerca esta nueva prueba de la fecundidad literaria de Manolo Palao, en la que  -en el habitual formato de sus  “Texticulillos™“-  el autor vuelve a hacer gala de una aguda ironía al exponer sus reflexiones sobre ciertos aspectos del Control Interno; específicamente, sobre determinados mecanismos de control dirigidos, de forma inequívoca, a salvaguardar  -de su corrupción, o uso indebido-  la información y sus sistemas y tecnologías asociados.

Concluirá recordando cómo un uso descuidado  -negligente-  de tales artilugios de control será garantía, más que suficiente, de su fulminante pérdida de eficacia.

 

Texticulillo™ nº 11: DC y Auditoría de Sistemas (1)(2)

DC, para cualquier globalizado o globalizable  -o sea, la mayoría-,  es el apellido de Washington. No George Washington, sino Washington, DC.

DC, District of Columbia, es el único distrito federal de los EEUU. Aprobado por el Artículo 1 de su Constitución de 1787, éste autorizaba a constituir un reducido espacio federal para la capitalidad del estado. El 1 de diciembre de 1800 la capital se movió de Filadelfia, a su actual y maravilloso enclave, a orillas del Potomac.

Sin perjuicio de todo lo que “DC” ha dicho, y haya de decir, acerca de la ASITIC (3), lo que hasta ahora, histórica y prácticamente, importa es lo que viene diciendo ISACA (4)  -internacionalmente, la más reputada  entidad normalizadora en este campo-  desde su sede en Rolling Meadows, Illinois.

Pero el motivo de estas líneas es otro DC  -u otros , como se verá-.

Entre nosotros, DC significa, más generalmente, “dígito de control”.

Los  “caracteres de control”  -uno o varios; dígitos o no-  se suelen añadir, en posición predeterminada, a números o textos, que aquí llamaremos “códigos”, para comprobar que no ha habido error en su transcripción, transmisión o tratamiento. Suelen ser breves y fijos, en número de caracteres (5). Se computan con un algoritmo barato, pues su cálculo va a ser frecuente. Una vez que se tiene un código ampliado con sus caracteres de control, para validar el código se vuelven a calcular los caracteres de control que le corresponden y se comparan con los que llevaba el código ampliado. Si hay coincidencia, se entiende que el código no ha sido alterado. El algoritmo empleado debe satisfacer diversas características para impedir, o dificultar, que un código que sí ha sido alterado arroje los mismos caracteres de control que el original. Hay diversos algoritmos muy adecuados, entre ellos los que se usan para la “firma digital”.

Los ASITIC creemos que los DC son una técnica excelente y recomendable para validar datos de entrada en un sistema de información. Esto es particularmente importante cuando esos datos, como el DNI (6), pretenden ser datos clave  -identificadores únicos-  en una base de datos.

La redundancia  -los dígitos añadidos-  supone un coste extra en transcripción, tratamiento, transmisión y almacenamiento; pero está justificada por las ventajas que aporta.

Un número dígito es, en la numeración decimal, cualquiera de los caracteres comprendidos desde el ‘0’ al ‘9’, como confirma el Diccionario de la RAE. Ello prueba el encomiable trabajo de revisión de los académicos. La edición del Diccionario que yo tengo en mi estantería es del siglo pasado  -¡1970!-  y dice que número dígito es “el que puede expresarse con un solo guarismo; en la numeración decimal lo son los comprendidos desde el uno al nueve, ambos inclusive”, escamoteando así, no sólo un 10% de los dígitos, sino el esencial para una aritmética posicional.

[Aprovecho para prevenir al lector, que estuviera tentado, de que se limite a entrar en el diccionario por “número“, porque si se le ocurriese hacerlo por “dígito” se encontraría con la académica definición: “Cada una de las doce partes iguales en que se divide el diámetro aparente del Sol y el de la Luna en los cómputos de los eclipses.” …

… No es seguro, pero sí muy probable, que defender en público semejante definición de “dígito” pudiera acarrear a tal defensor tener que cambiar su modelo preferido de camisa por una con correas y las mangas atadas.]

Todo el que tenga y use una cuenta corriente bancaria, y ordene o reciba transferencias de otras, sabe probablemente que los dígitos  -de izquierda a derecha-  9º y 10º del “número de cuenta”  -o, más modernamente, los 13º y 14º del IBAN, el identificador internacional bancario-  son los dos DCs (aunque se les llama “el DC”).

Quienquiera que dé los datos de su DNI/CIF (7),  probablemente sabe que el último/primer carácter  -de nuevo, de izquierda a derecha, como buenos cristianos-  es el de control: una letra.

Lástima que, en el caso del DNI, esa fácil identificación única la haya desvirtuado la propia Administración al reasignar números de DNI a otras personas.

¿Es que no sabemos, o que no queremos? Porque los tratamientos son distintos.

 

Artículos relacionados

  1. San Agustín y la Auditoría de Sistemas (por Manolo Palao)
  2. El Burro Flautista y la Auditoría de Sistemas (por Manolo Palao)
  3. Riesgo y Auditoría de Sistemas (por Manolo Palao)
  4. Fraude y Auditoría de Sistemas (por Manolo Palao)
  5. Evidencia y Auditoría de Sistemas (por Manolo Palao)
  6. Competencia y Auditoría de Sistemas (por Manolo Palao)
  7. Independencia y Auditoría de Sistemas (por Manolo Palao)
  8. Teseo y la Auditoría de Sistemas (por Manolo Palao)
  9. Juvenal y la Auditoría de Sistemas (por Manolo Palao)
  10. Arquímedes y la Auditoría de Sistemas (por Manolo Palao)
  11. Confianza en, y valor de, los sistemas de información

 

(1) Copyright 2002-2010, Manolo Palao, CGEIT, CISM, CISA, CobiT Foundation Certificate, Accredited CobiT Trainer.

(2) Publicado inicialmente en el invierno de 2002 a 2003 por la Asociación de Auditores y Auditoría y Control de los Sistemas y Tecnologías de la Información y las Comunicaciones (ASIA)  -hoy, Capítulo 183 de ISACA-.

(3) Auditoría de Sistemas de Información y Tecnologías de la Información y las Comunicaciones.

(4) Antigua Asociación para el Control y la Auditoría de los Sistemas de Información (del inglés, Information Systems Audit and Control Association) con una audiencia objetivo que se extiende, en la actualidad, a todo profesional con intereses en torno a  las Tecnologías de la Información.

(5) Constituyen un hash (literalmente, triturado/picado, como la carne picada). En Informática, código resumen, resultado de la aplicación de una función homónima sobre un dato  -“código” en palabras del autor-  (documento, registro, archivo, …) original.

(6) En España, Documento Nacional de Identidad de las personas físicas, en referencia a su código de identificación  -el número de DNI-  que acaba con un carácter alfabético (una letra).

(7) En España, Código de Identificación Fiscal de las personas jurídicas, en referencia a su código de identificación  -el número de CIF-  que comienza con un carácter alfabético (una letra).

Como ya hiciera en anteriores ”Texticulillos™”, Manolo Palao ofrece, hoy, un repaso a ciertos principios generales  –responsabilidad, conformidad y comportamiento–  del Buen Gobierno Corporativo, volviendo a presentarlos en la figura del auditor de sistemas de información:

  • responsabilidad, por cuanto es el papel de aquel ofrecer, a los órganos de gobierno de la organización para la que desempeña su función, opinión, informada y contrastada, respecto del uso, rendimiento y estado de las tecnologías objeto de su encargo;
  • conformidad, dado que ha de ejecutar el citado encargo sujeto a directrices y normas generalmente aceptadas por/para la profesión; y,
  • comportamiento  -también, profesional, en este caso-,  tal y como dictan los códigos de ética profesional que le son de aplicación, en el desempeño de su labor.

¡Muchas gracias por haber seguido a Gobernanza de TI hasta esta décima entrega!

 

Texticulillo™ nº 10: San Agustín y la Auditoría de Sistemas (1)(2)

Hay sobrados motivos para reconocer los méritos y razones por los que San Agustín (354 – 430), obispo de Hipona  -actual Argelia-, ha pasado a la posteridad y a la vida eterna. Yo, modestamente, aceptaría que  -desde ese punto de vista-  este artículo no fuera una razón a considerar.

Sería imposible caracterizar plenamente, en espacio tan breve, a S. Agustín, Padre de la Iglesia. Con el método periodístico de los ‘flashes’ permítaseme presentar tres de ellos  -no necesariamente los más característicos-.

S. Agustín, en una época juvenil, mostró pertinaz entusiasmo por el trasvase del Mediterráneo  -con una tecnología ‘propietaria’, como ahora se diría-.  Si bien el éxito ingenieril de su empeño no está documentado, sí lo está  -y ampliamente-  su éxito teológico.

Dedicó una considerable reflexión a describir la naturaleza y el papel de la mujer en este mundo; pero, considerando lo que, actualmente, se tiene por ‘políticamente correcto’, me refreno aquí de ir más allá de esta alusión. Dudo que haya llegado a constituirse una ‘asociación de damnificadas’ pero cualquier lectora/lector puede pedirme algo más de información; y, a lo mejor, deciden montarla [la asociación].

S. Agustín ha sido ampliamente citado por su mística frase  -en sus “Confesiones“-  (referida a Dios): “… et amet non inveniendo invenire, potius quam inveniendo non invenire te” [… y prefiero, no buscándote, encontrarte, antes que, buscándote, no encontrarte]  -Liber Primus, Cap. VI, 6.10-.

Ignoro si los ASITIC (3) tienen un santo patrón  -ni falta que les hace, en los tiempos que corren-;  pero me temo que  S. Agustín, con todas sus cualificaciones, no podría ser un candidato.

El Código Deontológico (4) de ISACA  -la asociación de los profesionales del control y la auditoría de los sistemas de información (5)-  y su Directriz 030.020.020 (6) exigen a sus miembros  -y recomiendan a todos los ASITIC-  la “debida diligencia profesional en el ejercicio de sus funciones”  -el nivel normalmente ejercido por los profesionales en esa materia-.

De ese modo, se les insta a buscar evidencias de una forma profesional, objetiva e independiente, programada, metódica, reproducible  -en lo posible-,  basada en la consideración del riesgo, realizando pruebas de cumplimiento y, en su caso, pruebas substantivas, y ateniéndose a las mejores prácticas reconocidas.

Si, tras ello, no encuentran evidencias adecuadas … ¡estará de la mano de Dios!

 

Artículos relacionados

  1. El Burro Flautista y la Auditoría de Sistemas (por Manolo Palao)
  2. Riesgo y Auditoría de Sistemas (por Manolo Palao)
  3. Fraude y Auditoría de Sistemas (por Manolo Palao)
  4. Evidencia y Auditoría de Sistemas (por Manolo Palao)
  5. Competencia y Auditoría de Sistemas (por Manolo Palao)
  6. Independencia y Auditoría de Sistemas (por Manolo Palao)
  7. Teseo y la Auditoría de Sistemas (por Manolo Palao)
  8. Juvenal y la Auditoría de Sistemas (por Manolo Palao)
  9. Arquímedes y la Auditoría de Sistemas (por Manolo Palao)
  10. Confianza en, y valor de, los sistemas de información

 

(1) Copyright 2002-2010, Manolo Palao, CGEIT, CISM, CISA, CobiT Foundation Certificate, Accredited CobiT Trainer.

(2) Publicado inicialmente en el invierno de 2002 a 2003 por la Asociación de Auditores y Auditoría y Control de los Sistemas y Tecnologías de la Información y las Comunicaciones (ASIA)  -hoy, Capítulo 183 de ISACA-.

(3) Auditor(-es) de Sistemas de Información y Tecnologías de la Información y las Comunicaciones.

(4) La versión más actualizada del Código de Ética Profesional de ISACA puede consultarse en la siguiente dirección-e: http://www.isaca.org/Membership/Code-of-Professional-Ethics/Pages/default.aspx.

(5) Si bien, como indica el autor, el objetivo fundacional de la Asociación fue atender las necesidades de sus miembros  -profesionales del control interno y de la auditoría de los sistemas de información-,  en los últimos años, aquella ha ampliado su audiencia objetivo, dirigiendo su actual oferta de servicios a todo profesional con intereses en torno a  las Tecnologías de la Información.

(6) El autor hace referencia aquí a la codificación de Directrices de Auditoría vigente en aquella época (2002-2003). Hoy, dicha referencia ha quedado sustituida por la directriz G7. Due Professional Care de ISACA.

Presumiblemente, con este texto de 2002, Manolo Palao introducía, por vez primera, en la bibliografía en español sobre TI, el término ‘gobernanza‘. Algunas traducciones de documentos en inglés de la época habían optado, hasta entonces, por variantes como ‘gobernabilidad‘, o, directamente, ‘gobierno‘.

El citado hecho convierte en perfectamente prescindible, al menos por hoy, la breve introducción  -justificación, casi-  con que Gobernanza de TI acompaña la publicación de cada nuevo ”Texticulillo™”.

 

Texticulillo™ nº 9: El Burro Flautista y la Auditoría de Sistemas (1)(2)

Si hay un antes y un después en la Auditoría de Sistemas de Información y Tecnologías de la Información y las Comunicaciones (ASITIC), ese momento lo marca la publicación, en 1996, de CobiT.

CobiT es un instrumento de gobernanza (3) de los SITIC puesto a disposición de directivos y auditores para facilitar el buen gobierno y el control de los sistemas de que se ocupan.

Es promovido y gestionado por el IT Governance Institute (Instituto para la Gobernanza de los SITIC), a su vez, parte de ISACA, la asociación de los profesionales del control y la auditoría de los sistemas de información (4).

Actualmente en su tercera edición (5) y con una dinámica de crecimiento y mejora continuados, una gran parte de CobiT se ha constituido en “norma abierta”  –open standard-,  que cualquier interesado puede descargar (http://www.isaca.org/cobit) y adaptar a su circunstancia.

No cabe, en este espacio, una descripción pormenorizada de CobiT y sus ventajas.  Cualquier lector interesado puede encontrar más detalles en el sitio web indicado. Quiero limitarme a señalar algunos aspectos que me parecen de particular relevancia.

El giro copernicano que CobiT ha supuesto es que ha planteado la gestión de la totalidad de los SITIC al servicio de la empresa  -u organismo-  dando realidad así, en esta área más modesta, a la famosa exclamación de ‘le Tigre’ Clemençeau (1841-1929): “¡La guerra es demasiado importante para dejarla en manos de los militares!”.

CobiT, con ese enfoque al servicio de la empresa se orienta a “objetivos y procesos de negocio”  -como, por ejemplo, la custodia de los activos-.

Contempla siete criterios básicos acerca de la información: eficacia, eficiencia, confidencialidad, integridad, disponibilidad, cumplimiento de la normativa y fiabilidad.  Considera cinco grandes recursos SITIC: personal, aplicaciones,  tecnología, instalaciones y datos (6).

Se estructura en cuatro grandes áreas  -Planificación y Organización, Adquisición e Implantación, Prestación del Servicio y de la Asistencia, Monitorización-  que contienen treinta y cuatro procesos  -“objetivos de control de alto nivel”-,  que se desglosan en trescientos dieciocho “objetivos de control específicos” (7), por debajo de los cuales el ASITIC puede establecer sus propios “objetivos de detalle” (incluyendo las checklists  -listas de comprobación-  y pruebas que considere adecuadas).

CobiT es general, sin acepción de plataforma o de sector industrial.

Pero CobiT no está fundamentalmente destinado al ASITIC. CobiT es un Marco de Referencia para la buena gestión  -gobernanza-  de los SITIC. Contiene los citados Objetivos de Control, unas Directrices para Gestores y otras para Auditores.

CobiT podría leerse como las clásicas ‘cantigas de amigo paralelísticas’  en que los mismos versos están destinados alternativamente a él y a ella. Una lectura contiene las recomendaciones  -y esto es, en nuestra opinión, lo más importante-  de gobernanza para los directivos de la empresa y de los SITIC; otra lectura, las correspondientes a los ASITIC.

CobiT ha consultado  -y reitera el compromiso de seguir manteniendo actualizada la correspondencia con-  nada menos que cuarenta y una normas  –de facto y de iure–  internacionales sobre la materia; entre ellas, COSO, Cadbury, COCO o King.

Animo a todos  -directivos, técnicos y auditores-  a que se familiaricen más con el contenido, la estructura y las posibilidades de CobiT. No sorprende la aceptación internacional, ‘en bola de nieve’, que CobiT ha tenido; ni su adopción por empresas y organismos destacados. Se ha predicho  -en un estudio del META Group, de 2001-  que “para 2002-03, más del 30-40 % de las empresas del Global 2000 que desplieguen nuevas tecnologías y entren en nuevos mercados […] habrán adoptado un modelo similar a CobiT […]”.

Como dice ISACA: “La gobernanza de los SITIC es un buen negocio”.

Para terminar, como advertencia a quienes, por casualidad, puedan pretender realizar una ‘auditoría informática’, simplemente armados de una mera checklist, vaya el último verso de la fábula ‘El Burro Flautista’ de Tomás de Iriarte (1750-1791), publicada en 1782:

Sin regla del arte,
borriquitos hay
que una vez aciertan
por casualidad”.

 

Artículos relacionados

  1. Riesgo y Auditoría de Sistemas (por Manolo Palao)
  2. Fraude y Auditoría de Sistemas (por Manolo Palao)
  3. Evidencia y Auditoría de Sistemas (por Manolo Palao)
  4. Competencia y Auditoría de Sistemas (por Manolo Palao)
  5. Independencia y Auditoría de Sistemas (por Manolo Palao)
  6. Teseo y la Auditoría de Sistemas (por Manolo Palao)
  7. Juvenal y la Auditoría de Sistemas (por Manolo Palao)
  8. Arquímedes y la Auditoría de Sistemas (por Manolo Palao)
  9. Confianza en, y valor de, los sistemas de información

 

(1) Copyright 2002-2010, Manolo Palao, CGEIT, CISM, CISA, CobiT Foundation Certificate, Accredited CobiT Trainer.

(2) Publicado inicialmente en el invierno de 2002 a 2003 por la Asociación de Auditores y Auditoría y Control de los Sistemas y Tecnologías de la Información y las Comunicaciones (ASIA)  -hoy, Capítulo 183 de ISACA-.

(3) Nota de Manolo Palao: Voz recogida en el Diccionario de la Real Academia Española de la Lengua (DRAE). En su segunda acepción, sustantivo femenino anticuado, acción y efecto de gobernar o gobernarse.

(4) Si bien, como indica el autor, el objetivo fundacional de la Asociación fue atender las necesidades de sus miembros  -profesionales del control interno y de la auditoría de los sistemas de información-,  en los últimos años, aquella ha ampliado su audiencia objetivo, dirigiendo su actual oferta de servicios a todo profesional con intereses en torno a  las Tecnologías de la Información.

(5) El modelo CobiT vio la luz en su 3ª Edición en julio de 2000, para ser sustituido, en noviembre de 2005, por CobiT 4.0. Actualmente, y desde abril de 2007,  la versión en vigor es la 4.1, a la espera del, ya próximo, CobiT 5.

(6) CobiT 4 redujo los recursos de TI a cuatro grupos: personas, aplicaciones, información e infraestructuras.

(7) De nuevo, el autor ofrece una descripción de la versión de CobiT vigente en aquella época (2002). Las ediciones posteriores redujeron levemente el número total de “objetivos de control específicos”, colocándolo en torno a los dos centenares.

Gobernanza de TI se complace en presentarles un nuevo producto de la factoría Palao. Octava entrega de la serie “Texticulillos™”, correspondiente a 2002, mantiene plenamente su vigencia, a pesar del tiempo transcurrido. Las variadas situaciones que definen la coyuntura en la que hoy toca vivir  -crisis económica, de valores, desastres naturales y de otra índole, etc.-  son garantía suficiente de la máxima actualidad de un tema escogido hace casi una década: el riesgo.

Visto, como viene siendo habitual en los textos de aquella primera época, desde la perspectiva de la Aditoría de los Sistemas de Información, Manolo hace un repaso de los peligros que pueden amenazar la labor de los auditores y, por ende, la toma de decisiones de los receptores de las opiniones  -juicio profesional-  de aquellos: los miembros de los órganos de gobierno de las organizaciones, destinatarios últimos del resultado de la labor auditora.

La identificación, gestión y mitigación de tales riesgos, y de otros muchos asociados al uso de las Tecnologías de la Información, constituyen, por definición, un pilar fundamental  -aunque no exclusivo-  de cualquier aproximación, generalmente aceptada, a la Gobernanza de TI.

 

Texticulillo™ nº 8: Riesgo y Auditoría de Sistemas (1)(2)

El ASITIC (3) profesional sujeta su trabajo a normas profesionales.

Internacionalmente, la más reputada entidad normalizadora en este campo es ISACA, la asociación de los profesionales del control y la auditoría de los sistemas de información (4).

La Directriz 030.010.010, de ISACA, de 1 de septiembre de 2000 (5), “Uso de la Evaluación de Riesgos en la Planificación de la Auditoría“, trata de la “orientación al riesgo” en la auditoría profesional.

Las líneas que siguen proponen una reflexión sobre diversos aspectos de este tema.

En la vida, en las empresas, y en las auditorías, hay muchos riesgos. Prevenirlos, detectarlos, compensarlos o evitarlos está en el interés de todo quien va por derecho.

En nuestro caso, probablemente el riesgo más importante es el que corre el cliente generalizado  -la propia empresa auditada, terceros interesados (accionistas, clientes, proveedores) o la Sociedad en general-  del ASITIC, de tomar por bueno un informe malo. Ese es el denominado riesgo de la auditoría: el de dar una opinión incorrecta, induciendo, así, a error, a otros.

Dicho riesgo, en la práctica, no se puede medir (aunque en algunos casos, sí se puede estimar). A la postre, está acotado por la solvencia que el ASITIC nos merezca  -de ahí la importancia de que esté certificado-.

El ASITIC ejerce en la planificación de la auditoría su juicio discrecional, su criterio educado y basado en prácticas generalmente aceptadas. Es, probablemente, en esta fase inicial, donde hay más riesgo  -de exclusión de un área significativa, por ejemplo, o de inclusión de una irrelevante-.

El principio, generalmente usado, para planificar el ‘mapa’ de la auditoría es el de materialidad o importancia relativa  -volumen económico, respecto de todo el negocio, de esa área o de los riesgos que sobre ella gravitan-.

Los riesgos se suelen calcular como la esperanza matemática (producto de la probabilidad del siniestro por sus consecuencias económicas).

La métrica de la ‘materialidad’ es burda, pues ignora dimensiones  -no exclusiva ni directamente económicas-  de los siniestros, como pérdidas de vidas humanas o medioambientales, por citar casos extremos.

El estimador de la ‘esperanza matemática’ es también rudimentario. Es fácil de calcular en problemas de examen de bachillerato (“Mi tejado cuesta 30.000 €; he de reponerlo cada 10 años; ¿cuál es mi coste anual en tejados? [ignorar intereses e inflación]”); pero es mucho más difícil aplicarlo a un sistema (conjunto de elementos). La mera adición, elemento a elemento, es quizás abordable; pero, entonces, se ignoran los posibles antagonismos o sinergias de los controles.

Hay un sinnúmero de metodologías y paquetes informáticos para evaluación de riesgos. Muchos tienen aspectos apreciables; pero todos adolecen de la necesidad de intervenciones cruciales subjetivas y, los más sofisticados y caros, del inevitable alto ruido en los datos de entrada.

Estamos aún en una situación de alquimia, pero eso es lo que tenemos. Mi recomendación personal es mantenerse  en los niveles más sencillos y, en todo caso, antes de seguir, traspasar al decisor último  -¿el Consejo de Administración?-  la ratificación de las valoraciones realizadas.

Realizada por el ASITIC la planificación de la auditoría, con criterios de riesgo, éste procede a la auditoría de las diferentes áreas. Al efectuarla, debe tener presentes otros riesgos posibles.

El riesgo inherente a un área es la susceptibilidad de la misma a un error material  -por sí mismo, o en combinación con otros-  suponiendo que no hubiera los correspondientes controles internos.
 
El riesgo de control en un área es el de que pudiera tener lugar un error material que  -por sí mismo, o en combinación con otros-  no fuera prevenido/detectado/corregido, oportunamente, por el sistema de Control Interno.
 
El riesgo de detección es el de que las pruebas substantivas del ASITIC no detecten un error que pudiera ser material  -por sí mismo, o en combinación con otros-.

Parece claro que es un viaje proceloso. Al menos, se vislumbran algunos faros en el horizonte. Pero no es un viaje para aficionados.

 

Artículos relacionados

  1. Fraude y Auditoría de Sistemas (por Manolo Palao)
  2. Evidencia y Auditoría de Sistemas (por Manolo Palao)
  3. Competencia y Auditoría de Sistemas (por Manolo Palao)
  4. Independencia y Auditoría de Sistemas (por Manolo Palao)
  5. Teseo y la Auditoría de Sistemas (por Manolo Palao)
  6. Juvenal y la Auditoría de Sistemas (por Manolo Palao)
  7. Arquímedes y la Auditoría de Sistemas (por Manolo Palao)
  8. Confianza en, y valor de, los sistemas de información

 

(1) Copyright 2002-2010, Manolo Palao, CGEIT, CISM, CISA, CobiT Foundation Certificate, Accredited CobiT Trainer.

(2) Publicado inicialmente en el invierno de 2002 a 2003 por la Asociación de Auditores y Auditoría y Control de los Sistemas y Tecnologías de la Información y las Comunicaciones (ASIA)  -hoy, Capítulo 183 de ISACA-.

(3) Auditor de Sistemas de Información y Tecnologías de la Información y las Comunicaciones.

(4) Si bien, como indica el autor, el objetivo fundacional de la Asociación fue atender las necesidades de sus miembros  -profesionales del control interno y de la auditoría de los sistemas de información-,  en los últimos años, aquella ha ampliado su audiencia objetivo, dirigiendo su actual oferta de servicios a todo profesional con intereses en torno a  las Tecnologías de la Información.

(5) El autor hace referencia aquí a la codificación de Directrices de Auditoría vigente en aquella época (2002-2003). Hoy dicha referencia ha quedado sustituida por la directriz G13. Use of Risk Assessment in Audit Planning de ISACA.